Вирус создает автозагрузку [Trojan.Win32.Scar.prcl, HEUR:Trojan.Win32.Generic ]

[Odar.sp]

День добрый, на ноутбуке вирус появился. Вирус создает в автозагрузке новые строки, я их отключаю, он дополнительно создает
Qlauak и очень длинные названия цифрового и символьного содержания. Ноутбук начинает тормозить. После чистки AVZ(ничего не нашел) и ADWcleaner(нашел 126 вирусов) все равно продолжает создавать автозагрузку. Так же не отображается рабочий стол, заставку видно, а вот ярлыки и компоненты(мой компьютер, файлы пользователя) не отображаются. Помогите пожалуйста, спасибо заранее.

[Info_bot]

Уважаемый(ая) Odar.sp, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[regist]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\cd92~1\appdata\local\temp\8nqcg.exe');
 TerminateProcessByName('c:\users\cd92~1\appdata\local\temp\u4xrs.exe');
 TerminateProcessByName('c:\users\cd92~1\appdata\local\temp\wfnrm.exe');
 QuarantineFile('c:\users\cd92~1\appdata\local\temp\8nqcg.exe', '');
 QuarantineFile('c:\users\cd92~1\appdata\local\temp\u4xrs.exe', '');
 QuarantineFile('c:\users\cd92~1\appdata\local\temp\wfnrm.exe', '');
 QuarantineFile('C:\Users\Рамиль\AppData\Roaming\WindowsUpdate\mobsync.exe', '');
 QuarantineFile('C:\Users\Рамиль\AppData\Roaming\WindowsUpdate\VGA.exe', '');
 QuarantineFile('C:\Users\Рамиль\AppData\Roaming\WindowsUpdate\MSupdate.exe', '');
 QuarantineFile('C:\Users\Рамиль\AppData\Roaming\Update\MSupdate.exe', '');
 QuarantineFileF('c:\users\Рамиль\appdata\roaming\{d67a5d9d-d39f-1459-2602-c06c185ec843}\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\programdata\{ecf74365-8a01-c79e-4158-a40b033f1953}\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFile('C:\Users\Рамиль\AppData\Roaming\Microsoft\Windows\Qlauak.exe', '');
 TerminateProcessByName('C:\Users\Рамиль\AppData\Roaming\Windows Live\rxoaefqeqi.exe');
 QuarantineFile('C:\Users\Рамиль\AppData\Roaming\Windows Live\rxoaefqeqi.exe', '');
 DeleteFile('C:\Users\Рамиль\AppData\Roaming\Windows Live\rxoaefqeqi.exe');
 TerminateProcessByName('C:\Users\Рамиль\appdata\roaming\update\explorer.exe');
 QuarantineFile('C:\Users\Рамиль\appdata\roaming\update\explorer.exe', '');
 DeleteFile('C:\Users\Рамиль\appdata\roaming\update\explorer.exe');
 TerminateProcessByName('C:\Users\Рамиль\appdata\roaming\update\update.exe');
 QuarantineFile('C:\Users\Рамиль\appdata\roaming\update\update.exe', '');
 DeleteFile('C:\Users\Рамиль\appdata\roaming\update\update.exe');
 TerminateProcessByName('C:\Users\Рамиль\appdata\roaming\windowsupdate\live.exe');
 QuarantineFile(' QuarantineFile('C:\Users\Рамиль\appdata\roaming\windowsupdate\live.exe', '');', '');
 DeleteFile(' QuarantineFile('C:\Users\Рамиль\appdata\roaming\windowsupdate\live.exe', '');');
 QuarantineFile(' DeleteFile('C:\Users\Рамиль\appdata\roaming\windowsupdate\live.exe');', '');
 DeleteFile(' DeleteFile('C:\Users\Рамиль\appdata\roaming\windowsupdate\live.exe');');
 DeleteFile('C:\Users\Рамиль\AppData\Roaming\Microsoft\Windows\Qlauak.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Qlauak');
 QuarantineFile('C:\Users\Рамиль\appdata\roaming\c731200','');
 DeleteFile('C:\Users\Рамиль\appdata\roaming\c731200','32');
 DeleteFile('c:\users\cd92~1\appdata\local\temp\8nqcg.exe', '32');
 DeleteFile('c:\users\cd92~1\appdata\local\temp\u4xrs.exe', '32');
 DeleteFile('c:\users\cd92~1\appdata\local\temp\wfnrm.exe', '32');
 DeleteFile('C:\Users\Рамиль\AppData\Roaming\WindowsUpdate\mobsync.exe', '32');
 DeleteFile('C:\Users\Рамиль\AppData\Roaming\WindowsUpdate\VGA.exe', '32');
 DeleteFile('C:\Users\Рамиль\AppData\Roaming\WindowsUpdate\MSupdate.exe', '32');
 DeleteFile('C:\Users\Рамиль\AppData\Roaming\Update\MSupdate.exe', '32');
 DeleteFileMask('c:\users\Рамиль\appdata\roaming\{d67a5d9d-d39f-1459-2602-c06c185ec843}\', '*', true);
 DeleteFileMask('c:\programdata\{ecf74365-8a01-c79e-4158-a40b033f1953}\', '*', true);
 DeleteDirectory('c:\users\Рамиль\appdata\roaming\{d67a5d9d-d39f-1459-2602-c06c185ec843}\');
 DeleteDirectory('c:\programdata\{ecf74365-8a01-c79e-4158-a40b033f1953}\');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\{4A6A75AD-FBAF-8849-2602-C06C185EC843}', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\{70E76B55-A231-5B8E-4158-A40B033F1953}', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('TSW', 2, 3, true);
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[Odar.sp]

