комп не адекватно себя ведет. [not-a-virus:HEUR:AdWare.Win32.Generic, not-a-virus:AdWare.MSIL.Agent.aiut ]

**lid333** · 16.07.2018, 19:05

Добрый вечер, давно я сюда не заглядывал.

в субботу уехал на дачу, как обычно оставил открытыми 100-500 окон, из нового был установлен только битрикс24
в воскресенье с утра вернулся комп живет своей жизнью, чего то устанавливает, доктор веб чего то наловил и на удалял, чего то по перемещал.
при попытке перезагрузиться открывается окно и предлагает принудительно закрыть длинный список каких то установщиков фиг знает чего, похоже того что поймал доктор веб.
запустил комп в защищённый режим оставил на сканировании на сутки, чего то на лечило в ко-ве 84 шт. на вид не чего криминального, но хром все равно не открывается и после перезагрузки доктор орет что что-то вылечил.
ах, еще на всяк случай отключил другие винты, оставил только системный

Помогите пожалуйста.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 16.07.2018, 19:08

Уважаемый(ая) lid333, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 16.07.2018, 19:13

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files (x86)\CJkSCRmZU\PYiEYs.dll','');
 QuarantineFile('C:\Users\lid\AppData\Roaming\keycreator\kget.exe','');
 QuarantineFile('C:\Program Files (x86)\zfLNassuzpDxC\pGhoKhq.dll','');
 QuarantineFile('C:\Program Files (x86)\yaolwXGxxrAU2\MPtYMiREmYWsb.dll','');
 QuarantineFile('C:\ProgramData\qddGHEDCBPKSMPVB\IyFqFxI.wsf','');
 QuarantineFile('C:\Program Files (x86)\ggyoEsstymMAtvJtmyR\GhRDvrd.dll','');
 DelBHO('{AA675BFD-19B8-4ADF-8052-F972A446A257}');
 QuarantineFile('C:\Users\lid\AppData\Local\XService\XService.dll','');
 QuarantineFile('C:\Program Files (x86)\szukwmZlgIE\xpr9NcU.dll','');
 QuarantineFile('C:\Program Files (x86)\szukwmZlgIE\knuMEGSYA.dll','');
 TerminateProcessByName('c:\program files (x86)\szukwmzlgie\onyoikrusd.exe');
 QuarantineFile('c:\program files (x86)\szukwmzlgie\onyoikrusd.exe','');
 TerminateProcessByName('C:\Program Files (x86)\FireBall\949713.exe');
 QuarantineFile('C:\Program Files (x86)\FireBall\949713.exe','');
 TerminateProcessByName('C:\Program Files (x86)\FireBall\9430661.exe');
 QuarantineFile('C:\Program Files (x86)\FireBall\9430661.exe','');
 TerminateProcessByName('C:\Program Files (x86)\FireBall\6848251.exe');
 QuarantineFile('C:\Program Files (x86)\FireBall\6848251.exe','');
 DeleteFile('C:\Program Files (x86)\FireBall\6848251.exe','32');
 DeleteFile('C:\Program Files (x86)\FireBall\9430661.exe','32');
 DeleteFile('C:\Program Files (x86)\FireBall\949713.exe','32');
 DeleteFile('c:\program files (x86)\szukwmzlgie\onyoikrusd.exe','32');
 DeleteFile('C:\Program Files (x86)\szukwmZlgIE\knuMEGSYA.dll','32');
 DeleteFile('C:\Program Files (x86)\szukwmZlgIE\xpr9NcU.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','gartnmwpl5i');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','smblopzizl5');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','d45m3nxsbcj');
 DeleteFile('C:\Program Files (x86)\ggyoEsstymMAtvJtmyR\GhRDvrd.dll','32');
 DeleteFile('C:\Windows\system32\Tasks\dqUvxAMLDajqkAKky2','64');
 DeleteFile('C:\Windows\system32\Tasks\EqpFSOLlowVuQ2','64');
 DeleteFile('C:\ProgramData\qddGHEDCBPKSMPVB\IyFqFxI.wsf','32');
 DeleteFile('C:\Windows\system32\Tasks\heCowIfQqSuzYJ','64');
 DeleteFile('C:\Windows\system32\Tasks\MgpeKOGXlCeKqpkYxSV2','64');
 DeleteFile('C:\Program Files (x86)\yaolwXGxxrAU2\MPtYMiREmYWsb.dll','32');
 DeleteFile('C:\Program Files (x86)\zfLNassuzpDxC\pGhoKhq.dll','32');
 DeleteFile('C:\Users\lid\AppData\Roaming\keycreator\kget.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Diagnosis\KeyCreator','64');
 DeleteFile('C:\Windows\system32\Tasks\One System Care Delayed','64');
 DeleteFile('C:\Windows\system32\Tasks\One System Care Monitor','64');
 DeleteFile('C:\Windows\system32\Tasks\PPejCupzujabRKM2','64');
 DeleteFile('C:\Program Files (x86)\CJkSCRmZU\PYiEYs.dll','32');
 DeleteFile('C:\Program Files (x86)\OneSystemCare\CleanupConsole.exe','32');
 DeleteFile('C:\Program Files (x86)\OneSystemCare\OneSystemCare.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

