Требуется долечивание после китайских вирусов

**Алексей Дёменко** · 06.10.2016, 09:42

Выполнено, прилагаю:

Скрытый текст

Microsoft Windows [Version 6.3.9600]
(c) Корпорация Майкрософт (Microsoft Corporation), 2013. Все права защищены.

C:\Windows\system32>reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\ProfileList" /s

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
Default REG_EXPAND_SZ %SystemDrive%\Users\Default
ProfilesDirectory REG_EXPAND_SZ %SystemDrive%\Users
ProgramData REG_EXPAND_SZ %SystemDrive%\ProgramData
Public REG_EXPAND_SZ %SystemDrive%\Users\Public

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-
5-18
Flags REG_DWORD 0xc
ProfileImagePath REG_EXPAND_SZ %systemroot%\system32\config\systemprof
ile
Sid REG_BINARY 010100000000000512000000
RefCount REG_DWORD 0x1
State REG_DWORD 0x0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-
5-19
ProfileImagePath REG_EXPAND_SZ C:\Windows\ServiceProfiles\LocalService

Flags REG_DWORD 0x0
State REG_DWORD 0x0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-
5-20
ProfileImagePath REG_EXPAND_SZ C:\Windows\ServiceProfiles\NetworkServi
ce
Flags REG_DWORD 0x0
State REG_DWORD 0x0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-
5-21-688054549-1006262046-319902169-1001
ProfileImagePath REG_EXPAND_SZ C:\Users\Ксения Косарева
Flags REG_DWORD 0x0
State REG_DWORD 0x100
Sid REG_BINARY 01050000000000051500000015E102291E57FA3BD9511113E903000
0
ProfileAttemptedProfileDownloadTimeLow REG_DWORD 0x0
ProfileAttemptedProfileDownloadTimeHigh REG_DWORD 0x0
ProfileLoadTimeLow REG_DWORD 0x0
ProfileLoadTimeHigh REG_DWORD 0x0
RefCount REG_DWORD 0x1
RunLogonScriptSync REG_DWORD 0x0

C:\Windows\system32>dir c:\users
Том в устройстве C имеет метку Acer
Серийный номер тома: 42B3-192B

Содержимое папки c:\users

18.01.2016 22:32 <DIR> .
18.01.2016 22:32 <DIR> ..
31.05.2016 12:32 <DIR> Public
15.07.2016 15:53 <DIR> Ксения Косарева
0 файлов 0 байт
4 папок 362*645*401*600 байт свободно

Скрыть

Кстати, при включении он поприветствовал и пошли какие-то настройки. Возм. у него в какой-то "автозагрузке" что-то пытается постоянно внести изменения.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

SQ · 06.10.2016, 11:21

Такое ощущение, что идет восстановление за предыдущий период.

Предоставьте пожалуйста новый лог утилиты FRST, согласно следующей инструкции:

- Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**Алексей Дёменко** · 07.10.2016, 09:14

Посмотрел ещё раз что происходит при первой загрузке. Выводятся по очереди следующие сообщения:

Привет.

Мы выполняем настройку.

Вы можете установить новые приложения из магазина.

Начинаем.

Сделал логи FRST в двух вариантах: в первой загрузке и во второй. Прилагаю.

SQ · 08.10.2016, 18:03

Каким профилем в google chrome пользуетесь?

Код:

CHR Profile: C:\Users\Ксения Косарева\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2016-07-15] <==== ATTENTION
CHR Profile: C:\Users\Ксения Косарева\AppData\Local\Google\Chrome\User Data\todipycoudusanifertion [2016-10-06] <==== ATTENTION

Закройте и сохраните все открытые приложения.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction - Chrome <======= ATTENTION
CHR StartupUrls: todipycoudusanifertion -> "hxxp://mail.ru/cnt/10445?gp=789182","hxxp://www.trotux.com/?z=9b39c82e63d9b926e4aaf9bg7z3q0m9c1b3ofg7w7c&from=qca&uid=WDCXWD10EZEX-21M2NA0_WCC3F3JEDCV3F3JEDCV3&type=hp"
CHR Session Restore: todipycoudusanifertion -> is enabled.
S2 mfemms; "C:\Program Files\Common Files\McAfee\SystemCore\\mfemms.exe" [X]
Reg: reg delete "HKU\S-1-5-21-688054549-1006262046-319902169-1001\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\apphide2" /f
Reg: reg delete "HKU\S-1-5-21-688054549-1006262046-319902169-1001\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\svchost0" /f
Reg: reg delete "HKU\S-1-5-21-688054549-1006262046-319902169-1001\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\BaiduClient" /f
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

