Комп не открывает папки все хуже и хуже [Trojan.WinLNK.StartPage.c ]

[mkondrina]

Здравствуйте, помогите пожалуйста, похоже у племянницы на компе вирус. Сначала просто было не войти в Мой компьютер, комп при этом как бы подвисал, затем Windows8 предлагала завершить процесс или еще подождать. Однако в Проводник еще можно было попасть и смотреть папки, если заходить через Управление - Управление дисками. Запустить из этих папок программы не удавалось, но из Загрузок гугл хрома все-таки удалось запустить drweb в безопасном режиме. Затем мы многократно запускали бесплатные лечебные утилиты drweb и каспера в безопасном, затем в обычном режиме. У меня еще было подозрение на неисправность диска, т к chkdsk несколько сеансов не мог перешагнуть через 27%, но потом система все-таки запустилась. При лечении каждый раз находили вирусы с новыми названиями, общим числом штук 40, которые, как сообщали утилиты, успешно вылечивались. Теперь я боюсь продолжать этот процесс, потому что с открытием папок стало еще хуже, теперь и через Управление дисками папки не открываются, а Загрузки через гугл хром открываются на секунду и сразу закрываются, спасаюсь только командной строкой, но боюсь, что скоро нас совсем задушит. У племянниц наставлено игр, каких-то виртуальных диков, да еще поставлен антивируc Eset пробная версия, скоро заканчивается, и в нем тоже был типа вылечен троян в dll. Я не могу его полностью выключить, такой кнопки не нашла, только частично галками.Посмотрите, пожалуйста, вашим опытным глазом на наши логи. Интернет вроде работает, только благодаря этому логи удалось переслать на другой комп и привязать к письму.

[Info_bot]

Уважаемый(ая) mkondrina, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[regist]

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true); 
 QuarantineFile('C:\Users\EF67~1\AppData\Local\Temp\UsageTemp.exe','');
 QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe','');
 QuarantineFile('C:\Program Files (x86)\Internet Explorer\iexplore.url','');
 QuarantineFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.url','');
 DeleteFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.url','32');
 DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.url','32');
 DeleteFile('C:\Users\EF67~1\AppData\Local\Temp\UsageTemp.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','UsageTemp');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

Zaxar - деинсталируйте.


- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

[mkondrina]

Здравствуйте! Спасибо за помощь

Насчет деинсталлировать zaxar: такого имени не нашла среди приложений, служб, при поиске файлов тоже не найдено, только внутри логов, так что не знаю, что еще сделать

MD5 карантина: A4A187A4779242710781ED8CA951D514
Размер файла: 7048322 байт

[regist]

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true); 
 QuarantineFileF('C:\Program Files\Zaxar\','*', true,'',0 ,0);
 QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe','');
 DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\MetaCrawler.job','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\MetaCrawler','64');
 DeleteFile('C:\Users\связной\appdata\roaming\funspace\shadow\funspace.update\funspace.update.process.exe','32');
 DeleteFileMask('C:\Program Files\Zaxar\', '*', true);
 DeleteDirectory('C:\Program Files\Zaxar\', '');
 ExecuteRepair(3);
 ExecuteRepair(4);
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Удалите в AdwCleaner всё, кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите.

[mkondrina]

Здравствуйте! Спасибо за помощь, вроде все сделала
Но не понимаю, загрузился карантин или нет. Вроде все прокачалось, но сообщения об успешности я не видела. Карантин должен быть от 16-го февраля

[regist]

что с проблемой?

[mkondrina]

Почти как и раньше. При попытке открыть любую папку с Рабочего стола или Мой компьютер, нажать правой кнопкой на ярлык на секунду открывается папка или список действий, затем весь экран очищается и через секунду восстанавливается Рабочий стол. Но программы с Рабочего стола начали запускаться. Через Управление - Управление дисками Проводник также не запускается, вернее запускается на секунду и мигает аналогично.

[regist]

- Сделайте лог полного сканирования МВАМ.

