[Sandor]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\sysadm\appdata\roaming\sys64\rutserv.exe');
 TerminateProcessByName('c:\users\sysadm\appdata\local\temp\comct\klclientapp.exe');
 QuarantineFile('c:\users\sysadm\appdata\roaming\sys64\rutserv.exe','');
 QuarantineFile('c:\users\sysadm\appdata\local\temp\comct\klclientapp.exe', '');
 QuarantineFile('C:\Users\sysadm\AppData\Roaming\cntephp.dll', '');
 QuarantineFile('C:\Users\sysadm\AppData\Local\Temp\comct\injector.vbs', '');
 QuarantineFile('C:\Users\sysadm\AppData\Roaming\Sys64\dropper.vbs', '');
 DeleteFile('c:\users\sysadm\appdata\roaming\sys64\rutserv.exe','32');
 DeleteFile('c:\users\sysadm\appdata\local\temp\comct\klclientapp.exe', '32');
 DeleteFile('C:\Users\sysadm\AppData\Roaming\cntephp.dll', '32');
 DeleteFile('C:\Users\sysadm\AppData\Local\Temp\comct\injector.vbs', '32');
 DeleteFile('C:\Users\sysadm\AppData\Roaming\Sys64\dropper.vbs', '32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','aiqgtero');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Christmas Fireplace','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Green Christmas Tree','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Snowman Snow Globe','command');
ExecuteSysClean;
 ExecuteRepair(4);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.



Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[user-luser]

Все сделал, прикрепляю повторный лог.

[Sandor]

Пофиксите в HijackThis следующие строчки (утилиту используйте ту, что в папке Автологера):

Код:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1392084543&from=cor&uid=ST250DM000-1BD141_9VYK9EMGXXXX9VYK9EMG&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1392084543&from=cor&uid=ST250DM000-1BD141_9VYK9EMGXXXX9VYK9EMG&q={searchTerms}
O2-32 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O4 - MSConfig\startupreg:  [Christmas Fireplace] C:\Users\USER\AppData\Local\Temp\Rar$EX00.965\ChristmasFireplace.exe (2014/02/20)
O4 - MSConfig\startupreg:  [Green Christmas Tree] C:\Users\USER\AppData\Local\Temp\Rar$EX00.888\GreenChristmasTree.exe (2014/02/20)
O4 - MSConfig\startupreg:  [NextLive] C:\Windows\SysWOW64\rundll32.exe "C:\Users\USER\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l (2014/02/20)
O4 - MSConfig\startupreg:  [Snowman Snow Globe] C:\Users\USER\AppData\Local\Temp\Rar$EX00.872\SnowmanSnowGlobe.exe (2014/02/20)
O4 - MSConfig\startupreg:  [mobilegeni daemon] C:\Program Files (x86)\Mobogenie\DaemonProcess.exe (2014/02/20)

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[user-luser]

В HijackThis указанные строки пофиксил, отчет AdwCleaner прилагаю.

[Sandor]

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
  • Политики IE
  • Политики Chrome
    и нажмите Ok.
• Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.
Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

[user-luser]

Все сделал, логи прилагаю. Файл Shortcut.txt не прошел по размеру, выложил на облако, ссылку на него даю: https://cloud.mail.ru/public/2xo4/dwCyCGGqF Продолжить лечение смогу только в понедельник. Спасибо за помощь!

[Sandor]

Цитата user-luser:

не прошел по размеру »

Упакуйте и прикрепите сюда.


Сообщите проявляется ли еще проблема.

[user-luser]

Не догадался заархивировать, исправляю ошибку. Проблем не наблюдается никаких.

[Sandor]

Цитата Sandor:

проявляется ли еще проблема »

???