Вирус меняет поисковую систему и возможно что то еще [Trojan.Win64.Eroyee.asl, HEUR:Trojan.Win32.Generic ]

[не-человек]

История:
Пытался найти в интернете одну прогу и скачал архив с установкой, после запуска exe файла началось автоматическая установка всякого левого софта, в т.ч майл ру. появились ярлыки игр и соц сетей на раб столе.
После перезагрузки браузера удалилась панель закладок и все настройки полетели. В диспетчере задач обнаружились посторонние процессы, которые невозможно было закрыть (лезло сообщение о том,что нет прав). Удаление программ в панели управления не работало. Первое, что сделал - скачал CureIt от веба и просканировал все, что смог в безопасном режиме. Часть вирусов была обнаружена и ликвидирована.
После этого смог запустить удаление программ и избавиться от установленного софта. Также смог обнаружить местоположение подозрительных процессов в диспетчере, они были остановлены и удалены из папок (папки Temp, local, roaming). Было найдено в автозапуске постороннее приложение без подписи и без четкого название, его выключил. Сделал также сброс браузера и в ручную поудалял все лишние расширения и поисковые системы.
Что осталось: при запуске браузера все вроде нормально, но после вбивания поискового запроса в адресную строку и последующего перехода, исчезает панель закладок и вместо яндекса используется поиск Yahoo.
Еще скачивал АВЗ и сканировал комп целиком, но эффекта нет.
Этот запрос пишу по инструкции, так что высылаю логи повторного сканирования Автологгера
помогите избавиться полностью.
Анттивируса установленного нет.

[Info_bot]

Уважаемый(ая) не-человек, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('c:\users\Серега\appdata\roaming\microsoft\network\connections\files\winmgmnt.exe');
 TerminateProcessByName('c:\users\Серега\appdata\roaming\microsoft\network\connections\hostdl.exe');
 QuarantineFile('C:\ProgramData\Voyasollam\Domaplax.dll', '');
 QuarantineFile('C:\ProgramData\Voyasollam\Rankis.dll', '');
 QuarantineFile('C:\Users\Серега\AppData\Local\SystemDir\nethost.exe', '');
 QuarantineFile('c:\users\Серега\appdata\roaming\microsoft\network\connections\files\winmgmnt.exe', '');
 QuarantineFile('c:\users\Серега\appdata\roaming\microsoft\network\connections\hostdl.exe', '');
 QuarantineFileF('c:\users\серега\appdata\local\systemdir', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\users\серега\appdata\roaming\microsoft\network\connections', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('C:\Program Files (x86)\Mail.Ru\Guard\GuardMailRu.exe', '32');
 DeleteFile('C:\ProgramData\Voyasollam\Domaplax.dll', '32');
 DeleteFile('C:\ProgramData\Voyasollam\Rankis.dll', '32');
 DeleteFile('C:\Users\Серега\AppData\Local\SystemDir\nethost.exe', '32');
 DeleteFile('c:\users\Серега\appdata\roaming\microsoft\network\connections\files\winmgmnt.exe', '32');
 DeleteFile('c:\users\Серега\appdata\roaming\microsoft\network\connections\hostdl.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "{1DF7CB04-50F1-4AEF-924E-BCEB69267F0A}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "MailRuUpdateTask" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "nethost task" /F', 0, 15000, true);
 DeleteService('tiser');
 DeleteService('Voyasollam');
 DeleteFileMask('c:\program files (x86)\mail.ru', '*', true);
 DeleteFileMask('c:\programdata\voyasollam', '*', true);
 DeleteFileMask('c:\users\серега\appdata\local\mail.ru', '*', true);
 DeleteFileMask('c:\users\серега\appdata\local\systemdir', '*', true);
 DeleteFileMask('c:\users\серега\appdata\roaming\microsoft\network\connections', '*', true);
 DeleteDirectory('c:\program files (x86)\mail.ru');
 DeleteDirectory('c:\programdata\voyasollam');
 DeleteDirectory('c:\users\серега\appdata\local\mail.ru');
 DeleteDirectory('c:\users\серега\appdata\local\systemdir');
 DeleteDirectory('c:\users\серега\appdata\roaming\microsoft\network\connections');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Host-process');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MailRuUpdater', 'command');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(2);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте новый лог Autologger.

