[решено] Помогите справиться с вирусами

Sandor · Отправлено: **14:34, 14-04-2016** | #2

Здравствуйте!

1.
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files (x86)\common files\baidu\baiduprotect1.3\1.3.0.602\baiduprotect.exe');
 StopService('BDSafeBrowser');
 StopService('BDArKit');
 StopService('bd0004');
 StopService('BDSGRTP');
 StopService('{09c3ffd6-f1a3-4fde-86e1-d448e8559c21}w64');
 StopService('{1a7531da-31ad-48c5-8d60-be70ecfbab93}w64');
 StopService('{34789ec0-129d-4a2d-b089-9977cdae65db}w64');
 StopService('{3560b757-0519-45b3-a215-cfb94afd0821}Gw64');
 StopService('{4bcd2e21-b225-4bad-81f4-2c4a7013cd87}w64');
 StopService('{955a1491-962c-4a4d-a25b-ddfc77991b58}w64');
 StopService('{9d525140-2aa5-4c29-b571-058468248f69}w64');
 StopService('{bab3007b-75f3-4020-8eee-4c923fdcb91b}w64');
 StopService('{c0915853-fd66-4086-a9ce-b80496d49b3f}w64');
 StopService('{d487b1e4-59cf-4940-87da-e7c5a283dab7}w64');
 StopService('{e85a0e97-fa40-4dc4-a79e-e1c1cabe72eb}w64');
 QuarantineFile('C:\Windows\system32\ir16_32.dll','');
 QuarantineFile('C:\Windows\system32\DRIVERS\BDMWrench_x64.sys','');
 QuarantineFile('C:\Windows\system32\DRIVERS\BDMNetMon.sys','');
 QuarantineFile('C:\Windows\system32\drivers\BDEnhanceBoost.sys','');
 QuarantineFile('C:\Windows\system32\DRIVERS\bd0002.sys','');
 QuarantineFile('C:\Windows\system32\DRIVERS\BDArKit.sys','');
 QuarantineFile('C:\Windows\system32\DRIVERS\bd0004.sys','');
 QuarantineFile('c:\program files (x86)\common files\baidu\baiduprotect1.3\1.3.0.602\baiduprotect.exe','');
 QuarantineFile('C:\Windows\system32\drivers\{09c3ffd6-f1a3-4fde-86e1-d448e8559c21}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{1a7531da-31ad-48c5-8d60-be70ecfbab93}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{34789ec0-129d-4a2d-b089-9977cdae65db}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{3560b757-0519-45b3-a215-cfb94afd0821}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{4bcd2e21-b225-4bad-81f4-2c4a7013cd87}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{955a1491-962c-4a4d-a25b-ddfc77991b58}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{9d525140-2aa5-4c29-b571-058468248f69}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{bab3007b-75f3-4020-8eee-4c923fdcb91b}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{c0915853-fd66-4086-a9ce-b80496d49b3f}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{d487b1e4-59cf-4940-87da-e7c5a283dab7}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{e85a0e97-fa40-4dc4-a79e-e1c1cabe72eb}w64.sys', '');
 QuarantineFile('C:\Users\Владислав\AppData\Roaming\daemon2.exe', '');
 QuarantineFile('C:\Users\Владислав\AppData\Roaming\GVMTKIX.exe', '');
 QuarantineFile('C:\Users\Владислав\AppData\Local\Phoenix\Application\Интернет браузер Phoenix.lnk', '');
 QuarantineFile('C:\Users\Владислав\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yаndех.lnk', '');
 QuarantineFile('C:\Users\Владислав\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yаndех.lnk', '');
 QuarantineFile('C:\Users\Владислав\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yаndех.lnk', '');
 QuarantineFile('C:\Users\Владислав\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '');
 QuarantineFile('C:\Users\Владислав\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk', '');
 QuarantineFile('C:\Users\Владислав\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооglе Сhrоmе.lnk', '');
 QuarantineFile('C:\Users\Владислав\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Интернет браузер Phоеniх.lnk', '');
 QuarantineFile('C:\Users\Владислав\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Интернет браузер Phоеniх.lnk', '');
 QuarantineFile('C:\Users\Владислав\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk', '');
 QuarantineFile('C:\Users\Владислав\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Интернет браузер Phоеniх.lnk', '');
 QuarantineFile('C:\Users\Владислав\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gооglе Сhrоmе.lnk', '');
