DNS UNLOCKER сильнее меня

[Dugdy]

Господа и дамы, прошу о помощи с этим надоедливым вирусом

[Info_bot]

Уважаемый(ая) Dugdy, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Л\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe','');
 QuarantineFile('C:\Program Files (x86)\version99PaceItUp\P8PaceItUpb18.exe','');
 QuarantineFile('C:\Program Files (x86)\Common Files\AppDownloads\F95FC87D-7D69-40B2-A02C-F15243EDA849.exe','');
 QuarantineFile('C:\Windows\system32\drivers\{f4191bb0-3007-4fbd-b83f-cc45648f3845}Gw64.sys','');
 QuarantineFile('C:\Windows\system32\drivers\{56db9de0-c769-4563-8e82-7e39885bf1ad}Gw64.sys','');
 QuarantineFile('C:\Windows\system32\drivers\{4dab53d4-80cb-41db-8aeb-6aff55ca8f33}Gw64.sys','');
 DeleteService('{f4191bb0-3007-4fbd-b83f-cc45648f3845}Gw64');
 DeleteService('{56db9de0-c769-4563-8e82-7e39885bf1ad}Gw64');
 DeleteService('{4dab53d4-80cb-41db-8aeb-6aff55ca8f33}Gw64');
 DeleteFile('C:\Windows\system32\drivers\{4dab53d4-80cb-41db-8aeb-6aff55ca8f33}Gw64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{56db9de0-c769-4563-8e82-7e39885bf1ad}Gw64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{f4191bb0-3007-4fbd-b83f-cc45648f3845}Gw64.sys','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','AppDownloads');
 DeleteFile('C:\Program Files (x86)\Common Files\AppDownloads\F95FC87D-7D69-40B2-A02C-F15243EDA849.exe','32');
 DeleteFile('C:\Program Files (x86)\version99PaceItUp\P8PaceItUpb18.exe','32');
 DeleteFile('C:\Windows\Tasks\PaceItUp Update.job','32');
 DeleteFile('C:\Windows\system32\Tasks\PaceItUp Update','64');
 DeleteFile('C:\Users\Л\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[Dugdy]

Логи прикрепил, карантин вроде как отправил

[thyrex]

Сделайте лог полного сканирования МВАМ

[Dugdy]

Сделано

[thyrex]

Удалите в МВАМ все, кроме

Код:

RiskWare.Tool.CK, C:\Users\Л\Desktop\Все\keygen.exe, , [af5f55d8d5b6a4927eca7e920ef48b75], 
HackTool.CheatEngine, C:\Users\Л\Downloads\the.binding_of_isaac_rebirth_v1.05_trainer_5.zip, , [010d2b02f893c175700ca1b14db35aa6], 
HackTool.CheatEngine, C:\Users\Л\Downloads\the_binding_of_isaac_wrath_of_the_lamb_steam_trainer_2_mrantifun.zip, , [1cf2e5485d2e53e390ec7ad80bf518e8], 
PUP.Optional.OpenCandy, C:\Users\Л\Downloads\CheatEngine64.exe, , [cb4376b7c1ca4aec7617bbd8ee138080], 
PUP.Optional.OpenCandy, Z:\программы для работ различного вида\DAEMONToolsPro510-0333.exe, , [85892409bccf39fd7e2f236658ade41c], 
HackTool.CheatEngine, Z:\Steam\steamapps\common\the binding of isaac\The Binding of Isaac Wrath Of The Lamb Steam Trainer +2 MrAntiFun.EXE, , [f519200da0eb3df959233e14b54b58a8],

[Dugdy]

Удалил, проблема не решена

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

[Dugdy]