Карантин прикрепил, логи тоже. В скрипте были синтаксические ошибки.

[regist]

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

где ссылка на отчёт?

- - - - -Добавлено - - - - -

+

Профиксите в HijackThis из папки ..\AutoLogger\HiJackThis

Код:

O4 - HKCU\..\Run: [Windows Update Installer] C:\Users\Рамиль\AppData\Roaming\WindowsUpdate\Updater.exe  (file missing)
O4 - HKCU\..\Run: [{4A6A75AD-FBAF-8849-2602-C06C185EC843}] c:\users\Рамиль\appdata\roaming\{d67a5d9d-d39f-1459-2602-c06c185ec843}\7bc58d02.exe  (file missing)
O4 - HKCU\..\Run: [{70E76B55-A231-5B8E-4158-A40B033F1953}] c:\programdata\{ecf74365-8a01-c79e-4158-a40b033f1953}\414893fa.exe  (file missing)
O4 - MSConfig\startupreg: [Windows System Installer] C:\Users\Рамиль\AppData\Roaming\WindowsUpdate\System.exe  (file missing) (HKCU) (2017/03/30)
O4 - MSConfig\startupreg: [Windows Update Installer] C:\Users\Рамиль\AppData\Roaming\WindowsUpdate\Updater.exe  (file missing) (HKCU) (2017/03/30)
O4 - MSConfig\startupreg: [{4A6A75AD-FBAF-8849-2602-C06C185EC843}] (no file)  (HKCU) (2017/03/30)
O4 - MSConfig\startupreg: [{70E76B55-A231-5B8E-4158-A40B033F1953}] (no file)  (HKCU) (2017/03/30)
O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe (file missing) (HKLM)
O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe (file missing) (HKLM)
O22 - Task (Ready): {4A6A75AD-FBAF-8849-2602-C06C185EC843} - c:\users\Рамиль\appdata\roaming\{D67A5D9D-D39F-1459-2602-C06C185EC843}\7bc58d02.exe (file missing)
O22 - Task (Ready): {70E76B55-A231-5B8E-4158-A40B033F1953} - c:\programdata\{ECF74365-8A01-C79E-4158-A40B033F1953}\414893fa.exe (file missing)
O22 - Task (Ready): {9BC0F42B-B241-4B71-8C94-9816EE1B3817} - K:\FSX XPack\FSX Acceleration crack\setup.exe (file missing)
O22 - Task (Ready): {C975A3ED-7803-4A08-BF38-DF03EF2FEA8C} - F:\drivers of sony\VAIO Camera Capture Utility\VAIOCameraCaptureUtility.exe (file missing)

- Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

[Odar.sp]

Прошу прощения, пропустил этот запрос. Подкрепил все.
HiJackThis пофиксил
CheckBrowsersLNK прилагаю логи

[regist]

где ссылка на отчёт?

ссылки до сих пор не вижу.

[Odar.sp]

https://virusinfo.info/virusdetector...D93F49548FAE34

[regist]

Свежие логи Автологером сделайте и отпишитесь, что с проблемой?

[Odar.sp]

Ситуация на данный момент такова:
в автозагрузке больше не появляется ничего;
рабочий стол не отображается;
свежие логи прилагаю.

[regist]

Профиксите в HijackThis из папки ..\AutoLogger\HiJackThis

Код:

O4 - MSConfig\startupreg:  [Microsoft Sync Center]  (2017/03/30) (no file)
O4 - MSConfig\startupreg:  [Qlauak]  (2017/03/30) (no file)
O4 - MSConfig\startupreg:  [Windows Live Installer]  (2017/03/30) (no file)
O4 - MSConfig\startupreg:  [Windows Live]  (2017/03/30) (no file)

- Сделайте лог полного сканирования MBAM.

