Помоги устронить проблемы с ПК [not-a-virus:RiskTool.Win32.BitCoinMiner.xhb, not-a-virus:WebToolbar.Win32.CrossRider.amqa ]

[revoshka]

Здравствуйте. Не давно скачал приложение, в котором был вирус, не подумав, нажал Некст, без проверки на вирусы, в итоге установились различные программы, которые с помощью "стандартного" удаления - удалить невозможно.
Сразу же через KIS 2015 начал проверки, нашло троян и вирус, показало что их успешно удалило, но после перезагрузки ПК - они вновь и вновь оказываются в системе. Сегодня утром после 5 минут прогрузки системы открылся браузер с вкладкой "mystartsearch", который присутствует и в "Удалить/изменить программу" и удалить его не получается, хотя показывает что удалился. А еще чуть позже открылось установочное окно, скрин ниже:

С помощью Dr Web находит эти вирусы, но их тут-же удаляю с перезагрузкой ПК:

В итоге они остаются, и все идет по кругу. Так-же пытался переустановить W7, диск проверенный, все работало отменно, установка шла идеально и быстро. Но сегодня, при попытке установки начало зависать на "Starting Windows" как только появился текст. Возможно-ли это из-за вирусов?
Нужна помощь, ребят.

[Info_bot]

Уважаемый(ая) revoshka, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[revoshka]

Жду.

[Vvvyg]

Внимание

Удалите файл virusinfo_autoquarantine.zip из вложений!

Отправьте файл virusinfo_autoquarantine.zip по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Приложения от Mail.Ru нужны, пользуетесь?

- - - - -Добавлено - - - - -

Выполните скрипт в AVZ:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ClearQuarantine;
 TerminateProcessByName('c:\programdata\wwdsmanprow\wdsmanpro.exe');
 TerminateProcessByName('c:\users\Андрей\appdata\roaming\nssm.exe');
 TerminateProcessByName('c:\users\a4f7~1\appdata\local\temp\nsdaef2.tmp');
 TerminateProcessByName('c:\program files\954535a0-1438975263-11d5-a79b-002215dd8036\knsuae8b.tmpfs');
 TerminateProcessByName('c:\users\a4f7~1\appdata\local\temp\nsc2446.tmp');
 TerminateProcessByName('c:\program files\controller\cohc.exe');
 SetServiceStart('gohekojy', 4);
 SetServiceStart('cohci1394', 4);
 StopService('gohekojy');
 StopService('cohci1394');
 QuarantineFile('C:\Users\Андрей\AppData\Local\Temp\20150903090054\I\tmp\SSFK_v2.0.6.24.exe', '');
 QuarantineFile('C:\Users\Андрей\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\C7KLJBQS\setup_gmsd_re[1].exe', '');
 QuarantineFile('C:\Users\Андрей\AppData\Roaming\Sony Creative Software Inc\Reversed\steam.exe', '');
 QuarantineFile('C:\Program Files\CinemaP-1.9cV31.07\f7dab28f-9769-4a5d-9f56-e45da253027f-5.exe', '');
 QuarantineFile('C:\Program Files\CinemaP-1.9cV31.07\f7dab28f-9769-4a5d-9f56-e45da253027f-11.exe', '');
 QuarantineFile('C:\Program Files\CinemaP-1.9cV31.07\f7dab28f-9769-4a5d-9f56-e45da253027f-1-7.exe', '');
 QuarantineFile('C:\Program Files\CinemaP-1.9cV31.07\f7dab28f-9769-4a5d-9f56-e45da253027f-1-6.exe', '');
 QuarantineFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\utility.exe', '');
 QuarantineFile('C:\ProgramData\RemoteSaver\waxtlmud.dll', '');
 QuarantineFile('c:\programdata\wwdsmanprow\wdsmanpro.exe', '');
 QuarantineFile('c:\users\Андрей\appdata\roaming\nssm.exe', '');
 QuarantineFile('c:\users\a4f7~1\appdata\local\temp\nsdaef2.tmp', '');
 QuarantineFile('c:\program files\954535a0-1438975263-11d5-a79b-002215dd8036\knsuae8b.tmpfs', '');
 QuarantineFile('c:\users\a4f7~1\appdata\local\temp\nsc2446.tmp', '');
 QuarantineFile('c:\program files\controller\cohc.exe', '');
 DeleteFile('C:\Users\Андрей\AppData\Local\Temp\20150903090054\I\tmp\SSFK_v2.0.6.24.exe');
 DeleteFile('C:\Users\Андрей\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\C7KLJBQS\setup_gmsd_re[1].exe');
 DeleteFile('c:\program files\controller\cohc.exe', '32');
 DeleteFile('c:\users\a4f7~1\appdata\local\temp\nsc2446.tmp', '32');
 DeleteFile('c:\users\a4f7~1\appdata\local\temp\nsdaef2.tmp', '32');
 DeleteFile('c:\users\Андрей\appdata\roaming\nssm.exe', '32');
 DeleteFile('c:\programdata\wwdsmanprow\wdsmanpro.exe', '32');
 DeleteFile('C:\Program Files\954535A0-1438975263-11D5-A79B-002215DD8036\knsuAE8B.tmpfs', '32');
 DeleteFile('C:\ProgramData\RemoteSaver\waxtlmud.dll', '32');
 DeleteFile('C:\Windows\Tasks\AmiUpdXp.job', '32');
 DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\utility.exe', '32');
 DeleteFile('C:\Windows\Tasks\Crossbrowse.job', '32');
 DeleteFile('C:\Program Files\CinemaP-1.9cV31.07\f7dab28f-9769-4a5d-9f56-e45da253027f-1-6.exe', '32');
 DeleteFile('C:\Windows\Tasks\f7dab28f-9769-4a5d-9f56-e45da253027f-1-6.job', '32');
 DeleteFile('C:\Program Files\CinemaP-1.9cV31.07\f7dab28f-9769-4a5d-9f56-e45da253027f-1-7.exe', '32');
 DeleteFile('C:\Windows\Tasks\f7dab28f-9769-4a5d-9f56-e45da253027f-1-7.job', '32');
 DeleteFile('C:\Program Files\CinemaP-1.9cV31.07\f7dab28f-9769-4a5d-9f56-e45da253027f-11.exe', '32');
 DeleteFile('C:\Windows\Tasks\f7dab28f-9769-4a5d-9f56-e45da253027f-11.job', '32');
 DeleteFile('C:\Program Files\CinemaP-1.9cV31.07\f7dab28f-9769-4a5d-9f56-e45da253027f-5.exe', '32');
 DeleteFile('C:\Windows\Tasks\f7dab28f-9769-4a5d-9f56-e45da253027f-5.job', '32');
 DeleteFile('C:\Windows\Tasks\f7dab28f-9769-4a5d-9f56-e45da253027f-5_user.job', '32');
 DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job', '32');
 DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job', '32');
 DeleteFile('C:\Users\Андрей\AppData\Roaming\Sony Creative Software Inc\Reversed\steam.exe', '32');
 DeleteFileMask('C:\Users\Андрей\AppData\Roaming\Sony Creative Software Inc', '*', true);
 DeleteFileMask('C:\Program Files\CinemaP-1.9cV31.07', '*', true);
 DeleteFileMask('C:\Program Files\Crossbrowse', '*', true);
 DeleteFileMask('C:\ProgramData\RemoteSaver', '*', true);
 DeleteFileMask('C:\Program Files\954535A0-1438975263-11D5-A79B-002215DD8036', '*', true);
 DeleteFileMask('c:\programdata\wwdsmanprow', '*', true);
 DeleteFileMask('c:\program files\controller', '*', true);
 DeleteDirectory('C:\Users\Андрей\AppData\Roaming\Sony Creative Software Inc');
 DeleteDirectory('C:\Program Files\CinemaP-1.9cV31.07');
 DeleteDirectory('C:\Program Files\Crossbrowse');
 DeleteDirectory('C:\ProgramData\RemoteSaver');
 DeleteDirectory('C:\Program Files\954535A0-1438975263-11D5-A79B-002215DD8036');
 DeleteDirectory('c:\programdata\wwdsmanprow');
 DeleteDirectory('c:\program files\controller');
 ExecuteFile('schtasks.exe', '/delete /TN "Crossbrowse" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "f7dab28f-9769-4a5d-9f56-e45da253027f-1-6" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "f7dab28f-9769-4a5d-9f56-e45da253027f-1-7" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "f7dab28f-9769-4a5d-9f56-e45da253027f-11" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "f7dab28f-9769-4a5d-9f56-e45da253027f-5" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "globalUpdateUpdateTaskMachineCore" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "globalUpdateUpdateTaskMachineUA" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Steam-S-1-8-22-9865GUI" /F', 0, 15000, true);
BC_ImportDeletedList;
ExecuteSysClean;
 ExecuteRepair(4);
 ExecuteRepair(3);
 ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

