Проблема как минимум с Word (не запускается autologger.exe) [not-a-virus:AdWare.Win32.ELEX.aos ]

[helther]

При сохранении документа Word, офис виснет, в диспетчере задач повышается активность процессов iexplore.exe и searchindexer.exeavz_log.txt

[Info_bot]

Уважаемый(ая) helther, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\ProgramData\wintools\WintoolUprI.exe','');
 QuarantineFile('C:\Program Files (x86)\Cherboing Center\local64spl.dll','');
 QuarantineFile('C:\Program Files (x86)\mpck\wincom_33X.exe','');
 QuarantineFile('C:\Users\helther\AppData\Local\1972e48\svсhоst.exe','');
 QuarantineFile('C:\Users\helther\AppData\Roaming\SafeWeb\ml.py','');
 QuarantineFile('C:\Users\helther\AppData\Roaming\SafeWeb\python\pythonw.exe','');
 QuarantineFile('C:\Users\helther\AppData\Local\Temp\{a65-14-fe-4a4f1-8038f-b0ae-588b4}\ccjZaHKj8-.exe','');
 QuarantineFile('C:\Program Files\NRLX13RBKG\NRLX13RBK.exe','');
 QuarantineFile('C:\Users\helther\AppData\Local\Temp\IFWAFZWTDG.exe','');
 QuarantineFile('C:\ProgramData\hdtask\hdtask.exe','');
 QuarantineFile('C:\Program Files\68E9V9MPQJ\JHOAZWL9B.exe','');
 QuarantineFile('C:\Program Files\K81DWCS23H\5I17WMHPL.exe','');
 QuarantineFile('C:\Program Files\LYE78KK6JW\CUXVGQIB7.exe','');
 QuarantineFile('C:\Program Files\E31ZELXXM6\E31ZELXXM.exe','');
 QuarantineFile('C:\Program Files (x86)\BestCleaner\S2XO0GTKFY.exe','');
 QuarantineFile('C:\Program Files (x86)\Anumergecicient\FerleryplamghCnt.dll','');
 QuarantineFile('C:\Users\helther\AppData\Roaming\WinSnare\WinSnare.dll','');
 QuarantineFile('C:\ProgramData\WinSAPSvc\WinSAP.dll','');
 QuarantineFile('C:\Program Files (x86)\Gubed\GubedZL.dll','');
 QuarantineFile('C:\Program Files (x86)\WinArcher\Archer.dll','');
 SetServiceStart('ucdrv', 4);
 DeleteService('ucdrv');
 QuarantineFile('C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys','');
 QuarantineFile('\Program Files (x86)\UCBrowser\Security','');
 DeleteFile('\Program Files (x86)\UCBrowser\Security','32');
 DeleteFile('C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys','32');
 DeleteFile('C:\Program Files (x86)\WinArcher\Archer.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Archer\Parameters','ServiceDll');
 DeleteFile('C:\Program Files (x86)\Gubed\GubedZL.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\GubedZL\Parameters','ServiceDll');
 DeleteFile('C:\Program Files (x86)\Anumergecicient\FerleryplamghCnt.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Worery\Parameters','ServiceDll');
 DeleteFile('C:\Program Files (x86)\BestCleaner\S2XO0GTKFY.exe','32');
 DeleteFile('C:\Program Files\E31ZELXXM6\E31ZELXXM.exe','32');
 DeleteFile('C:\Program Files\LYE78KK6JW\CUXVGQIB7.exe','32');
 DeleteFile('C:\Program Files\K81DWCS23H\5I17WMHPL.exe','32');
 DeleteFile('C:\Program Files\68E9V9MPQJ\JHOAZWL9B.exe','32');
 DeleteFile('C:\ProgramData\hdtask\hdtask.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\hdtask','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\H6AIIFELSY','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BW8E2N4F0I','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BBQYQ39LXP','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AO8LKYQLMI','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\6WJPLMZ8WZ','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\helther','command');
 DeleteFile('C:\Users\helther\AppData\Local\Temp\IFWAFZWTDG.exe','32');
 DeleteFile('C:\Program Files\NRLX13RBKG\NRLX13RBK.exe','32');
 DeleteFile('C:\Users\helther\AppData\Local\Temp\{a65-14-fe-4a4f1-8038f-b0ae-588b4}\ccjZaHKj8-.exe','32');
 DeleteFile('C:\Users\helther\AppData\Roaming\SafeWeb\python\pythonw.exe','32');
 DeleteFile('C:\Users\helther\AppData\Roaming\SafeWeb\ml.py','32');
 DeleteFile('C:\Users\helther\AppData\Local\1972e48\svсhоst.exe','32');
 DeleteFile('C:\Program Files (x86)\mpck\wincom_33X.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WINCOM33X','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\update','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SafeWeb','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Publisher','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NvBackend','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MUR3RECDRK','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mailruhomesearch','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IJ2G5AHVKJ','command');
 DeleteFile('C:\Users\helther\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk','32');
 DeleteFile('C:\Program Files (x86)\Cherboing Center\local64spl.dll','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Multimedia\Manager','64');
 DeleteFile('C:\Windows\system32\Tasks\UCBrowserSecureUpdater','64');
 DeleteFile('C:\ProgramData\wintools\WintoolUprI.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\WinTOOL','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9); 
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите Check_Browsers_LNK.log из папки Autologger на ClearLNK как показано на рисунке

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
4. Прикрепите этот отчет к своему следующему сообщению.

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

[helther]

Слава правилам! Карантин прислал. Проблем пока не обнаружил.

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[helther]

Отчеты! Ну и спасибо конечно же.