Сделайте лог Malwarebytes AdwCleaner.

[не-человек]

Спасибо за отклик!
Карантин отправил.
Здесь логи.


- - - - -Добавлено - - - - -

и на всякий случай лог после чистки ADWcleaner-ом. После чистки проблема сохраняется(

[Vvvyg]

Добьём, тут больше заразы, чем казалось с первого взгляда.

Выполните скрипт в AVZ:

Код:

begin
 ClearQuarantine;
 TerminateProcessByName('c:\users\Серега\appdata\roaming\microsoft\network\connections\files\winmgmnt.exe');
 TerminateProcessByName('c:\users\Серега\appdata\roaming\microsoft\network\connections\hostdl.exe');
 TerminateProcessByName('C:\Users\Серега\AppData\Roaming\Microsoft\Windows Defender\defender.exe');
 TerminateProcessByName('C:\Windows\Temp\g5216.tmp.exe');
 QuarantineFile('C:\Program Files (x86)\Windows Defender\MpEvMsg.dll', '');
 QuarantineFile('C:\Program Files\QUTM Video Converter\QUTM Video Converter.dll', '');
 QuarantineFile('C:\Users\Серега\AppData\Local\Mail.Ru\MailRuUpdater.exe', '');
 QuarantineFile('c:\users\Серега\appdata\roaming\microsoft\network\connections\files\winmgmnt.exe', '');
 QuarantineFile('c:\users\Серега\appdata\roaming\microsoft\network\connections\hostdl.exe', '');
 QuarantineFile('C:\Users\Серега\AppData\Roaming\Microsoft\Windows Defender\defender.exe', '');
 QuarantineFile('C:\Windows\TEMP\g4C5A.tmp.exe', '');
 QuarantineFile('C:\Windows\Temp\g5216.tmp.exe', '');
 QuarantineFileF('c:\users\серега\appdata\roaming\microsoft\network\connections', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('C:\Windows\Temp', '*.tmp.exe', false, '', 0, 0);
 DeleteFile('C:\Program Files (x86)\Windows Defender\MpEvMsg.dll', '32');
 DeleteFile('C:\Program Files\QUTM Video Converter\QUTM Video Converter.dll', '32');
 DeleteFile('C:\Users\Серега\AppData\Local\Mail.Ru\MailRuUpdater.exe', '32');
 DeleteFile('c:\users\Серега\appdata\roaming\microsoft\network\connections\files\winmgmnt.exe', '32');
 DeleteFile('c:\users\Серега\appdata\roaming\microsoft\network\connections\hostdl.exe', '32');
 DeleteFile('C:\Users\Серега\AppData\Roaming\Microsoft\Windows Defender\defender.exe', '32');
 DeleteFile('C:\Users\Серега\Favorites\Links\Интернет.url');
 DeleteFile('C:\Windows\TEMP\g4C5A.tmp.exe', '32');
 DeleteFile('C:\Windows\Temp\g5216.tmp.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "QUTM Video Converter" /F', 0, 15000, true);
 DeleteFileMask('c:\program files (x86)\windows defender', '*', true);
 DeleteFileMask('c:\program files\qutm video converter', '*', true);
 DeleteFileMask('c:\users\серега\appdata\local\mail.ru', '*', true);
 DeleteFileMask('c:\users\серега\appdata\roaming\microsoft\network\connections', '*', true);
 DeleteFileMask('c:\users\серега\appdata\roaming\microsoft\windows defender', '*', true);
 DeleteFileMask('C:\Windows\Temp', '*.tmp.exe', true);
 DeleteDirectory('c:\program files (x86)\windows defender');
 DeleteDirectory('c:\program files\qutm video converter');
 DeleteDirectory('c:\users\серега\appdata\local\mail.ru');
 DeleteDirectory('c:\users\серега\appdata\roaming\microsoft\network\connections');
 DeleteDirectory('c:\users\серега\appdata\roaming\microsoft\windows defender');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows Defender');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MailRuUpdater', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'СЕРЕГА-ПК');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteRepair(13);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится новый архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

[не-человек]

сделал

[Vvvyg]