+ проверьте проблему в безопасном режиме.

[Odar.sp]

Прошу прощения, заболел, было не до компьютера. В безопасном режиме рабочего стола так же нет, проверка на вирусы продолжается, очень долго проверяет диски.

- - - - -Добавлено - - - - -

Прошу прощения, заболел, было не до компьютера. В безопасном режиме рабочего стола так же нет, проверка на вирусы продолжается, очень долго проверяет диски.

отчет через кнопку полная проверка

- - - - -Добавлено - - - - -

вот лог с полной проверкой всех дисков

[regist]

1)

Код:

PUP.Optional.ASK, D:\TEMP FILES\SOPCAST-3.5.0.EXE, Проигнорировано пользователем, [471], [331851],1.0.1679
PUP.Optional.ASK, D:\TEMP FILES\SOPCAST.ZIP, Проигнорировано пользователем, [471], [383618],1.0.1679
PUP.Optional.Conduit, D:\TEMP FILES\MAPIT.EXE, Проигнорировано пользователем, [523], [111936],1.0.1679
PUP.Optional.ASK, D:\TEMP FILES\SOPCAST\SETUP-SOPCAST-3.4.0-2011-6-9.EXE, Проигнорировано пользователем, [471], [383618],1.0.1679
PUP.Optional.Uniblue, D:\\u00d1\u0080\u00d1\u0083\u00d0\u00ba\u00d0\u00be\u00d0\u00b2. \u00d0\u00b4\u00d0\u00be\u00d0\u00ba\u00d1\u0083\u00d0\u00bc\u00d0\u00b5\u00d0\u00bd\u00d1\u0082\u00d1\u008b\CBAFFREGISTRYBOOSTER.EXE, Проигнорировано пользователем, [1107], [357774],1.0.1679

Эти файлы вам нужны?

2) Проверьте этот файл на virustotal

Код:

D:\2017\THE SIMS 3\SETUP.EXE

кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

3)

• Пожалуйста, запустите adwcleaner.exe
• Нажмите File (Файл) Uninstall (Деинсталлировать).
• Подтвердите удаление нажав кнопку: Да.

4) Удалите в MBAM всё кроме указанных выше файлов, если они не нужны их тоже удалите.

Опишите подробней, какие проблемы остались?

[Odar.sp]

1)Файлы не нужны
2)https://virustotal.com/ru/file/ea4fe...fe66/analysis/
3)не совсем понял, я его вроде бы не стваил
4)удалил

[regist]

Опишите подробней, какие проблемы остались?

Майнер, так что удалять (если ещё не удалили).

Опишите подробней, какие проблемы остались?

[Odar.sp]

Рабочий стол не отображает находящиеся на нем ярлыки и тд(мой компьютер, мои документы), если зайти в папку пользователя рабочий стол, то там есть ярлыки. Проблема так же проявляется и в безопасном режиме. Я конечно не уверен что это связанно с вирусами, но вдруг вы сможете помочь. А так все проблемы с вирусами были устранены, благодарю.

[regist]

Могу сбросить все настройки рабочего стола (обои тоже сбросятся).


Выполните скрипт

Код:

begin
 ExecuteRepair(5);
 RebootWindows(false);
end.

MBAM деинсталируйте


Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Советы и рекомендации после лечения компьютера

[Odar.sp]

Сброс сделал, пропала заставка, ярлыки не появились.
Скрипт ничего не нашел.
Думаю на этом проблема с вирусами решена, благодарю вас за большую работу. Спасибо!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 8
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\programdata\{ecf74365-8a01-c79e-4158-a40b033f1953}\414893fa.exe - HEUR:Trojan.Win32.Generic
  2. c:\users\рамиль\appdata\roaming\c731200 - HEUR:Trojan.Win32.Generic
  3. c:\users\рамиль\appdata\roaming\{d67a5d9d-d39f-1459-2602-c06c185ec843}\7bc58d02.exe - Trojan.Win32.Scar.prcl
  4. c:\users\рамиль\appdata\roaming\microsoft\windows\ qlauak.exe - HEUR:Trojan.Win32.Generic
  5. c:\users\рамиль\appdata\roaming\update\explorer.ex e - HEUR:Trojan.Win32.Generic
  6. c:\users\рамиль\appdata\roaming\update\update.exe - HEUR:Trojan.Win32.Generic
  7. c:\users\рамиль\appdata\roaming\windows live\rxoaefqeqi.exe - HEUR:Trojan.Win32.Generic
  8. c:\users\рамиль\appdata\roaming\windowsupdate\live .exe - HEUR:Trojan.Win32.Generic