**lid333** · 16.07.2018, 19:44

выполнил, IE постоянно открывает окна с заблокированным доктором сайтои и с разной рекламой

**thyrex** · 16.07.2018, 20:26

FastDataX 1.20
One System Care
YoutubeAdBlock

удалите через Установку программ

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

**lid333** · 16.07.2018, 20:32

готово

**thyrex** · 16.07.2018, 20:38

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
HKU\S-1-5-21-3243008082-2889146061-108598717-1000\...\Run: [mailruhomesearch] => "C:\Users\lid\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe" --pr_deferred
HKU\S-1-5-21-3243008082-2889146061-108598717-1000\...\Run: [656646] => C:\Users\lid\AppData\Roaming\5eekmribhev\urnamgwkxfb.exe [842102 2018-07-15] ( )
HKU\S-1-5-21-3243008082-2889146061-108598717-1000\...\Run: [4759054] => C:\Users\lid\AppData\Roaming\xxftctn00uz\dpzdww2lf4h.exe [842102 2018-07-15] ( )
HKU\S-1-5-21-3243008082-2889146061-108598717-1000\...\Run: [7719426] => C:\Users\lid\AppData\Roaming\exw320dmwtw\oqrbhbtfbr4.exe [842102 2018-07-15] ( )
HKU\S-1-5-21-3243008082-2889146061-108598717-1000\...\Run: [8956738] => C:\Users\lid\AppData\Roaming\cldkcvbxpi5\tnvbnaadcbo.exe [842102 2018-07-15] ( )
HKU\S-1-5-21-3243008082-2889146061-108598717-1000\...\Run: [699526] => C:\Users\lid\AppData\Roaming\qjaro0p1yxh\ovhsh3lfagb.exe [842102 2018-07-15] ( )
HKU\S-1-5-21-3243008082-2889146061-108598717-1000\...\Run: [4801934] => C:\Users\lid\AppData\Roaming\vwjdhrwzjg1\ohv0braqqsv.exe [842102 2018-07-15] ( )
HKU\S-1-5-21-3243008082-2889146061-108598717-1000\...\Run: [5996948] => C:\Users\lid\AppData\Roaming\lfygecftmqu\mo1v1v4lpbr.exe [564921 2018-07-16] ( )
HKU\S-1-5-21-3243008082-2889146061-108598717-1000\...\Run: [440669] => C:\Users\lid\AppData\Roaming\1uhtks4mtyb\t3a3zvwahn2.exe [564921 2018-07-16] ( )
CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pmdifadmohoecidkceojcabeabmnhokf] - hxxps://clients2.google.com/service/update2/crx
R2 MicroService; C:\Users\lid\AppData\Local\XService\XService.dll [585728 2018-07-14] () [File not signed] <==== ATTENTION
2018-07-16 19:13 - 2018-07-16 19:13 - 000000000 ____D C:\Users\lid\AppData\Roaming\ywn1pegby3k
2018-07-16 19:13 - 2018-07-16 19:13 - 000000000 ____D C:\Program Files\P3Y1ALYWJ0
2018-07-16 18:23 - 2018-07-16 18:29 - 000000000 ____D C:\Program Files\5ZCHWCDSIM
2018-07-16 18:23 - 2018-07-16 18:29 - 000000000 ____D C:\Program Files\1VKULJH3AW
2018-07-16 18:23 - 2018-07-16 18:28 - 000000000 ____D C:\Program Files\H2PSDGFJGK
2018-07-16 18:23 - 2018-07-16 18:23 - 000000000 ____D C:\Users\lid\AppData\Roaming\mtey4hhvtjn
2018-07-16 18:23 - 2018-07-16 18:23 - 000000000 ____D C:\Users\lid\AppData\Roaming\lfygecftmqu
2018-07-16 18:23 - 2018-07-16 18:23 - 000000000 ____D C:\Users\lid\AppData\Roaming\1uhtks4mtyb
2018-07-15 09:35 - 2018-07-15 09:35 - 000000000 ____D C:\Program Files (x86)\szukwmZlgIEvrcxpnrfss
2018-07-15 09:34 - 2018-07-15 09:34 - 000000000 ____D C:\Users\lid\AppData\Roaming\vwjdhrwzjg1
