Открываются вкладки с рекламой в chrome и internet explorer, блокирует запуск программ [Trojan-Clicker.MSIL.DOTHETUK.bs, not-a-virus:AdWare.Win32.Esprot.aln ]

[беспроводнаямышь1]

Доброго времени суток! вчера вечером поймал вирус, при попытке скачать файлы. установились какие-то программы, фейковый антивирус. Открываются вкладки с рекламой в chrome и internet explorer, блокируется запуск программ malware (через командную строку отрываются) Несколько раз прогонял через ADWCleaner, но безрезультатно. Планировщик задач чистил. Прошу вашей помощи.
Логи прилагаю. Заранее благодарен.

[Info_bot]

Уважаемый(ая) беспроводнаямышь1, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\system32\wsaudio.dll','');
 QuarantineFile('C:\ProgramData\Subair\Ranflex.dll','');
 QuarantineFile('c:\program files (x86)\hotspot shield\bin\cmw_srv.exe','');
 TerminateProcessByName('c:\users\administrator\appdata\roaming\ncalayer\ncalayer.exe');
 TerminateProcessByName('C:\Program Files\Rockstar Games\YWZGNPBBMD\HTHNBQOGBY.exe');
 TerminateProcessByName('C:\Users\administrator\AppData\Roaming\8c26276309a3443ea1f6a84627e08406\QWVAVJTOKV.exe');
 QuarantineFile('C:\Users\administrator\AppData\Roaming\8c26276309a3443ea1f6a84627e08406\QWVAVJTOKV.exe','');
 QuarantineFile('c:\users\administrator\appdata\roaming\ncalayer\ncalayer.exe','');
 QuarantineFile('C:\Program Files\Rockstar Games\YWZGNPBBMD\HTHNBQOGBY.exe','');
 DeleteFile('C:\Users\administrator\AppData\Roaming\8c26276309a3443ea1f6a84627e08406\QWVAVJTOKV.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','HTHNBQOGBY.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','QWVAVJTOKV.exe');
 DeleteFile('C:\ProgramData\Subair\Ranflex.dll','32');
 DeleteFile('C:\Windows\system32\wsaudio.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[беспроводнаямышь1]

Прикрепляю логи. Проблемы ушли, очень благодарен! Процветания вам! Всего самого наилучшего!

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[беспроводнаямышь1]

