Помогите избавиться от вируса

**nemez3691** · 18.11.2017, 18:43

Добрый День!
Помогите избавиться от вируса
В браузере при переходе по ссылке открывается вулкан и прочая дрянь
Не могу войти в почту Гугл

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 18.11.2017, 18:46

Уважаемый(ая) nemez3691, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 21.11.2017, 07:21

Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxlVOCDRhYvqM9u4uPGcHA7gWsuy0Yy4a5TvNBpNEVSRxJQ_DOubbZTzADGxiMk822Bk7XYStfzIH50lTLC0ld8S8z5w-ajkYQb43nivXViv6pXRqKaLAp1YFMKegH0cvILm10yE-vvfnTz7BsPZ-AWVtRIgg
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7} - Поиск@Mail.Ru - http://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7BF5AC3F24-09D8-4651-AC2D-77946E15B6FC%7D&gp=812258
O17 - HKLM\System\CSS\Services\Tcpip\..\{BCE5F8FA-38A7-4090-8B97-CA5FDE4996BA}: NameServer = 82.163.142.138
O17 - HKLM\System\CSS\Services\Tcpip\..\{BCE5F8FA-38A7-4090-8B97-CA5FDE4996BA}: NameServer = 82.163.143.136
O17 - HKLM\System\CSS\Services\Tcpip\Parameters: NameServer = 82.163.143.136 82.163.142.138
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{BCE5F8FA-38A7-4090-8B97-CA5FDE4996BA}: NameServer = 82.163.142.138
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{BCE5F8FA-38A7-4090-8B97-CA5FDE4996BA}: NameServer = 82.163.143.136
O17 - HKLM\System\ControlSet001\Services\Tcpip\Parameters: NameServer = 82.163.143.136 82.163.142.138
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{BCE5F8FA-38A7-4090-8B97-CA5FDE4996BA}: NameServer = 82.163.142.138
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{BCE5F8FA-38A7-4090-8B97-CA5FDE4996BA}: NameServer = 82.163.143.136
O17 - HKLM\System\ControlSet002\Services\Tcpip\Parameters: NameServer = 82.163.143.136 82.163.142.138
O21 - ShellIconOverlayIdentifiers: 00asw - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O21 - ShellIconOverlayIdentifiers: 00avast - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O21 - ShellIconOverlayIdentifiers: KzShlobj - {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} - (no file)
O22 - Task (Ready): GoogleUpdateSecurityTaskMachine_MI - C:\Users\РђРґРјРёРЅРёСЃС‚СЂР°С‚РѕСЂ\AppData\Roaming\1ac82f00cacf47819b5d866975a50153\chipset.exe exec hide ATNUFNSKCW.cmd (file missing)
O22 - Task (Ready): GoogleUpdateSecurityTaskMachine_QZ - C:\Users\РђРґРјРёРЅРёСЃС‚СЂР°С‚РѕСЂ\AppData\Local\d06ebdfa9efd4dcdb19a193312f3c9e2\chipset.exe exec hide FUCMTEMTTZ.cmd (file missing)
O22 - Task (Ready): GoogleUpdateSecurityTaskMachine_RF - C:\Users\РђРґРјРёРЅРёСЃС‚СЂР°С‚РѕСЂ\AppData\Local\Temp\6214c0218c7d4d8db8b33f7c1c232d83\chipset.exe exec hide HMKXIQRFWV.cmd (file missing)
O22 - Task (Ready): GoogleUpdateSecurityTaskMachine_SY - C:\Users\РђРґРјРёРЅРёСЃС‚СЂР°С‚РѕСЂ\AppData\Local\Temp\6c1d66f4975a4818a71412b028c0f8b3\chipset.exe exec hide ALIVRWZGYV.cmd (file missing)
O22 - Task (Ready): GoogleUpdateSecurityTaskMachine_TO - C:\Users\РђРґРјРёРЅРёСЃС‚СЂР°С‚РѕСЂ\AppData\Local\3e64835255c64a03b01d3013d4271d85\chipset.exe exec hide BHPGBTLOGG.cmd (file missing)
O22 - Task (Ready): GoogleUpdateSecurityTaskMachine_WA - C:\ProgramData\352dcafeb9a14ebf9c58f899261bc5ad\chipset.exe exec hide WRCXZJAMTM.cmd (file missing)
O22 - Task (Ready): RunAtStartup - C:\Users\Администратор\AppData\Roaming\Event Monitor\em.exe -rem (file missing)
O22 - Task (Ready): {1822BBFB-EC7C-1606-FA09-48A1BB073F48} - C:\Windows\system32\regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~3\71b69592\405786fb.dll"
O22 - Task (Ready): {1BB7FA44-AC1C-4DEF-B17F-FE15F1A7DA75} - C:\ProgramData\{75C267F7-C269-D05C-FD99-7B557EBEA17D}\519A5C36-E631-EB9D-0FF5-BD86261DCC43.exe /run (file missing)

Перетащите лог Check_Browsers_LNK.log из папки Autologger на утилиту ClearLNK. Отчёт о работе прикрепите.