2018-07-15 09:34 - 2018-07-15 09:34 - 000000000 ____D C:\Users\lid\AppData\Roaming\qjaro0p1yxh
2018-07-15 09:34 - 2018-07-15 09:34 - 000000000 ____D C:\Users\lid\AppData\Roaming\cldkcvbxpi5
2018-07-15 09:18 - 2018-07-15 09:18 - 000000000 ____D C:\Program Files (x86)\szukwmZlgIEbcbdigynrq
2018-07-15 09:17 - 2018-07-15 09:34 - 000929792 _____ C:\Users\lid\AppData\Local\sham.db
2018-07-15 09:17 - 2018-07-15 09:34 - 000016080 _____ C:\Users\lid\AppData\Local\InstallationConfiguration.xml
2018-07-15 09:17 - 2018-07-15 09:17 - 000278508 _____ C:\Users\lid\AppData\Local\Openfix.bin
2018-07-15 09:17 - 2018-07-15 09:17 - 000140800 _____ C:\Users\lid\AppData\Local\installer.dat
2018-07-15 09:17 - 2018-07-15 09:17 - 000000000 ____D C:\Users\Все пользователи\4ed86c9c-3c51-1
2018-07-15 09:17 - 2018-07-15 09:17 - 000000000 ____D C:\Users\Все пользователи\4ed86c9c-0275-0
2018-07-15 09:17 - 2018-07-15 09:17 - 000000000 ____D C:\Users\Все пользователи\176af86e-79a1-1
2018-07-15 09:17 - 2018-07-15 09:17 - 000000000 ____D C:\Users\Все пользователи\176af86e-3881-0
2018-07-15 09:17 - 2018-07-15 09:17 - 000000000 ____D C:\Users\lid\AppData\Roaming\xxftctn00uz
2018-07-15 09:17 - 2018-07-15 09:17 - 000000000 ____D C:\Users\lid\AppData\Roaming\exw320dmwtw
2018-07-15 09:17 - 2018-07-15 09:17 - 000000000 ____D C:\Users\lid\AppData\Roaming\5eekmribhev
2018-07-15 09:17 - 2018-07-15 09:17 - 000000000 ____D C:\ProgramData\4ed86c9c-3c51-1
2018-07-15 09:17 - 2018-07-15 09:17 - 000000000 ____D C:\ProgramData\4ed86c9c-0275-0
2018-07-15 09:17 - 2018-07-15 09:17 - 000000000 ____D C:\ProgramData\176af86e-79a1-1
2018-07-15 09:17 - 2018-07-15 09:17 - 000000000 ____D C:\ProgramData\176af86e-3881-0
2018-07-14 20:20 - 2018-07-16 19:21 - 000000000 ____D C:\Program Files (x86)\FireBall
2018-07-14 20:12 - 2018-07-14 20:12 - 000000000 ____D C:\Users\lid\AppData\Local\XService
2018-07-15 09:35 - 2018-07-15 09:35 - 000278508 _____ () C:\Users\lid\AppData\Local\Goldencore.bin
2018-07-15 09:17 - 2018-07-15 09:34 - 000016080 _____ () C:\Users\lid\AppData\Local\InstallationConfiguration.xml
2018-07-15 09:17 - 2018-07-15 09:17 - 000140800 _____ () C:\Users\lid\AppData\Local\installer.dat
2018-07-15 09:17 - 2018-07-15 09:17 - 000278508 _____ () C:\Users\lid\AppData\Local\Openfix.bin
2018-02-19 15:19 - 2018-02-19 15:19 - 000007605 _____ () C:\Users\lid\AppData\Local\Resmon.ResmonCfg
2018-07-15 09:17 - 2018-07-15 09:34 - 000929792 _____ () C:\Users\lid\AppData\Local\sham.db
2018-02-27 22:36 - 2018-02-27 22:36 - 000000003 _____ () C:\Users\lid\AppData\Local\updater.log
2018-02-27 22:36 - 2018-02-27 22:36 - 000000425 _____ () C:\Users\lid\AppData\Local\UserProducts.xml
2018-07-16 20:06 - 2018-07-16 20:06 - 000894976 _____ () C:\Users\lid\AppData\Local\Temp\is-6PASS.tmp\urnamgwkxfb.tmp
2018-07-16 20:06 - 2018-07-16 20:06 - 000894976 _____ () C:\Users\lid\AppData\Local\Temp\is-0QF3D.tmp\oqrbhbtfbr4.tmp