[mkondrina]

Добрый день, высылаю лог

[regist]

Удалите в MBAM всё кроме

Код:

C:\Games\Aion-Final\Aion-Final.exe (Trojan.Pincher) -> Действие не было предпринято.
C:\Users\связной\Desktop\PhotoScape_V3-6-5.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Users\связной\Desktop\Softs\DTLite.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.

Выполните скрипт в AVZ

Код:

begin
 ExecuteRepair(8);
 ExecuteWizard('TSW', 2, 2, true);
 RebootWindows(false);
end.

компьютер перезагрузится проверьте, что с проблемой?

[mkondrina]

Проблема сохраняется

[regist]

в безопасном режиме тоже самое?

[mkondrina]

Да.

[regist]

Сделайте лог ComboFix

[mkondrina]

Здравствуйте, спасибо за поддержку, лог прикрепила. Еще хочу сказать, вдруг это как-то связано, что у нас тоже все время браузер самостоятельно открывает сайт oduxa.net

[regist]

Профиксите в HijackThis

Код:

O4 - HKLM\..\Run: [Babakan] cmd.exe /k if %date:~6,4%%date:~3,2%%date:~0,2% LEQ 20131027 (exit) else (start http://dinoraptzor.org && exit)

сделайте новый лог HijackThis

проблема с открытием папок начинается сразу после включения компьютера до того как вы начнёте запускать браузер и другие программы?

[mkondrina]

Здравствуйте, спасибо за помощь!
После "пофиксить" кое-что изменилось.
Мы работаем в Windows8, т.е. после включения компьютера появляется окно Пуск с ярлыками. Потом я щелкаю Рабочий стол. Раньше сразу после этого самопроизвольно стартовал гугл хром с сайтом oduxa(иногда перед этим сайтом успевали заметить еще сайт dinoraptzor). Интернет был не подключен, сайт не мог загрузиться, я спокойно закрывала окно гугл хрома и начинала пробовать открывать папки.
Теперь гугл хром самопроизвольно не стартует. В безопасном режиме папки открываются, свойства тоже можно посмотреть (до последнего времени это было невозможно). Но Мой компьютер не открылся: открылось пустое окно, побежал зеленый бегунок, дошел почти до конца, стоял-стоял, мне надоело, щелкнула на крестик, закрылось мгновенно без сообщений.
В обычном режиме гугл хром тоже больше самопроизвольно не стартует. При попытке открыть Мой компьютер или папку с рабочего стола все исчезает, на экране синее окно на секунду, затем восстанавливается рабочий стол (как и было). Свойства папок тоже не открывает, стоит щелкнуть правой кнопкой на папке, как появляется синее окно и все аналогично. Свойства Мой компьютер (т.е. окно Система) открывается спокойно. Изредка при открытии папок получаю сообщение windows, что есть проблема в Проводнике (по-моему, когда пыталась менять настройки гугл хрома)
В системе когда-то был создан виртуальный cd-rom1, вернее bd-room под буквой g: для игры в Sims3, раньше вел себя активно и после каждой перезагрузки спрашивал, что мы хотим с ним сделать. В последнее время замолчал, молча торчит в Управлении дисками. Может быть, это из-за него не может открыться Мой компьютер или это как-то влияет. Может эту Sims3 деинсталлировать, как думаете, это может помочь?
Новый лог прикрепила.

[regist]

1) Удалите ComboFix

2) Выполните скрипт

Код:

begin
 ExecuteRepair(6);
 ExecuteRepair(8);
 ExecuteWizard('TSW', 2, 2, true);
 RebootWindows(false);
end.

после перезагрузки ещё раз проверьте проблему.

[mkondrina]

После перезагрузки изменений нет ни в обычном, ни в безопасном режиме, все мигает, как я описала в прошлый раз. Правда, в безопасном режиме через Мой комп - Управление дисками уже удалось открыть диск с: (запустить Проводник). (Еще недавно, но До выполнения ваших последних инструкций, при перезагрузке на пару секунд стал открываться вышеупомянутый bd-room, в виде открытой папки, в ней setup,autorun, потом сам закрывается)

- - - Добавлено - - -

И еще в Выходе из системы исчезла кнопка для выключения компьютера (остались только специальные возможности и переключение языка клавиатуры)