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
HKLM\...\Providers\6tvjwkwq: C:\Program Files (x86)\Cherboing Center\local64spl.dll
ShellExecuteHooks: No Name - {C31E28DA-D3F7-11E6-9B51-64006A5CFC35} - C:\Users\helther\AppData\Roaming\Pljupyatonient\Atocus.dll -> No File
GroupPolicy: Restriction - Chrome <======= ATTENTION
FF Extension: (AS Magic Player) - C:\Users\helther\AppData\Roaming\Mozilla\Firefox\Profiles\9yyh50sw.default\Extensions\[email protected] [2016-02-05]
FF Extension: (Adblock Plus) - C:\Users\helther\AppData\Roaming\Mozilla\Firefox\Profiles\9yyh50sw.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2017-01-05]
FF Extension: (No Name) - C:\Users\helther\AppData\Roaming\Mozilla\Firefox\Profiles\9yyh50sw.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found]
FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 => not found
FF HKU\S-1-5-21-2086490527-3429309545-3244957777-1000\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 => not found
CHR Extension: (Ace Stream Web Extension) - C:\Users\helther\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\mjbepbhonbojpoaenhckjocchgfiaofo [2017-01-13]
CHR Extension: (Fast search) - C:\Users\helther\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\pbdpajcdgknpendpmecafmopknefafha [2017-01-13]
CHR Extension: (Fast search) - C:\Users\helther\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbdpajcdgknpendpmecafmopknefafha [2017-01-13]
CHR Extension: (Adblock Plus) - C:\Users\helther\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2017-01-13]
CHR Extension: (Fast search) - C:\Users\helther\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\pbdpajcdgknpendpmecafmopknefafha [2017-01-13]
CHR Extension: (Fast search) - C:\Users\helther\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\pbdpajcdgknpendpmecafmopknefafha [2017-01-13]
CHR HKU\S-1-5-21-2086490527-3429309545-3244957777-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx
2017-01-13 18:14 - 2017-01-13 18:23 - 00000000 ____D C:\Program Files (x86)\WinArcher
2017-01-13 18:14 - 2017-01-13 18:23 - 00000000 ____D C:\Program Files (x86)\Gubed
2017-01-13 18:14 - 2017-01-13 18:14 - 00000000 ____D C:\Users\Все пользователи\WinSAPSvc
2017-01-13 18:14 - 2017-01-13 18:14 - 00000000 ____D C:\ProgramData\WinSAPSvc
2017-01-13 18:14 - 2017-01-13 18:14 - 00000000 ____D C:\Program Files (x86)\WinSnare(4.0.4)
2017-01-13 15:21 - 2017-01-13 18:14 - 00000000 ____D C:\Users\helther\AppData\Roaming\WinSnare
2017-01-13 15:21 - 2017-01-13 18:13 - 00000000 ____D C:\Program Files\6tvjwkwq
2017-01-13 15:21 - 2017-01-13 16:21 - 00000000 ____D C:\Users\Все пользователи\wintools
2017-01-13 15:21 - 2017-01-13 16:21 - 00000000 ____D C:\ProgramData\wintools
2017-01-13 01:01 - 2017-01-13 01:12 - 00000000 ____D C:\Program Files (x86)\UCBrowser
2017-01-13 01:01 - 2017-01-13 01:01 - 00000000 ____D C:\Users\helther\AppData\Local\UCBrowser
2017-01-13 00:55 - 2017-01-13 18:23 - 00000000 ____D C:\Program Files (x86)\Anumergecicient
2017-01-13 00:55 - 2017-01-13 01:21 - 00000000 ____D C:\Users\helther\AppData\Roaming\Pljupyatonient
2017-01-13 00:55 - 2017-01-13 00:56 - 00000000 ____D C:\Users\helther\AppData\Local\Muzeylervy
C:\Users\helther\AppData\Local\Temp\f5q34sa2.dll
Task: {7DD1586E-9946-4774-BCFF-BED3C15397CA} - \UCBrowserSecureUpdater -> No File <==== ATTENTION
Task: {824D710D-00EF-4015-A757-083460620874} - \Microsoft\Windows\Multimedia\Manager -> No File <==== ATTENTION
AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x64.sys [23652]
AlternateDataStreams: C:\Windows\system32\drivers:x64 [1479458]
AlternateDataStreams: C:\Windows\system32\drivers:x86 [1205026]
MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Zaxar Games Browser.lnk => C:\Windows\pss\Zaxar Games Browser.lnk.CommonStartup
MSCONFIG\startupfolder: C:^Users^helther^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^SafeWeb.lnk => C:\Windows\pss\SafeWeb.lnk.Startup
MSCONFIG\startupreg: 6WJPLMZ8WZ => 
MSCONFIG\startupreg: AO8LKYQLMI => 
MSCONFIG\startupreg: BBQYQ39LXP => 
MSCONFIG\startupreg: BW8E2N4F0I => 
MSCONFIG\startupreg: H6AIIFELSY => 
MSCONFIG\startupreg: hdtask => 
MSCONFIG\startupreg: helther => explorer.exe http://sd-steam.info
MSCONFIG\startupreg: IJ2G5AHVKJ => 
MSCONFIG\startupreg: mailruhomesearch => "C:\Users\helther\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe" --pr_deferred
MSCONFIG\startupreg: MUR3RECDRK => 
MSCONFIG\startupreg: SafeWeb => 
MSCONFIG\startupreg: update => 
MSCONFIG\startupreg: WINCOM33X => 
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[helther]

fixlog

[thyrex]

Проблема решена?

[helther]

Решена, благодарю

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 9
• В ходе лечения вредоносные программы в карантинах не обнаружены