[решено] Непобедимый вирус загружает каждый день своих друзей

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

Непобедимый вирус загружает каждый день своих друзей

Здравствуйте!
Проверяю Malwarebytes Anti-Malware, adwcleaner_5.036, находится куча всего, лечится, удаляется, и вроде бы все работет нормально, никаких проблем, но на следующий день при запуске компьютера огромное количество вирусов проникают и атакуют мой ПК, уже сил нет, что делать?
Прилагаю все логи, которые собрал

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код:

begin

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

 QuarantineFileF('C:\Program Files (x86)\filter', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);

 QuarantineFileF('C:\Program Files\SpaceSoundPro', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);

 QuarantineFileF('C:\ProgramData\TimeTasks', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);

 QuarantineFile('C:\Program Files (x86)\filter\2\CppWindowsService.exe', '');

 QuarantineFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '');

 QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe', '');

 QuarantineFile('C:\Users\Taldir\ReportSender\ReportSender.exe','');

 ExecuteFile('schtasks.exe', '/delete /TN "ReportSender" /F', 0, 15000, true);

 DeleteFile('C:\Users\Taldir\ReportSender\ReportSender.exe','32');

 DeleteFile('C:\Program Files (x86)\filter\2\CppWindowsService.exe', '32');

 DeleteFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '32');

 DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe', '32');

 DeleteFileMask('C:\Program Files (x86)\filter', '*', true);

 DeleteFileMask('C:\Program Files\SpaceSoundPro', '*', true);

 DeleteFileMask('C:\ProgramData\TimeTasks', '*', true);

 DeleteDirectory('C:\Program Files (x86)\filter');

 DeleteDirectory('C:\Program Files\SpaceSoundPro');

 DeleteDirectory('C:\ProgramData\TimeTasks');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpaceSoundPro','command');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Timestasks','command');

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);

 DeleteService('CppWindowsService');

ExecuteSysClean;

 ExecuteWizard('SCU', 2, 3, true);

 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');

RebootWindows(true);

end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Еще раз:

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Здравствуйте Sandor!
Спасибо за помощь, файл quarantine.zip отправил по форме, AdwCleaner[S1].txt прилагаю.

сегодня началось все опять по новой, загружается нежелательное ПО, меняются поисковики и т.д.

Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню "Options" ("Настройки") отметьте дополнительно:
- Сброс политик IE
- Сброс политик Chrome
Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

start

CreateRestorePoint:

FF Extension: No Name - C:\Users\Taldir\AppData\Roaming\Mozilla\Firefox\Profiles\zusjiyl7.default\extensions\deskCutv2@gmail.com [not found]

CHR StartupUrls: Profile 1 -> "hxxp://www.mysites123.com/?type=hp&ts=1456308536&z=344ec08218396a011e641b5gfz8w4qac1e6bbw8c2q&from=amt&uid=maxtorxstm3320820a_5qf4lhw0xxxx5qf4lhw0","hxxp://www.istartpageing.com/?type=hp&ts=1456309684&z=875563b11abd735d5bc62b2g9zew1qec3eftbq2bbz&from=age&uid=MAXTORXSTM3320820A_5QF4LHW0XXXX5QF4LHW0","hxxp://www.mysites123.com/?type=hp&ts=1456394987&z=42f8b49861848875ffea7degez9w0qfc8t3zdtcb3m&from=wscy1&uid=MAXTORXSTM3320820A_5QF4LHW0XXXX5QF4LHW0","hxxp://mail.ru/cnt/10445?gp=789185","hxxp://www.mysites123.com/?type=hp&ts=1456483747&z=29e86323086fda5606082c6g3zaw6q9zfb3c1m1zcm&from=wscy1&uid=MAXTORXSTM3320820A_5QF4LHW0XXXX5QF4LHW0","hxxp://www.mysites123.com/?type=hp&ts=1456562236&z=2055853483d9ca36130484dgfz4w0q6w2qao7o2c1w&from=wscy1&uid=MAXTORXSTM3320820A_5QF4LHW0XXXX5QF4LHW0","hxxp://www.mysites123.com/?type=hp&ts=1456648605&z=8cb22e865db6c890cc7fc2ag8z1weq1q6z7bcqde5w&from=wscy1&uid=MAXTORXSTM3320820A_5QF4LHW0XXXX5QF4LHW0"

2016-02-23 23:13 - 2016-02-28 14:59 - 00000080 _____ C:\Users\Taldir\AppData\Local剜捯獫慴⁲慇敭屳呇⁁屖湥楴汴浥湥⹴湩潦

2016-02-21 10:31 - 2016-02-27 21:28 - 00000000 ____D C:\Users\Taldir\ReportSender

2016-02-21 10:31 - 2016-02-23 13:16 - 00000000 ____D C:\Users\Taldir\AppData\Local\iJAiXWo

2016-02-21 10:31 - 2016-02-21 10:41 - 00000000 ____D C:\Program Files (x86)\HDefsoft

2016-02-21 10:31 - 2016-02-21 10:31 - 00000000 ____D C:\Users\Все пользователи\GMGeGBQ

2016-02-21 10:31 - 2016-02-21 10:31 - 00000000 ____D C:\Users\Taldir\AppData\Roaming\FreeVPN

2016-02-21 10:31 - 2016-02-21 10:31 - 00000000 ____D C:\ProgramData\GMGeGBQ

FirewallRules: [{50C1FB54-2EC6-4B20-B6CE-15D798A25787}] => (Allow) C:\Torrentex\Torrentex.exe

FirewallRules: [{E6D272A5-1497-44D6-B6D7-08364C0B2860}] => (Allow) C:\Torrentex\Torrentex.exe

FirewallRules: [Torrentex-In-TCP] => (Allow) C:\Torrentex\Torrentex.exe

FirewallRules: [Torrentex-In-UDP] => (Allow) C:\Torrentex\Torrentex.exe

EmptyTemp:

Reboot:

end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Сообщите что с проблемой.

Прилагаю фикслог.

В настоящее время ПК ведет себя адекватно, нежелательного ПО не появляется, но это можно будет проверить только завтра, т.к. вирус проявляет активность на следующий день.
Из следов - в фаерфоксе осталась страница маил.ру (https://mail.ru/cnt/11956636?fr=ffhp1.0.2&gp=789185) в качестве домашней страницы, и не меняется. больше ничего не замечено.

Цитата:

Цитата TaldirSochi

в фаерфоксе осталась страница маил.ру в качестве домашней страницы, и не меняется »

Удалите расширение

Цитата:

Домашняя страница Mail.Ru

Затем:

Пожалуйста, запустите adwcleaner.exe
Нажмите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

Подробнее читайте в этом руководстве.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var

LogPath : string;

ScriptPath : string;

begin

 LogPath := GetAVZDirectory + 'log\avz_log.txt';

 if FileExists(LogPath) Then DeleteFile(LogPath);

 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 

begin

    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 

else begin

       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');

       exit;

      end;

  end;

 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)

end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Спасибо, выполнил рекомендации, загрузил обновления, лог уязвимостей прилагаю.
После обновления, AVZ уязвимостей не обнаружил

Огромное спасибо за помощь, если есть куда донатить, то я готов.

Цитата:

Цитата TaldirSochi

Огромное спасибо за помощь, если есть куда донатить, то я готов. »

Вам помогал консультант прошедший обучение на ресурсе safezone.cc и если есть желание то можете выразить его - здесь все данные

iskander-k,
все, готово