Прикрепил отчеты Farbar Recovery Scan Tool

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) <==== ATTENTION
HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) <==== ATTENTION
HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) <==== ATTENTION
HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) <==== ATTENTION
HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) <==== ATTENTION
HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) <==== ATTENTION
HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) <==== ATTENTION
HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) <==== ATTENTION
HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) <==== ATTENTION
HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) <==== ATTENTION
HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) <==== ATTENTION
HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) <==== ATTENTION
HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) <==== ATTENTION
HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) <==== ATTENTION
HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) <==== ATTENTION
HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) <==== ATTENTION
HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) <==== ATTENTION
HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) <==== ATTENTION
HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) <==== ATTENTION
HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) <==== ATTENTION
HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) <==== ATTENTION
HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) <==== ATTENTION
HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) <==== ATTENTION
HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== ATTENTION
HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) <==== ATTENTION
HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) <==== ATTENTION
HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) <==== ATTENTION
HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) <==== ATTENTION
HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) <==== ATTENTION
HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) <==== ATTENTION
HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) <==== ATTENTION
HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) <==== ATTENTION
HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) <==== ATTENTION
HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) <==== ATTENTION
AppInit_DLLs: C:\ProgramData\Subair\Viaex.dll => No File
GroupPolicy: Restriction - Chrome <==== ATTENTION
HKU\S-1-5-21-873653830-2986199714-2032971420-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYsYwGCgfbLBmeONKxZEkURRKzNook5peTPuCFZN3mvrrnHBm4Hp7nYo3h7KbNAzb5gju1ruwP33K_ugB2N7iaQX17FX3PpoBeD3SBcNivabjha5sVMrfq_HqPug9EyU_PUeTiVxl0YEe9ZwCf3gFCxXBi-YYZaTAx-deVxnnw,&q={searchTerms}
HKU\S-1-5-21-873653830-2986199714-2032971420-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBEQo0lOCwIxrzs2Rcb6iYsYwGCgfbLBmeONKxZEkURRKzNook5peTPuCFZN3mvrrnHBm4Hp7nYo3h7KbNAzb5gju1ruwP33K_ujNQRSjdGBN8sukfH2-3hQynfAztnHwdlGaV6rAonqY6LAf3zLzOqgf6UA8HFYBup68ffoDtzzs0AwWH5l-f8NoNmMyM,
CHR HKU\S-1-5-21-873653830-2986199714-2032971420-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-873653830-2986199714-2032971420-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-873653830-2986199714-2032971420-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bejnpnkhfgfkcpgikiinojlmdcjimobi] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [epgjfmblhacacphaljkdcjllkomdcjpc] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [indjgiebmakhmnaplnlnanodkfiejfjd] - hxxps://clients2.google.com/service/update2/crx
S2 ihctrl32; C:\Windows\System32\svchost.exe [38792 2014-10-29] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 ihctrl32; C:\Windows\SysWOW64\svchost.exe [33088 2014-10-29] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 wsaudio; C:\Windows\System32\svchost.exe [38792 2014-10-29] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 wsaudio; C:\Windows\SysWOW64\svchost.exe [33088 2014-10-29] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
2017-09-14 00:57 - 2017-09-15 07:27 - 000000000 ____D C:\Users\administrator\AppData\LocalLow\HGQlVNXRXkVsT
2017-09-14 00:57 - 2017-09-14 00:57 - 007327744 _____ C:\Users\administrator\AppData\Local\agent.dat
2017-09-14 00:57 - 2017-09-14 00:57 - 001899389 _____ C:\Users\administrator\AppData\Local\Plusfix.tst
2017-09-14 00:57 - 2017-09-14 00:57 - 001895382 _____ C:\Users\administrator\AppData\Local\Indigotough.bin
2017-09-14 00:57 - 2017-09-14 00:57 - 000126464 _____ C:\Users\administrator\AppData\Local\noah.dat
2017-09-14 00:57 - 2017-09-14 00:57 - 000070800 _____ C:\Users\administrator\AppData\Local\Config.xml
2017-09-14 00:57 - 2017-09-14 00:57 - 000005568 _____ C:\Users\administrator\AppData\Local\md.xml
2017-09-13 23:43 - 2017-09-13 23:43 - 000278508 _____ C:\Users\administrator\AppData\Local\Dansansing.bin
2017-09-13 23:42 - 2017-09-14 00:50 - 000000000 ____D C:\Users\administrator\AppData\Roaming\8c26276309a3443ea1f6a84627e08406
2017-09-13 23:42 - 2017-09-14 00:00 - 000000000 ____D C:\Users\administrator\AppData\Roaming\259debed1d49441bbdeee0ae31172609
2017-09-13 23:42 - 2017-09-13 23:42 - 000140800 _____ C:\Users\administrator\AppData\Local\installer.dat
2017-09-13 23:42 - 2017-09-13 23:42 - 000000000 ____D C:\Users\administrator\AppData\Local\8ac066d1127a40a4a36e1506134b0b1a
2017-09-13 23:41 - 2017-09-15 07:05 - 000000000 ____D C:\Users\administrator\AppData\Roaming\0e5cdecfeb854eeab85f4d278f25cbff
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[беспроводнаямышь1]

прикрепляю fixlog.txt

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 5
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\program files\rockstar games\ywzgnpbbmd\hthnbqogby.exe - Trojan-Clicker.MSIL.DOTHETUK.bs
  2. c:\users\administrator\appdata\roaming\8c26276309a 3443ea1f6a84627e08406\qwvavjtokv.exe - Trojan-Clicker.MSIL.DOTHETUK.bs
  3. c:\windows\system32\wsaudio.dll - not-a-virus:AdWare.Win32.Esprot.aln