[решено] Подозрение на вирус. Система работает нестабильно

Sandor · Отправлено: **09:23, 01-02-2016** | #2

Здравствуйте!

Дополнительно:

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
Самостоятельно ничего не очищайте.

sashakan · Отправлено: **06:38, 02-02-2016** | #3

Здравствуйте Sandor, и спасибо Вам!

Требуемый отчёт прикрепил:

Файл 133524

Sandor · Отправлено: **09:43, 02-02-2016** | #4

1.

Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Настройки отметьте дополнительно:
- Сброс политик IE
- Сброс политик Chrome
Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

sashakan · Отправлено: **16:14, 02-02-2016** | #5

Спасибо, Sandor!
Все новые отчёты прикрепил:
Файл 133553

Файл 133554

Файл 133555

Файл 133556

Sandor · Отправлено: **16:24, 02-02-2016** | #6

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Цитата:

Camera Image

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

start
CreateRestorePoint:
HKU\S-1-5-21-1775545170-3077091192-1972197146-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfQBbAw5HQwBFbV0AAFhcFVQXIhQBWF9GDAVCc1teVgFARQ1BIR9aFQQTSEcFME0FCFwEURNNfWpdBHQeU1BxJUpNDU0CaUBB&q={searchTerms}
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfQBbAw5HQwBFbV0AAFhcFVQXIhQBWF9GDAVCc1teVgFARQ1BIR9aFQQTSEcFME0FCFwEURNNfWpdBHQeU1BxJUpNDU0CaUBB&q={searchTerms}
BHO-x32: See More Results Hub -> {4d1e47a2-d7d2-4bb1-8fa8-2055f856c8ea} -> C:\Program Files (x86)\See More Results Hub\Extensions\4d1e47a2-d7d2-4bb1-8fa8-2055f856c8ea.dll => No File
BHO-x32: No Name -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> No File
CHR RestoreOnStartup: Default -> "hxxp://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRggaI1sPV1tERxhHeFhZTA0QFVcOeQBeVhRBQAZBJg4AUF1JQ1QFIk0FA1oDB0VXfV5bFElXTwhwJVx1DksUc1BQNVVMEnEEQw=="
CHR Extension: (See More Results Hub) - C:\Users\Iryna\AppData\Local\Google\Chrome\User Data\Default\Extensions\edokfgchefpimclkfkjlpbmmhdjdjlam [2015-12-21] [UpdateUrl: hxxp://cdn.seemoreresultshub.com/update] <==== ATTENTION
CHR Extension: (Application Launcher for Drive (by Google)) - C:\Users\Iryna\AppData\Local\Google\Chrome\User Data\Default\Extensions\lmjegmlicamnimmfhcmpkclmigmmcbeh [2015-12-19]
CHR Extension: (Extutil) - C:\Users\Iryna\AppData\Local\Temp\D8ADFCCA-EE7E-442C-9999-C4D14FEF360B [2015-12-21]
CHR Extension: (Managera) - C:\Users\Iryna\AppData\Local\Temp\39fdaae5-8e0e-493c-88ec-e05c3be06e42 [2015-12-21]
CHR Extension: (Camera Image) - C:\Users\Iryna\AppData\Local\Camera Image\Component [2015-12-24]
Task: {671C163B-267A-4AE2-84B8-442CCC12F8C7} - System32\Tasks\Camera Image => Rundll32.exe "C:\Users\Iryna\AppData\Local\Camera Image\{1ECC8B56-4E58-7788-9EF9-DD1BD87D7332}\CameraImage.dll",#1 <==== ATTENTION
AlternateDataStreams: C:\Users\Iryna\AppData\Roaming\Microsoft\Windows\Start Menu\Facebook.website:TASKICON_0news-1751121550
AlternateDataStreams: C:\Users\Iryna\AppData\Roaming\Microsoft\Windows\Start Menu\Facebook.website:TASKICON_1messages-431041656
AlternateDataStreams: C:\Users\Iryna\AppData\Roaming\Microsoft\Windows\Start Menu\Facebook.website:TASKICON_2events-250898981
AlternateDataStreams: C:\Users\Iryna\AppData\Roaming\Microsoft\Windows\Start Menu\Facebook.website:TASKICON_3friends-215113587
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Сообщите что с проблемой.

sashakan · Отправлено: **17:10, 02-02-2016** | #7

Ещё раз спасибо, Sandor!

При попытке удаления нежелательного ПО ничего не происходит, строка с названием остается в списке программ. Но в колонке размер пусто - значение не обозначено.
Также при нажатии мышью на кнопку Пуск выдает сообщение:

Цитата:

Critical Error. Your Start menu isn't working. We'll try to fix it the next time you sign in. (С кнопкой: Sign out now)

и меню не открывается. Хотя меню Пуск доступно через Windows+X.

Прилагаю требуемый лог-файл:

Sandor · Отправлено: **17:18, 02-02-2016** | #8

Запустите frst64.exe, в поле Search введите

Цитата:

Camera Image

нажмите Registry Search. Итоговый файл Search.txt приложите к следующему сообщению.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

sashakan · Отправлено: **07:19, 03-02-2016** | #9

Прилагаю новый отчет и логи:
Файл 133589

Файл 133590

Sandor · Отправлено: **09:17, 03-02-2016** | #10

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

start
CreateRestorePoint:
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{805F7DC0-E8DD-40BA-AF1D-32F22FD3D415}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Camera Image2]
[-HKEY_USERS\S-1-5-21-1775545170-3077091192-1972197146-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{F43763B1-C0EC-BA8F-8484-ADF7361D5084}]
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\Iryna\AppData\Local\Camera Image\{1ECC8B56-4E58-7788-9EF9-DD1BD87D7332}\sqqzerw.dll','');
 QuarantineFile('C:\WINDOWS\system32\drivers\bsdriver.sys','');
 QuarantineFile('C:\PROGRA~1\SHOPPE~1\Eejelguh.bat', '');
 QuarantineFile('C:\PROGRA~1\SHOPPE~2\Uleurep.bat', '');
 DeleteFile('C:\Users\Iryna\AppData\Local\Camera Image\{1ECC8B56-4E58-7788-9EF9-DD1BD87D7332}\sqqzerw.dll','32');
 DeleteFile('C:\PROGRA~1\SHOPPE~1\Eejelguh.bat', '32');
 DeleteFile('C:\PROGRA~1\SHOPPE~2\Uleurep.bat', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "Cokdebk" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Fomvue" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Camera Image2" /F', 0, 15000, true);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Загрузите GMER по одной из указанных ссылок:
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Временно отключите драйверы эмуляторов дисков.
Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. Если появится окно с сообщением о деятельности руткита, нажмите No.
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробную инструкцию читайте в руководстве.