Windows не удалось найти 'C:\Documents' ... [Trojan.Win32.Agent.ikyv, Trojan.WinLNK.Starter.y ]

[geonim]

Здравствуйте.

Помогите пожалуйста !
При загрузке системы появляются сообщения:
1. Windows не удалось найти 'C:\Documents'. Проверьте ...
1.1 Не удается запустить или загрузить файл 'C:\Documents' ...
2. Windows не удалось найти 'and'. Проверьте ...
2.1 Не удается запустить или загрузить файл 'and' ...
3. Windows не удалось найти 'Setting\QWERTY\Application'. Проверьте ...
3.1 Не удается запустить или загрузить файл 'Setting\QWERTY\Application' ...
4. Windows не удалось найти 'Data\Microsoft\SystemCertificates\Windows\start.l nk'. Проверьте ...
4.1 Не удается запустить или загрузить файл 'Data\Microsoft\SystemCertificates\Windows\start.l nk' ...
Спасибо.
С уважением, Георгий.

[Info_bot]

Уважаемый(ая) geonim, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 QuarantineFile('C:\Documents and Settings\QWERTY\Local Settings\Application Data\IIIQF\IIIQFz.exe','');
 QuarantineFile('C:\Documents and Settings\QWERTY\Application Data\Microsoft\SystemCertificates\Certificates\Windows\start.lnk','');
 DeleteFile('C:\Documents and Settings\QWERTY\Application Data\Microsoft\SystemCertificates\Certificates\Windows\start.lnk','32');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','DRPNPS');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','DRPNPS');
 DeleteFile('C:\Documents and Settings\QWERTY\Local Settings\Application Data\ATI\ATIz.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\ATIz.job','32');
 DeleteFile('C:\WINDOWS\Tasks\IIIQFz.job','32');
 DeleteFile('C:\Documents and Settings\QWERTY\Local Settings\Application Data\IIIQF\IIIQFz.exe','32');
ExecuteSysClean;
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = http://pzemisa.ru/?utm_source=startpage03&utm_content=444ada4fc4b77fb48ca9f21492a9fa0d&utm_term=924A9AF7F394EF4C3E13798805360393&utm_d=20171207
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = http=https=ftp=gopher=socks= (enabled)
F3 - HKCU\..\Windows: [load] = C:\Documents and Settings\QWERTY\Application Data\Microsoft\SystemCertificates\Certificates\Windows\start.lnk
O2 - HKLM\..\BHO: (no name) - {FB4F6285-4C32-49F2-950F-A5998F9CEC6C} - (no file)
O3 - HKCU\..\Toolbar: (no name) - {1E796980-9CC5-11D1-A83F-00C04FC99D61} - (no file)
O3 - HKCU\..\Toolbar: (no name) - {710EB7A1-45ED-11D0-924A-0020AFC7AC4D} - (no file)
O4 - HKU\.DEFAULT\..\RunOnce: [DRPNPS] = C:\WINDOWS\system32\cmd.exe /c start /min cmd /s /c "ping -n 5 8.8.8.8 | find "TTL" > nul && start mshta.exe "http://update.drp.su/nps/online/bin/tools/run.hta" "17.7.82 Online" "1513713593060" "500bb277-2731-4003-b361-c63304ab656b""
O4 - WinNT BAT: C:\WINDOWS\system32\AutoExec.nt => lh %SystemRoot%\system32\nw16
O4 - WinNT BAT: C:\WINDOWS\system32\AutoExec.nt => lh %SystemRoot%\system32\vwipxspx
O22 - Task (Job): (Ready) ATIz.job - C:\Documents and Settings\QWERTY\Local Settings\Application Data\ATI\ATIz.exe
O22 - Task (Job): IIIQFz.job - C:\Documents and Settings\QWERTY\Local Settings\Application Data\IIIQF\IIIQFz.exe

Сделайте повторные логи по правилам

[geonim]

Здравствуйте.
После выполнения скрипта AVZ
неприятные сообщения не появились.
Пофиксил HiJackThis(ом) и выкладываю
логи AutoLogger(a).
Спасибо.

[mike 1]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[geonim]

Здравствуйте.

Прикрепляю файлы отработки
сканера FRST.

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
   
   Код:

   CreateRestorePoint:
   CloseProcesses:
   HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
   HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "" <==== ATTENTION
   CHR HKU\S-1-5-21-448539723-220523388-682003330-1003\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ddadgcdmddljmpkpinkalnepdepplpkj] - hxxps://clients2.google.com/service/update2/crx
   2017-12-07 11:26 - 2018-02-24 16:07 - 000000000 ____D C:\Documents and Settings\QWERTY\Local Settings\Application Data\IIIQF
   2017-12-07 11:25 - 2017-12-19 23:06 - 000000000 ____D C:\Documents and Settings\QWERTY\Local Settings\Application Data\AdService
   2017-12-07 11:27 - 2017-12-07 11:27 - 000000000 ____D C:\Documents and Settings\QWERTY\Local Settings\Application Data\Поиcк в Интeрнете
   2017-12-07 11:30 - 2017-12-07 11:30 - 000000000 ____D C:\Documents and Settings\QWERTY\Local Settings\Application Data\Вoйти в Интeрнет
   2017-12-07 11:29 - 2018-01-02 16:38 - 000000000 ____D C:\Documents and Settings\QWERTY\Application Data\curl

3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
4. Обратите внимание, что компьютер будет перезагружен.
5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

[geonim]

Добрый вечер.

Во вложении Fixlog.txt
Архив Дата_время.zip не создавался.

[mike 1]

Что с проблемой?

[geonim]

Проблемы не было заметно уже после первой работы AVZ.
И сейчас проблемы нет.
Можно считать - все решено ?

[mike 1]

Думаю да.

• Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите отчет в вашей теме

[geonim]

Здравствуйте.

Большое Вам спасибо за помощь.
Вот файл SecurityCheck.txt

С уважением, Георгий.

[mike 1]

Расширенная поддержка закончилась 08.04.2014, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 6.0.2900.5512 Внимание! Скачать обновления - это нужно обязательно обновить.
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Автоматическое обновление отключено - включите

------------------------------- [ HotFix ] --------------------------------
HotFix KB3197835 Внимание! Скачать обновления
HotFix KB4012598 Внимание! Скачать обновления
HotFix KB4012583 Внимание! Скачать обновления
HotFix KB4022747 Внимание! Скачать обновления
HotFix KB4024323 Внимание! Скачать обновления
HotFix KB4025218 Внимание! Скачать обновления

-------------------------------- [ Java ] ---------------------------------
Java 8 Update 151 v.8.0.1510.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u162-windows-i586.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 11 ActiveX v.11.8.800.94 Внимание! Скачать обновления
Adobe Reader XI (11.0.0 - Russian v.11.0.08 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^

[geonim]

Ясно, сделаю.

Еще раз - большое Вас спасибо !

С уважением, Георгий.

[mike 1]

На этом все.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\documents and settings\qwerty\application data\microsoft\systemcertificates\certificates\win dows\start.lnk - Trojan.WinLNK.Starter.y
  2. c:\documents and settings\qwerty\local settings\application data\iiiqf\iiiqfz.exe - Trojan.Win32.Agent.ikyv