2018-07-16 20:06 - 2018-07-16 20:06 - 000894976 _____ () C:\Users\lid\AppData\Local\Temp\is-1MB3K.tmp\dpzdww2lf4h.tmp
2018-07-16 20:06 - 2018-07-16 20:06 - 000894976 _____ () C:\Users\lid\AppData\Local\Temp\is-SJBAD.tmp\tnvbnaadcbo.tmp
2018-07-16 20:06 - 2018-07-16 20:06 - 000894976 _____ () C:\Users\lid\AppData\Local\Temp\is-4BG4D.tmp\ovhsh3lfagb.tmp
2018-07-16 20:06 - 2018-07-16 20:06 - 000894976 _____ () C:\Users\lid\AppData\Local\Temp\is-G287C.tmp\ohv0braqqsv.tmp
2018-07-16 20:06 - 2018-07-16 20:06 - 000731136 _____ () C:\Users\lid\AppData\Local\Temp\is-NM4PB.tmp\mo1v1v4lpbr.tmp
2018-07-16 20:06 - 2018-07-16 20:06 - 000731136 _____ () C:\Users\lid\AppData\Local\Temp\is-HRH7U.tmp\t3a3zvwahn2.tmp
2018-07-14 20:12 - 2018-07-14 20:12 - 000585728 _____ () c:\users\lid\appdata\local\xservice\xservice.dll
2018-07-16 20:06 - 2018-07-16 20:06 - 000024240 _____ () C:\Users\lid\AppData\Local\Temp\is-6QRT0.tmp\_isetup\_isdecmp.dll
2018-07-16 20:06 - 2008-10-15 17:44 - 000205312 _____ () C:\Users\lid\AppData\Local\Temp\is-6QRT0.tmp\itdownload.dll
2018-07-16 20:06 - 2018-07-16 20:06 - 000024240 _____ () C:\Users\lid\AppData\Local\Temp\is-4BG4E.tmp\_isetup\_isdecmp.dll
2018-07-16 20:06 - 2008-10-15 17:44 - 000205312 _____ () C:\Users\lid\AppData\Local\Temp\is-4BG4E.tmp\itdownload.dll
2018-07-16 20:06 - 2018-07-16 20:06 - 000024240 _____ () C:\Users\lid\AppData\Local\Temp\is-BPJE7.tmp\_isetup\_isdecmp.dll
2018-07-16 20:06 - 2008-10-15 17:44 - 000205312 _____ () C:\Users\lid\AppData\Local\Temp\is-BPJE7.tmp\itdownload.dll
2018-07-16 20:06 - 2018-07-16 20:06 - 000024240 _____ () C:\Users\lid\AppData\Local\Temp\is-108BJ.tmp\_isetup\_isdecmp.dll
2018-07-16 20:06 - 2008-10-15 17:44 - 000205312 _____ () C:\Users\lid\AppData\Local\Temp\is-108BJ.tmp\itdownload.dll
2018-07-16 20:06 - 2018-07-16 20:06 - 000024240 _____ () C:\Users\lid\AppData\Local\Temp\is-SP4IJ.tmp\_isetup\_isdecmp.dll
2018-07-16 20:06 - 2008-10-15 17:44 - 000205312 _____ () C:\Users\lid\AppData\Local\Temp\is-SP4IJ.tmp\itdownload.dll
2018-07-16 20:06 - 2018-07-16 20:06 - 000024240 _____ () C:\Users\lid\AppData\Local\Temp\is-M2L0V.tmp\_isetup\_isdecmp.dll
2018-07-16 20:06 - 2008-10-15 17:44 - 000205312 _____ () C:\Users\lid\AppData\Local\Temp\is-M2L0V.tmp\itdownload.dll
2018-07-16 20:06 - 2018-07-16 20:06 - 000024240 _____ () C:\Users\lid\AppData\Local\Temp\is-SQLIN.tmp\_isetup\_isdecmp.dll
2018-07-16 20:06 - 2008-10-15 17:44 - 000205312 _____ () C:\Users\lid\AppData\Local\Temp\is-SQLIN.tmp\itdownload.dll
2018-07-16 20:06 - 2018-07-16 20:06 - 000024240 _____ () C:\Users\lid\AppData\Local\Temp\is-KCE0M.tmp\_isetup\_isdecmp.dll
2018-07-16 20:06 - 2008-10-15 17:44 - 000205312 _____ () C:\Users\lid\AppData\Local\Temp\is-KCE0M.tmp\itdownload.dll
Task: {FB95FA07-D93F-4376-B2E9-C79E299E9176} - \Microsoft\Windows\Diagnosis\KeyCreator -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание: будет выполнена перезагрузка компьютера.