 QuarantineFile('C:\Users\Владислав\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Интернет браузер Phoenix\Интернет браузер Phоеniх.lnk', '');
 QuarantineFile('C:\Users\Владислав\AppData\Local\Phoenix\Application\chrome.exe', '');
 QuarantineFile('C:\Users\Владислав\AppData\Local\Yandex\browser.bat', '');
 QuarantineFile('C:\Users\Владислав\AppData\Local\Yandex.bat', '');
 QuarantineFile('C:\Users\Владислав\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.exe', '');
 QuarantineFile('C:\Users\Владислав\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.ico', '');
 QuarantineFile('C:\Users\Владислав\appdata\local\microsoft\internet explorer\extensions\apihelper.dll','');
 DeleteFile('C:\Users\Владислав\appdata\local\microsoft\internet explorer\extensions\apihelper.dll','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.602\BaiduProtect.exe','32');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys','32');
 DeleteFile('C:\Windows\system32\drivers\BDEnhanceBoost.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDMNetMon.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench_x64.sys','32');
 DeleteFile('C:\Windows\Tasks\GVMTKIX.job', '64');
 DeleteFile('C:\Windows\system32\drivers\{09c3ffd6-f1a3-4fde-86e1-d448e8559c21}w64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{1a7531da-31ad-48c5-8d60-be70ecfbab93}w64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{34789ec0-129d-4a2d-b089-9977cdae65db}w64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{3560b757-0519-45b3-a215-cfb94afd0821}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{4bcd2e21-b225-4bad-81f4-2c4a7013cd87}w64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{955a1491-962c-4a4d-a25b-ddfc77991b58}w64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{9d525140-2aa5-4c29-b571-058468248f69}w64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{bab3007b-75f3-4020-8eee-4c923fdcb91b}w64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{c0915853-fd66-4086-a9ce-b80496d49b3f}w64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{d487b1e4-59cf-4940-87da-e7c5a283dab7}w64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{e85a0e97-fa40-4dc4-a79e-e1c1cabe72eb}w64.sys', '32');
 DeleteFile('C:\Users\Владислав\AppData\Roaming\daemon2.exe', '32');
 DeleteFile('C:\Users\Владислав\AppData\Local\Yandex\browser.bat', '32');
 DeleteFile('C:\Users\Владислав\AppData\Roaming\GVMTKIX.exe', '32');
 DeleteFile('C:\Users\Владислав\AppData\Local\Yandex\browser.bat', '');
 DeleteFile('C:\Users\Владислав\AppData\Local\Yandex.bat', '');
 DeleteFile('C:\Users\Владислав\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.exe', '');
 DeleteFile('C:\Users\Владислав\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.ico', '');
 ExecuteFile('schtasks.exe', '/delete /TN "{0A0B0B47-7D0A-0D7D-0B11-7E7D0F0A110A}" /F', 0, 15000, true);
 DeleteService('BDMWrench_x64');
 DeleteService('BDMNetMon');
 DeleteService('BDEnhanceBoost');
 DeleteService('bd0002');
 DeleteService('BDSafeBrowser');
 DeleteService('BDArKit');
 DeleteService('bd0004');
 DeleteService('BDSGRTP');
 DeleteService('{09c3ffd6-f1a3-4fde-86e1-d448e8559c21}w64');
 DeleteService('{1a7531da-31ad-48c5-8d60-be70ecfbab93}w64');
 DeleteService('{34789ec0-129d-4a2d-b089-9977cdae65db}w64');
 DeleteService('{3560b757-0519-45b3-a215-cfb94afd0821}Gw64');
 DeleteService('{4bcd2e21-b225-4bad-81f4-2c4a7013cd87}w64');
 DeleteService('{955a1491-962c-4a4d-a25b-ddfc77991b58}w64');
 DeleteService('{9d525140-2aa5-4c29-b571-058468248f69}w64');
 DeleteService('{bab3007b-75f3-4020-8eee-4c923fdcb91b}w64');
 DeleteService('{c0915853-fd66-4086-a9ce-b80496d49b3f}w64');
 DeleteService('{d487b1e4-59cf-4940-87da-e7c5a283dab7}w64');
 DeleteService('{e85a0e97-fa40-4dc4-a79e-e1c1cabe72eb}w64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Yahoo! Search','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Daemon','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\zgtqkznlfp','command');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

