Вирус при подключении к интернету, запуске браузеров и открытии сайта в процессе svchost.exe

[Алексей2894]

Здравствуйте, с недавнего времени антивирус аваст стал сигнализировать о вирусе в процессе svchost.exe. Происходит это при подключении к интернету, запуске браузеров и открытии любого сайта, при этом, сайты открываются нормально. Утилиты, вроде Доктора Веба не помогли. Надеюсь на вашу помощь. Спасибо. Логи AVZ и HJT прикрепляю.

[Info_bot]

Уважаемый(ая) Алексей2894, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Американский ProxyServer="162.243.149.85:8080" сами прописали?

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files (x86)\SupTab\uninstall.exe','');
 QuarantineFile('C:\Users\CD86~1\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE','');
 QuarantineFile('C:\Users\Алексей\AppData\Local\Microsoft\Redist\VCRedist.exe','');
 QuarantineFile('C:\Windows\TEMP\VKDownloader_restartonfail\InstallAfterRebootService0.exe','');
 DeleteService('Rerun service for VK Downloader');
 DeleteFile('C:\Windows\TEMP\VKDownloader_restartonfail\InstallAfterRebootService0.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Aimersoft Helper Compact.exe','command');
 DeleteFile('C:\Users\CD86~1\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\Windows\Tasks\UpdaterEX.job','64');
 DeleteFile('C:\Windows\system32\Tasks\UpdaterEX','64');
 DeleteFile('C:\Windows\system32\Tasks\{4E6A1843-F515-4816-B9A7-4FC783E75C27}','64');
 DeleteFile('C:\Program Files (x86)\SupTab\uninstall.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;	
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Расширение для браузеров VK Downloader (Загрузчик Вконтакте) удалите, если найдется

Сделайте новые логи

Сделайте логи RSIT

[Алексей2894]

Скрипт выполнил. Да, прокси-сервер прописывал сам, чтобы зайти на один сайт. Это было давно, да и сам он был прописан, но отключен. Ну, я его стёр уже. Логи вот новые сделал, в HJT, AVZ, и RSIT. Карантин тоже прилагаю.

[thyrex]

Пофиксите в HiJack

Код:

O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)

Удалите вручную C:\Users\Алексей\AppData\Roaming\UpdaterEX

Что с проблемой?

[Алексей2894]

Пофиксил, удалил, папка эта была пустой. Всё так и осталось, при включении интернета, при открытии любого браузера, либо при открытии любого сайта, выскакивает эта угроза.

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Алексей2894]

Вот, всё сделал, прилагаю. Надеюсь, что получится во всём разобраться, хитрый какой-то вирус. Непонятно где он засел.

[thyrex]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
  CHR HKLM-x32\...\Chrome\Extension: [jggbjbmnfmipgcanidamjfpechdeekoi] - No Path
  CHR HKLM-x32\...\Chrome\Extension: [pldbienodkpgkccocelidinmciedjdok] - No Path
  OPR Extension: (No Name) - C:\Users\Алексей\AppData\Roaming\Opera Software\Opera Stable\Extensions\mdpljndcmbeikfnlflcggaipgnhiedbl [2014-08-13]
  OPR Extension: (SaveFrom.net helper) - C:\Users\Алексей\AppData\Roaming\Opera Software\Opera Stable\Extensions\npdpplbicnmpoigidfdjadamgfkilaak [2014-09-18]
  Task: {ED57C93C-D1A9-4263-AA38-4A121D96E078} - \UpdaterEX No Task File <==== ATTENTION
  TEMP:
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[Алексей2894]

Вот

[thyrex]

Что с проблемой?

[Алексей2894]

Больше такого сообщения не выскакивает, спасибо за помощь Но, меня смущает один момент. Теперь когда я включаю интернет, запускаю браузер и открываю любой сайт, буквально на секунду открывается пустое окошко командной строки и сразу закрывается. Не связано ли это с этим? Раньше его не было. А теперь сообщение не выскакивает, а это появилось.

[thyrex]

В каком браузере?

[Алексей2894]

Я имею ввиду, что теперь вместо того сообщения аваста, когда я подключаюсь к интернету, либо открываю любой из браузеров или сайтов, появляется на долю секунды пустое окошко cmd.exe и сразу же исчезает. Раньше такого не было. Это нормально?

[thyrex]

Сделайте лог Check Browsers' LNK

[Алексей2894]

Прилагаю.

[thyrex]

У меня идей нет

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 0
• В ходе лечения вредоносные программы в карантинах не обнаружены