подозрения есть на неудавщиеся обновление, предоставьте пожалуйста следующие логи:

Код:

%windir%\Logs\CBS\CBS.log
%windir%\WindowsUpdate.log

по посту http://virusinfo.info/showthread.php...=1#post1392349 выполняли только то что в ролике youtube.com было?

**Алексей Дёменко** · 10.10.2016, 14:20

Каким профилем в google chrome пользуетесь?
Код:
CHR Profile: C:\Users\Ксения Косарева\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2016-07-15] <==== ATTENTION
CHR Profile: C:\Users\Ксения Косарева\AppData\Local\Google\Chrome\User Data\todipycoudusanifertion [2016-10-06] <==== ATTENTION

Я так понимаю, судя по датам, что вирус переключил на профиль "todipycoudusanifertion" и сейчас работа ведется в нем...

Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Сделано.

подозрения есть на неудавщиеся обновление, предоставьте пожалуйста следующие логи:
Код:

%windir%\Logs\CBS\CBS.log
%windir%\WindowsUpdate.log

Логи прикрепить положенным образом не могу - пишет, что лимит превышен. Закачал на Яндекс.Диск - https://yadi.sk/d/qJCJtKQQwaK5f

по посту http://virusinfo.info/showthread.php...=1#post1392349 выполняли только то что в ролике youtube.com было?

Нуууу... Вообще да, но потом еще часть файлов из основного скопировал во временный профиль, в противном случае вообще было сложно загрузиться...

SQ · 10.10.2016, 15:56

Попробуйте отключить обновление Windows Update и по наблюдать если проблема первого запуска еще будет проявляться. Также при выключения ПК посмотрите, если предлагается также установить обновления?

**Алексей Дёменко** · 10.10.2016, 15:58

Попробуйте отключить обновление Windows Update и по наблюдать если проблема первого запуска еще будет проявляться.

Имеется в виду просто в настройках обновления запретить автообновление или в службах и т.д.?

Также при выключения ПК посмотрите, если предлагается также установить обновления?

Последователь говорит, что нет.

SQ · 10.10.2016, 16:00

Покажите результат следующей команды в командной строке (cmd.exe):

Код:

reg query "HKU\S-1-5-21-688054549-1006262046-319902169-1001\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\apphide2"
reg query "HKU\S-1-5-21-688054549-1006262046-319902169-1001\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\svchost0"
reg query "HKU\S-1-5-21-688054549-1006262046-319902169-1001\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\BaiduClient"

Сообщение от Алексей Дёменко

Имеется в виду просто в настройках обновления запретить автообновление или в службах и т.д.?

Да настройки автообновления временно, а о согласно логу Windows Update попытки обновления происходят.

**Алексей Дёменко** · 19.10.2016, 10:36

Посмотрел - в настройках стояло "Искать обновления, но решение об их загрузке и установке принимается мной". Я поставил, чтобы и не искало.

Покажите результат следующей команды в командной строке (cmd.exe)

Не могу. По всем трём строчкам пишет

Ошибка: Не удается найти указанный раздел или параметр в реестре.

SQ · 20.10.2016, 01:36

Проблема еще осталась?

**Алексей Дёменко** · 20.10.2016, 08:59

Да. Тому лично был свидетелем.

SQ · 20.10.2016, 11:12

Могли бы пожалуйста для тестов создать новую учетную запись(тестовую), далее завершить работу ПК именно под новой учетной записью (т.е. перед выключением ПК, зайти на новую учетную запись и выключить ПК).

Первое включение зайти под новой учетной записью и убедиться, что не создался временный профиль.

P.S. Хотелось бы понять проблема в профиле или в системе.