Закрывается браузер при попытке зайти на сайт, заблокирован антивирус [Trojan.Win32.Yakes.fgno, Trojan.Win32.Yakes.fiuc ]

[bistro]

Добрый день! Закрывается мозилла, не работает комодо антивирус. Ручками почистил хостс и удалил во временных файлах найденную бяку. Но где-то еще сидит зараза. Пожалуйста, посмотрите логи.

Вложение 485152
Вложение 485151
Вложение 485153

[Info_bot]

Уважаемый(ая) bistro, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[regist]

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true); 
 QuarantineFile('C:\Users\Пользователь\AppData\Local\Temp\Ixeeahi\yxkbjaua.exe','');
 QuarantineFile('C:\PROGRA~2\msyncxle.exe','');
 DeleteFile('C:\PROGRA~2\msyncxle.exe','32');
 DeleteFile('C:\Users\Пользователь\AppData\Local\Temp\Ixeeahi\yxkbjaua.exe','32');BC_ImportALL;
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','1486410446');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xhhpjaua');
ExecuteSysClean;
 DelBHO('{c20391ee-b6fd-4a35-9f1b-2892dda5b107}');
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteRepair(10);
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)


- Сделайте лог полного сканирования МВАМ.

[bistro]

Выполнил. Карантин и новые логи прилагаю. Браузеры также остаются заблокированы, кроме Оперы. МВАМ скачал, но он также не устанаваливается, как и антивирус, щелкаешь на экзешник, и на этом все, тишина. Прошу дальнейшей помощи.
Вложение 485697
Вложение 485698

[mike 1]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\Windows\system32\ZVQzNgOdMMC_be.exe','');
 QuarantineFile('C:\Windows\System32\uKoCAqyxUWlsQM.exe','');
 QuarantineFile('C:\PROGRA~2\msyncxle.exe','');
 DeleteFile('C:\PROGRA~2\msyncxle.exe','32');
 DeleteFile('C:\Windows\system32\ZVQzNgOdMMC_be.exe','32');
 DeleteFile('C:\Windows\system32\uKoCAqyxUWlsQM.exe','32');
 RegKeyResetSecurity('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run');     
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','1486410446');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','sIcbPbQnVDGogOpuKJTaezRKNO');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','CYKKgPBseXCicJowTnrkMgsMiC');        
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(false);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

Код:

O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
O4 - Startup: System Check.lnk = C:\Windows\System32\uKoCAqyxUWlsQM.exe

Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

[bistro]

Выполнил. Частично проблема решилась, браузеры перестали блокироваться. Но экзешники дистрибутивов комодо интернет секьюрити и МВАМ по-прежнему не запускаются. Что можно еще предпринять? Прилагаю карантин и новые логи.
Вложение 485707
Вложение 485708

[mike 1]

Скачайте ComboFix здесь и сохраните в корень диска С.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

[bistro]

Выполнил. Но по прежнему не запускаются экзешники дистрибутивов MBAM и Comodo Internet Security. Вот лог:

Вложение 486864

[mike 1]

Running from: c:\users\¦юы№чютрЄхы№\Downloads\ComboFix.exe
AV: COMODO Antivirus *Enabled/Updated* {B74CC7D2-B407-E1DC-1033-DD315BCDC8C8}
FW: COMODO Firewall *Enabled* {8F7746F7-FE68-E084-3B6C-7404A51E8FB3}
SP: COMODO Antivirus *Enabled/Updated* {0C2D2636-923D-EE52-2A83-E643204A8275}

Для кого я писал отключить антивирус перед запуском Combofix? Combofix я просил сохранить на диск С.

[bistro]

Тогда объясните как его отключить, пожалуйста. Я пытался его удалить, так как он не работал, в трее ничего не было, но удаление зависало. Удалил рево анинсталлером, но остались службы комодовские, хотя их запустить невозможно, я пробовал, выходит ошибка об отсутствии файлов. И они действительно отсутствуют, так как удалена папка комодо в програм файлс, где они раньше были. То есть ни одна из служб, про которую вы писали не запущена, в трее иконки комодо нет и в списке установленных программ комодо тоже нет.

[mike 1]

Воспользуйтесь в безопасном режиме этой http://uninst.ru/download/Comodo_Uninstall_Tools.zip утилитой удаления. Потом сделайте новый лог Combofix.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 13
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\progra~2\msyncxle.exe - Backdoor.Win32.Androm.elze ( BitDefender: Trojan.GenericKD.1712562, AVAST4: Win32:Malware-gen )
  2. c:\windows\system32\ukocaqyxuwlsqm.exe - Trojan.Win32.Yakes.fgno ( BitDefender: Trojan.Generic.11462726, AVAST4: Win32:Malware-gen )
  3. c:\windows\system32\zvqzngodmmc_be.exe - Trojan.Win32.Yakes.fiuc ( BitDefender: Trojan.GenericKD.1762425, AVAST4: Win32:Agent-ATXP [Trj] )