2.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

3.
Файл CheckBrowserLnk.log
из папки

Цитата:

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

4.

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

CoF_TuZ · Конфигурация компьютера

Сделано.

Sandor · Отправлено: **15:16, 14-04-2016** | #4

1.

Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Настройки отметьте дополнительно:
- Сброс политик IE
- Сброс политик Chrome
Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

CoF_TuZ · Конфигурация компьютера

Сделано.

Addition.txt

FRST.txt

AdwCleaner[C2].txt

Shortcut.txt

Никак не научусь правильно прикреплять файлы.

Sandor · Отправлено: **08:21, 15-04-2016** | #6

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Цитата:

Calculator

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

start
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [gmsd_ru_116] => [X]
BHO: MSaver -> {12E8A6C2-B125-479F-AB3C-13B8757C7F04} -> No File
BHO-x32: No Name -> {12E8A6C2-B125-479F-AB3C-13B8757C7F04} -> No File
Toolbar: HKU\S-1-5-21-1059553410-1956651935-2154180951-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
R2 BDSGRTP; C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.602\BaiduProtect.exe [1923688 2014-12-23] (百度在线网络技术（北京）有限公司)
R1 bd0001; C:\Windows\System32\DRIVERS\bd0001.sys [181072 2014-12-23] (Baidu)
R1 bd0004; C:\Windows\System32\DRIVERS\bd0004.sys [168776 2014-12-23] (Baidu)
R2 BDArKit; C:\Windows\System32\DRIVERS\BDArKit.sys [152392 2014-12-26] (Baidu Technology)
R1 BDMWrench; C:\Windows\System32\DRIVERS\BDMWrench.sys [130888 2014-12-23] (Baidu)
S1 bd0002; system32\DRIVERS\bd0002.sys [X]
S1 BDMWrench_x64; system32\DRIVERS\BDMWrench_x64.sys [X]
2016-04-04 20:56 - 2016-04-14 09:08 - 00003450 _____ C:\Windows\System32\Tasks\Kometa up
2016-04-14 17:31 - 2015-07-28 19:40 - 00000000 ____D C:\Program Files (x86)\prizzecooupono
2016-04-14 10:46 - 2015-01-28 16:16 - 00002222 ____R C:\Users\Владислав\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Амиго.lnk
2015-01-28 16:17 - 2015-01-28 16:17 - 0000157 ____H () C:\Users\Владислав\AppData\Local\BrowserManager.bat
2015-01-28 16:16 - 2015-01-28 16:17 - 0000154 ____H () C:\Users\Владислав\AppData\Local\chrome.bat
2015-01-28 16:17 - 2015-01-28 16:17 - 0000149 ____H () C:\Users\Владислав\AppData\Local\Yandex.bat
2015-01-28 16:17 - 2014-07-22 14:00 - 0876328 ____H (Yandex LLC) C:\Users\Владислав\AppData\Local\ВrоwsеrМаnаgеr.bаt.exe
2015-01-28 16:16 - 2014-11-05 15:34 - 0725504 ____H (The Chromium Authors) C:\Users\Владислав\AppData\Local\сhrоmе.bаt.exe
2014-12-17 20:17 - 2014-12-17 20:17 - 0312591 _____ (                                                            ) C:\Program Files (x86)\baidus.exe
Task: {0A9ABAB9-09A6-4C37-8823-C1B4D40C0119} - System32\Tasks\MailRuUpdateTask => C:\Users\Владислав\AppData\Local\Mail.Ru\MailRuUpdater.exe
Task: {491D1D56-7B06-42DC-B8C5-79AA90E2FB6B} - \Update Service for Media Saver2 -> No File <==== ATTENTION
Task: {49D8869D-D12B-4E60-A502-734A7A60A962} - \MagicKeys -> No File <==== ATTENTION
Task: {74D13C10-0417-4966-8C9C-F77662E4CB40} - System32\Tasks\Kometa up => C:\Users\Владислав\AppData\Local\Kometa\kometaup.exe
Task: {84942275-AFA5-49ED-8FCA-BFA41D778682} - \Microsoft\Windows\Apps\UpService -> No File <==== ATTENTION
Task: {88443B4D-F01D-429C-A8B9-FD22208072B7} - \Update Service for Media Saver -> No File <==== ATTENTION
Task: {D3266F3F-4D12-4F60-8D90-5EA6ABE1CFB9} - \Style Mart -> No File <==== ATTENTION
Task: C:\Windows\Tasks\MagicKeys.job => c:\programdata\{6ef5c04c-c64c-f075-6ef5-5c04cc640133}\3113341408602753693e.exe <==== ATTENTION
Task: C:\Windows\Tasks\Update Service for Media Saver.job => C:\Program Files (x86)\Media Saver\8W7crcC.exe
Task: C:\Windows\Tasks\Update Service for Media Saver2.job => C:\Program Files (x86)\Media Saver\8W7crcC.exe
2014-12-23 19:45 - 2014-12-23 19:45 - 00427336 _____ () C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.602\bdsg0002.dll
2015-12-10 16:39 - 2015-12-09 15:23 - 00142216 _____ () C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.602\dynplugins\BrowserProbe.dll
2015-04-24 16:23 - 2015-04-24 15:33 - 00076680 ____N () C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.602\dynplugins\BbSavior.dll
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [322]
AlternateDataStreams: C:\Users\Владислав\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\Владислав\AppData\Roaming:NT2 [322]
FirewallRules: [{C0CF8029-52A9-4D68-9549-604B81DF72EB}] => (Allow) C:\Program Files (x86)\Mobogenie3\mobogenieP2sp.exe
FirewallRules: [{7448F01A-12B6-433F-A148-B9A3DB64F5E7}] => (Allow) C:\Program Files (x86)\Mobogenie3\mobogenieP2sp.exe
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Скачайте Universal Virus Sniffer (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS.

CoF_TuZ · Конфигурация компьютера

Извините что не отписался! Я скрипт выполнил, и уже начал собирать логи как выключили электричество. Потом сразу забрали компьютер. Не успел я это проделать. Спасибо за помощь!