Выполните скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\PROGRA~3\71b69592\405786fb.dll', '');
 QuarantineFile('C:\Program Files (x86)\Gujulythehaph\tofoyreozagemapper.dll', '');
 QuarantineFile('C:\Program Files\їмС№\X86\kuaizipUpdateChecker.dll', '');
 QuarantineFile('C:\ProgramData\{75C267F7-C269-D05C-FD99-7B557EBEA17D}\519A5C36-E631-EB9D-0FF5-BD86261DCC43.exe', '');
 QuarantineFile('C:\ProgramData\352dcafeb9a14ebf9c58f899261bc5ad\chipset.exe', '');
 QuarantineFile('C:\ProgramData\NetworkPacketManitor\Nettrans.exe', '');
 QuarantineFile('C:\ProgramData\service.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Local\3e64835255c64a03b01d3013d4271d85\chipset.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Local\d06ebdfa9efd4dcdb19a193312f3c9e2\chipset.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Local\Temp\6214c0218c7d4d8db8b33f7c1c232d83\chipset.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Local\Temp\6c1d66f4975a4818a71412b028c0f8b3\chipset.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\1ac82f00cacf47819b5d866975a50153\chipset.exe', '');
 DeleteFile('C:\PROGRA~3\71b69592\405786fb.dll', '32');
 DeleteFile('C:\Program Files (x86)\Gujulythehaph\tofoyreozagemapper.dll', '32');
 DeleteFile('C:\Program Files\їмС№\X86\kuaizipUpdateChecker.dll', '32');
 DeleteFile('C:\ProgramData\{75C267F7-C269-D05C-FD99-7B557EBEA17D}\519A5C36-E631-EB9D-0FF5-BD86261DCC43.exe', '32');
 DeleteFile('C:\ProgramData\352dcafeb9a14ebf9c58f899261bc5ad\chipset.exe', '32');
 DeleteFile('C:\ProgramData\NetworkPacketManitor\Nettrans.exe', '32');
 DeleteFile('C:\ProgramData\service.exe', '32');
 DeleteFile('C:\Users\Администратор\AppData\Local\3e64835255c64a03b01d3013d4271d85\chipset.exe', '32');
 DeleteFile('C:\Users\Администратор\AppData\Local\d06ebdfa9efd4dcdb19a193312f3c9e2\chipset.exe', '32');
 DeleteFile('C:\Users\Администратор\AppData\Local\Temp\6214c0218c7d4d8db8b33f7c1c232d83\chipset.exe', '32');
 DeleteFile('C:\Users\Администратор\AppData\Local\Temp\6c1d66f4975a4818a71412b028c0f8b3\chipset.exe', '32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\1ac82f00cacf47819b5d866975a50153\chipset.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "{1822BBFB-EC7C-1606-FA09-48A1BB073F48}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{1BB7FA44-AC1C-4DEF-B17F-FE15F1A7DA75}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_MI" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_QZ" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_RF" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_SY" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_TO" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_WA" /F', 0, 15000, true);
 DeleteService('Nettrans');
 DeleteFileMask('c:\program files (x86)\gujulythehaph', '*', true);
 DeleteFileMask('c:\program files\їмс№', '*', true);
 DeleteFileMask('c:\programdata\{75c267f7-c269-d05c-fd99-7b557ebea17d}', '*', true);
 DeleteFileMask('c:\programdata\352dcafeb9a14ebf9c58f899261bc5ad', '*', true);
 DeleteFileMask('c:\programdata\networkpacketmanitor', '*', true);
 DeleteFileMask('c:\users\Администратор\appdata\local\3e64835255c64a03b01d3013d4271d85', '*', true);
 DeleteFileMask('c:\users\Администратор\appdata\local\d06ebdfa9efd4dcdb19a193312f3c9e2', '*', true);
 DeleteFileMask('c:\users\Администратор\appdata\local\temp\6214c0218c7d4d8db8b33f7c1c232d83', '*', true);
 DeleteFileMask('c:\users\Администратор\appdata\local\temp\6c1d66f4975a4818a71412b028c0f8b3', '*', true);
 DeleteFileMask('c:\users\Администратор\appdata\roaming\1ac82f00cacf47819b5d866975a50153', '*', true);
 DeleteDirectory('c:\program files (x86)\gujulythehaph');
 DeleteDirectory('c:\program files\їмс№');
 DeleteDirectory('c:\programdata\{75c267f7-c269-d05c-fd99-7b557ebea17d}');
 DeleteDirectory('c:\programdata\352dcafeb9a14ebf9c58f899261bc5ad');
 DeleteDirectory('c:\programdata\networkpacketmanitor');
 DeleteDirectory('c:\users\Администратор\appdata\local\3e64835255c64a03b01d3013d4271d85');
 DeleteDirectory('c:\users\Администратор\appdata\local\d06ebdfa9efd4dcdb19a193312f3c9e2');
 DeleteDirectory('c:\users\Администратор\appdata\local\temp\6214c0218c7d4d8db8b33f7c1c232d83');
 DeleteDirectory('c:\users\Администратор\appdata\local\temp\6c1d66f4975a4818a71412b028c0f8b3');
 DeleteDirectory('c:\users\Администратор\appdata\roaming\1ac82f00cacf47819b5d866975a50153');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\GoogleChromeUpService', 'EventMessageFile');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\KuaizipUpdateChecker\Parameters', 'ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Pidlyclerpaing\Parameters', 'ServiceDll');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(4);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**CyberHelper** · 21.11.2017, 07:31

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 5
В ходе лечения вредоносные программы в карантинах не обнаружены

Помогите избавиться от вируса (заявка № 216339)

Опции темы