Сделайте лог AdwCleaner (by Xplode).

[revoshka]

Файлы которые надо прислать на карантин - загрузил.
Новые вложения - готовы

[Vvvyg]

Приложения от Mail.Ru нужны, пользуетесь?

Жду ответа на этот заданный выше вопрос.

Сканирование запущено в 03.10.2015 21:26:18

Дату на компьютере поправьте.

- - - - -Добавлено - - - - -

Запустите повторно AdwCleaner (by Xplode) (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши от имени администратора)), нажмите кнопку Сканировать (Scan), по окончании сканирования если есть почта на Mail.Ru и/или используете программы от этого портала уберите галочки на вкладках Папки (Folders), Реестр (Registry) и вкладках браузеров со всех пунктов, где упоминаются Mail.Ru.

Затем нажмите Очистка (Cleaning) и по окончании удаления перезагрузите систему по требованию программы.

После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C1].txt, прикрепите к своему следующему сообщению.

Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.

[revoshka]

Нет, приложениями от Маил не пользуюсь.
Со временем проблема, при каждом включении оно сбивается на 2001 год.
Сделал все как выше, но почему-то этих файлов у меня 2, прикрепляю оба:

[Vvvyg]

Меняйте батарейку для биоса - на материнской плате круглая металлическая.
Остальные проблемы решены?

[revoshka]

Вроде бы да. Спасибо. Тему можно закрыть.

[mrak74]

Советы и рекомендации после лечения компьютера

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 10
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\program files\cinemap-1.9cv31.07\f7dab28f-9769-4a5d-9f56-e45da253027f-11.exe - not-a-virus:WebToolbar.Win32.CrossRider.amqa ( BitDefender: Gen:Application.Heur.yv1@kGwbyqkO )
  2. c:\program files\cinemap-1.9cv31.07\f7dab28f-9769-4a5d-9f56-e45da253027f-5.exe - not-a-virus:WebToolbar.Win32.CrossRider.amqa ( BitDefender: Gen:Application.Heur.hv1@kiElX!lO )
  3. c:\users\андрей\appdata\roaming\sony creative software inc\reversed\steam.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.xhb ( DrWEB: Trojan.BtcMine.625, BitDefender: Application.BitCoinMiner.GB, AVAST4: Win32:Malware-gen )