Приложил

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
HKU\S-1-5-21-3578170459-3341867797-303081324-1001\...\Run: [amigo] => C:\Users\DanyaGTA\AppData\Local\Amigo\Application\amigo.exe --no-startup-window
HKU\S-1-5-21-3578170459-3341867797-303081324-1001\...\Run: [aeuybfizla] => explorer "http://rhereso.ru/?utm_source=uoua03&utm_content=17edd49f11242b062233f26a013b7073" <===== ATTENTION
HKU\S-1-5-21-3578170459-3341867797-303081324-1001\...\Run: [KometaLaunchPanel] => C:\Users\DanyaGTA\AppData\Local\Kometa\Panel\KometaLaunchPanel.exe
HKU\S-1-5-21-3578170459-3341867797-303081324-1001\...\Run: [KometaAutoLaunch_78F454B97439151F2668C3F6FA653874] => "C:\Users\DanyaGTA\AppData\Local\Kometa\Application\kometa.exe" --no-startup-window
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-3578170459-3341867797-303081324-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-21-3578170459-3341867797-303081324-1001 -> {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = hxxp://go-search.ru/search?q={searchTerms}
CHR Extension: (Smart Browser™) - C:\Users\Л\AppData\Local\Google\Chrome\User Data\Default\Extensions\bhnpmdabjgpimmnbmhefncbghknfegog [2015-06-05]
CHR Extension: (Smart Browser™) - C:\Users\Л\AppData\Local\Google\Chrome\User Data\Default\Extensions\iabeihobmhlgpkcgjiloemdbofjbdcic [2015-07-13]
CHR Extension: (Smart Browser™) - C:\Users\Л\AppData\Local\Google\Chrome\User Data\Default\Extensions\ihmgiclibbndffejedjimfjmfoabpcke [2015-08-06]
CHR Extension: (Smart Browser™) - C:\Users\Л\AppData\Local\Google\Chrome\User Data\Default\Extensions\nlipoenfbbikpbjkfpfillcgkoblgpmj [2015-07-31]
S3 2RbVqZ5Qb; \??\C:\Users\99AC~1\AppData\Local\Temp\2RbVqZ5Qb.sys [X]
S3 7jx7Uc7Ng; \??\C:\Users\99AC~1\AppData\Local\Temp\7jx7Uc7Ng.sys [X]
S3 88SzHdz54; \??\C:\Users\99AC~1\AppData\Local\Temp\88SzHdz54.sys [X]
S3 9B1Zuoee5; \??\C:\Users\99AC~1\AppData\Local\Temp\9B1Zuoee5.sys [X]
S3 9nlALiZMy; \??\C:\Windows\system32\drivers\9nlALiZMy.sys [X]
S3 AgocyF9Hl; \??\C:\Users\99AC~1\AppData\Local\Temp\AgocyF9Hl.sys [X]
S3 cXb38Yb0Y; \??\C:\Users\99AC~1\AppData\Local\Temp\cXb38Yb0Y.sys [X]
S3 eGh3HGGj2; \??\C:\Users\99AC~1\AppData\Local\Temp\eGh3HGGj2.sys [X]
2015-07-06 22:10 - 2015-08-30 10:50 - 00000000 ____D C:\Users\Л\AppData\Roaming\Microsoft\Windows\Start Menu\Боковая панель - Комета
2015-07-06 18:09 - 2015-08-30 10:50 - 00000000 ____D C:\Users\Л\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\vsemposkidki
2015-07-06 18:09 - 2015-08-30 10:50 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\application extension
2015-07-06 18:08 - 2015-08-18 20:14 - 00000000 ____D C:\Program Files (x86)\PP助手2.0
2015-07-06 18:08 - 2015-07-06 18:08 - 00000000 ____D C:\Users\Л\AppData\Roaming\ahelper
Task: {C959303C-B94A-4161-AC7D-CDF0639CB584} - \Microsoft\Windows\SafeBrowser -> No File <==== ATTENTION
Task: {D0B91B4E-DE4C-4B6A-9456-0247047ABF67} - \DNSATLANTIC -> No File <==== ATTENTION
Task: {F52C86BB-CBF9-4DB3-AC9D-35D6B92F0F09} - \Microsoft\Windows\extsetup -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

[Dugdy]

Готово

[thyrex]

Что с проблемой?

[Dugdy]

Увы, не решена

[thyrex]

Пофиксите в HiJack

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{0CBD3C54-DD0A-458D-A602-C1F3382727AB}: NameServer = 82.163.143.172,82.163.142.174
O17 - HKLM\System\CCS\Services\Tcpip\..\{791638EE-A975-47AB-B695-B869C289B483}: NameServer = 82.163.143.172,82.163.142.174
O17 - HKLM\System\CCS\Services\Tcpip\..\{F02D0DF3-7818-41CA-9C10-FF419AEF11AA}: NameServer = 82.163.143.172,82.163.142.174
O17 - HKLM\System\CS1\Services\Tcpip\..\{0CBD3C54-DD0A-458D-A602-C1F3382727AB}: NameServer = 82.163.143.172,82.163.142.174
O17 - HKLM\System\CS2\Services\Tcpip\..\{0CBD3C54-DD0A-458D-A602-C1F3382727AB}: NameServer = 82.163.143.172,82.163.142.174

Сделайте новый лог после перезагрузки