**lid333** · 16.07.2018, 20:52

прикрепил в IE перестали и при запуске и просто так открываться окна, а хром так и не запускается

**thyrex** · 16.07.2018, 21:45

А если Хром установить заново, предварительно удалив имеющийся через Установку программ?

**lid333** · 17.07.2018, 07:24

на вид все работает, только пару сотен открытых ранее вкладок потерялось)))

- - - - -Добавлено - - - - -

Спасибо за помощь.

жаль что помощь проекту с карты не работает....

**CyberHelper** · 17.07.2018, 07:34

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 13
В ходе лечения обнаружены вредоносные программы:
1. c:\program files (x86)\cjkscrmzu\pyieys.dll - not-a-virus:HEUR:AdWare.Win32.Generic
2. c:\program files (x86)\fireball\6848251.exe - not-a-virus:HEUR:AdWare.Win32.Generic
3. c:\program files (x86)\fireball\9430661.exe - not-a-virus:HEUR:AdWare.Win32.Generic
4. c:\program files (x86)\fireball\949713.exe - not-a-virus:HEUR:AdWare.Win32.Generic
5. c:\program files (x86)\ggyoesstymmatvjtmyr\ghrdvrd.dll - not-a-virus:HEUR:AdWare.Win32.Generic ( BitDefender: Gen:Variant.Barys.2132 )
6. c:\program files (x86)\szukwmzlgie\onyoikrusd.exe - not-a-virus:HEUR:AdWare.Win32.Generic
7. c:\programdata\qddghedcbpksmpvb\iyfqfxi.wsf - Trojan-Downloader.VBS.Agent.a
8. c:\users\lid\appdata\local\xservice\xservice.dll - Trojan-PSW.Win32.Agent.thgc
9. c:\users\lid\appdata\roaming\keycreator\kget.exe - not-a-virus:AdWare.MSIL.Agent.aiut

Рекомендации:

Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !

комп не адекватно себя ведет. [not-a-virus:HEUR:AdWare.Win32.Generic, not-a-virus:AdWare.MSIL.Agent.aiut ] (заявка № 219639)

Опции темы