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
delref HTTP://GO.MAIL.RU/DISTIB/EP/?Q={SEARCHTERMS}&FR=NTG&PRODUCT_ID=%7BADE570BE-5B38-40DB-8F25-9701510E9BCB%7D&GP=821116
delref %SystemDrive%\PROGRAMDATA\52B07EC4-0111-1\52B07EC4-0111-1.D
delref %SystemDrive%\PROGRAMDATA\52B07EC4-1A77-0\52B07EC4-1A77-0.D
delref %SystemDrive%\PROGRAM FILES\BITDEFENDER\BITDEFENDER 2013\BDPRODUCTDATA.EXE
delref %SystemDrive%\PROGRAM FILES\QUTM VIDEO CONVERTER\QUTM VIDEO CONVERTER.DLL
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGKNPFANCPEAMEJMCOOEDLJJNADDLDHG%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJHNAFPIILPFFHGLAJCAEPJBNBJEMCI%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGBJEIEKAHKLBGBFCCOHIPINHGAADIJAD%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDKNICMNHBAAJDGLBINPAHHAPGHPAKCH%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDFONANKHFNHIHDCPAAGPABBAOCLNJFP%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJEDELKHANEFMCNPAPPFHACHBPNLHOMAI%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJGGBJBMNFMIPGCANIDAMJFPECHDEEKOI%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLANABBPAHPJNALJEBNPGKJEMCBKEPIAK%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNBIFDKMDOJGMPMOPDEBNJCOBEKGDONCN%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOFDGAFMDEGFKHFDFKMLLFEFMCMCJLLEC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPFIGAOAMNNCIJBGOMIFAMKMKIDNNLIKL%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPLDBIENODKPGKCCOCELIDINMCIEDJDOK%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPNOOFFJHCLKOCPLOPFFDBCDGHMIFFHJI%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\СЕРЕГА\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDMPOJJILDDEFGNHIICJCMHBKJGBBCLOB%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLMJEGMLICAMNIMMFHCMPKCLMIGMMCBEH%26INSTALLSOURCE%3DONDEMAND%26UC
apply
deltmp
restart

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Сообщите, что с проблемой.

Удалите Java(TM) 6 Update, это устаревшая версия со множеством критических уязвимостей.
Если Java вообще нужна для каких- либо приложений, игр (и Вы точно знаете, для каких именно) - установите текущий билд Java 8.

[не-человек]

Проблема устранена! Спасибо огромное) Лог прикрепляю.
Могу удалять скачанные утилиты, или еще могут пригодиться? каково вообще их назначение? Необходимы ли они в повседневном использовании или только для таких вот критических ситуаций?
И есть еще чем комп просканировать?
Хотелось бы еще совет по антивирусам получить. А то вот я на курейт всегда надеялся, а он оплошал.

[Vvvyg]

Удаляйте, эти утилиты часто обновляются, при нужде скачаете снова.

CureIt! - утилита для проверки и лечения уже после того, как... Чтобы не допустить заразу, должен быть постоянно включённый антивирус, хотя бы бесплатный. kaspersky Free, например, неплох. Но и антивирус не даёт 100% гарантии, применение мозга должно предшествовать нажатию на ссылки

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

[не-человек]

Вот, почитал сам, раз уж по-человечески написано. Пояснения нужны по службам - какие подключить/отключить.
Не смог удалить последнее Unwanted приложение, не нашел в панели управления его. Еще Adob проги, они установлены во время "болезни" 9 числа, вчера то есть, я не ставил их, меня смущает это. Я вообще не знаю для чего они.
А браузер кул ново, теперь обновляться не будет, так получается?

А про антивирус и мозги все правильно сказали.. Поставлю что нибудь на днях.

[Vvvyg]

Про CoolNovo - видимо, так и есть, я о таком браузере, если честно, и не слышал.

По службам - на эту тему есть много вредных советов, я стандартые параметры не трогаю.

TuneUp Utilities Language Pack - не страшно.

[не-человек]

Понял, еще раз спасибо за участие)

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 5
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\program files\qutm video converter\qutm video converter.dll - HEUR:Trojan.Win32.Generic
  2. c:\programdata\voyasollam\domaplax.dll - UDS:DangerousObject.Multi.Generic
  3. c:\windows\temp\g5216.tmp.exe - Trojan.Win64.Eroyee.asl