Возможно подхватил вирус, загружает неизвестные сайты. [Trojan.MSIL.Agent.dayu ]

[Skysprim]

Здравствуйте, недавно сидел в Вконтакте, а потом неожиданно торрент стал предлагать загрузить кучу видео, я отказался, но потом антивирусник AVG начал писать о угрозе для компьютера, от файла с длинным названием на английском (в общем бред какой-то) по пути C:/ Program Files (x86)/ Adobe. Я нажал удалить вирус (ну или что-то в этом роде), но AVG не смог, произошла ошибка доступа. А вирус похоже продолжал действовать, он закрыл браузер (mozilla firefox), потом удалил все значки на панели задач слева, возле пуска, кроме той же moziill'ы и когда я захотел заново войти в браузер, он начал грузить вот этот сайт http://www.bs.ru/forest/?mid=8424218, до этого пытался загрузить ещё это nnm-club.me. Потом я решил зайти в диспетчер задач и увидел неизвестный мне процесс Form1 и сразу отключи его. Потом вроде уже посторонние действия прекратились, но этот сайт продолжает запускаться http://www.bs.ru/forest/?mid=8424218.
Надеюсь на вашу помощь в этой проблеме.

Вложение 449821
Вложение 449822
Вложение 449823

[Info_bot]

Уважаемый(ая) Skysprim, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Skysprim]

Вот в папке Adobe, появляются подозрительные файлы с названием:
1) ~lmhcgvgbloy 2) ~ptfzjjfymff 3)~pthqvngoozc
Может из-за них возникла проблема которую я описывал выше.

[thyrex]

Пересоздайте ярлыки запуска браузеров

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\Users\user\appdata\roaming\closer.exe','');
 DeleteFile('C:\Users\user\appdata\roaming\closer.exe','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Обновите базы AVZ

Сделайте новые логи

Сделайте лог полного сканирования МВАМ

[Skysprim]

Вот:

[thyrex]

Удалите в МВАМ все, кроме

Код:

D:\Games\F1 2013\steam_api.dll (Riskware.Gamehack) -> Действие не было предпринято.
D:\Games\Need For Speed Rivals.Deluxe Edition.v 1.2.0.0\NFS14.exe (Trojan.Agent) -> Действие не было предпринято.
D:\Games\Need For Speed Rivals.Deluxe Edition.v 1.2.0.0\NFS14_x86.exe (Trojan.Agent) -> Действие не было предпринято.
D:\Games\Rayman Legends\steam_api.dll (VirTool.Obfuscator) -> Действие не было предпринято.
D:\Games\The Bureau - XCOM Declassified\Binaries\Win32\steam_api.dll (VirTool.Obfuscator) -> Действие не было предпринято.
D:\Soft\DTLite4454-0316.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
D:\Soft\Nero\Nero_9_Micro.exe (Trojan.KillAV) -> Действие не было предпринято.
D:\Soft\Player\Winamp\winamp563_full_emusic-7plus_ru-ru.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
D:\оля\---saga-curse-of-the-shadow-2013-hdrip-l2_id4599130ids2s.exe (PUP.Adware.MediaGet) -> Действие не было предпринято.
D:\Программы\avg_tuht_stf_all_2013_3_inst.exe (PUP.Optional.InstallCore) -> Действие не было предпринято.
D:\Программы\iLividSetup-r390-n-bi.exe (PUP.Optional.Bandoo) -> Действие не было предпринято.

[Skysprim]

Всё выполнил. У меня такой вопрос, после того что я сейчас удалил, программа Bonanza Deals полностью удалилась? Я просто пока MBAM сканировал комп, почитал что эта программа Bonanza Deals какой-то шпионский вирус, то есть из-за него могла произойти моя проблема?

[thyrex]

Что с проблемой?

[Skysprim]

В компьютер уже вроде никто не проникал и сайты самопроизвольно не открывались, но вот сейчас опять при включении браузера выпадает уже другой сайт - http://www.nash-zarabotok.net/. Я просто уже не понимаю что у меня с компьютером, у меня стоит антивирусник avg antivirus free 2014, но вот в его нормальной защите я сильно сомневаюсь.

- - - Добавлено - - -

Вот новые логи:

[Techno]

- Выполните в АВЗ:

Код:

begin
 QuarantineFile('C:\Users\user\AppData\Roaming\Theta\AdobeFlashPlayerUpdater.exe','');
 DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.url','32');
CreateQurantineArchive(GetAVZDirectory+'quarantine1.zip'); 
end.

Файл quarantine1.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

В настройках браузера какая страница стоит?

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 2
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\users\user\appdata\roaming\theta\adobeflashplay erupdater.exe - Trojan.MSIL.Agent.dayu ( BitDefender: Gen:Variant.Kazy.270235, AVAST4: MSIL:Dropper-AAG [Drp] )

[Skysprim]

В браузере домашняя страница моего провайдера. Карантин прислал. Проблема наверно решена, так как теперь при запуске странные сайты не выпадают, но вот недавно заметил что на сайте http://www.playground.ru/ при переходе на некоторые страницы, выскакивает в новом окне сайт браузерной игры которую они рекламируют и после этого случая выскочил ещё этот сайт http://nm1386689576.xmztalaikklwne.r...isClickUnder=1 . Не уверен что это оно, так как проверять не рискну, но по истории открытия именно он подходит.

Я хотел бы узнать, это действия вируса на компьютере или же это просто сайт playground'а выдаёт эти странички?