[akok]

- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:

Код:

>>> [HTTP][RO][s] "C:\Users\Denis\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk"   -> ["C:\Program Files\Internet Explorer\iexplore.exe"  =>> "hxxp://rugooglee.ru"]
>>> [HTTP][RO][s] "C:\Users\Denis\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera Unofficial.lnk"         -> ["C:\Program Files\Opera Unofficial\OperaLauncher.exe"  =>> "hxxp://rugooglee.ru"]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

 begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 SetServiceStart('BrsHelper', 4);
 SetServiceStart('sbmntr', 4);
 StopService('sbmntr');
 QuarantineFile('C:\PROGRA~1\COMMON~1\System\SysMenu.dll', '');
 QuarantineFile('C:\PROGRA~2\YTDOWN~1\BROWSE~2.EXE', '');
 QuarantineFile('C:\PROGRA~2\YTDOWN~1\sbmntr.sys', '');
 QuarantineFile('C:\Program Files\Common Files\lsass.exe', '');
 QuarantineFile('C:\ProgramData\csrss.exe', '');
 QuarantineFile('C:\Users\Denis\AppData\Local\GoToMeeting\12933\g2mupdate.exe', '');
 QuarantineFile('C:\windows\3622157919425178\winlpwq.exe', '');
 QuarantineFile('C:\windows\4898364518958176\winutmx.exe', '');
 QuarantineFile('C:\windows\7485253215635974\winbjyv.exe', '');
 QuarantineFile('c:\windows\8677886615281465\winxbbk.exe', '');
 QuarantineFile('C:\windows\TEMP\13784225D.sys', '');
 DeleteFile('C:\PROGRA~1\COMMON~1\System\SysMenu.dll', '64');
 DeleteFile('C:\PROGRA~2\YTDOWN~1\BROWSE~2.EXE', '64');
 DeleteFile('C:\PROGRA~2\YTDOWN~1\sbmntr.sys', '64');
 DeleteFile('C:\Program Files\Common Files\lsass.exe', '64');
 DeleteFile('C:\ProgramData\csrss.exe', '64');
 DeleteFile('C:\windows\3622157919425178\winlpwq.exe', '32');
 DeleteFile('C:\windows\4898364518958176\winutmx.exe', '32');
 DeleteFile('C:\windows\7485253215635974\winbjyv.exe', '32');
 DeleteFile('C:\windows\8677886615281465\winxbbk.exe', '32');
 DeleteFile('C:\windows\TEMP\13784225D.sys', '64');
 DeleteService('BrsHelper');
 DeleteService('sbmntr');
 DeleteSchedulerTask('{09399987-F793-40B0-B656-CC867CFA2123}');
 DeleteSchedulerTask('{12604B4A-F4E6-4B87-B33E-44B53D190937}');
 DeleteSchedulerTask('{178360DF-B20C-4A83-ACD3-705BB4602DB4}');
 DeleteSchedulerTask('{308572E5-0208-4AF5-A4DB-2985F5656709}');
 DeleteSchedulerTask('{37723531-5D36-48C3-BB27-8729662544D4}');
 DeleteSchedulerTask('{436A0DC9-D57F-4F47-9D3C-37B7CE4C7A51}');
 DeleteSchedulerTask('{4ED37E70-E849-4099-BBA6-BB644C7A95F3}');
 DeleteSchedulerTask('{65EDA0D1-369D-4884-A6F4-D77BB423A742}');
 DeleteSchedulerTask('{6AB136DB-E49D-497D-A17C-BC233FDBBF1F}');
 DeleteSchedulerTask('{6B7E0833-E63A-4AA5-A3BF-4CCFAB0C99A8}');
 DeleteSchedulerTask('{A240B0D5-E5E7-4E10-94D1-885B57E771DF}');
 DeleteSchedulerTask('{B8AB0158-C4AB-498A-81B2-1ECA206B52A4}');
 DeleteSchedulerTask('{C45BD810-8B63-4B2F-B539-2B2C88B540B7}');
 DeleteSchedulerTask('{CD0DCB76-2622-4939-9BEF-1AAF6D637FAB}');
 DeleteSchedulerTask('{D4DD82C2-03A7-416C-B9C1-B35B0E6DD8DA}');
 DeleteSchedulerTask('{E0EB5928-6342-4B39-AD5D-CD0B73DF9C73}');
 DeleteSchedulerTask('{E4F926E9-85CC-4620-97DE-5BFBB485ACD3}');
 DeleteSchedulerTask('{EB223C7B-1C75-44DD-AB60-295F36F20620}');
 DeleteSchedulerTask('{EB6F3EDC-3D1C-464B-9D66-3037975573AD}');
 DeleteSchedulerTask('{F46A1C3A-BFB7-4184-B846-A5FD9724F226}');
 DeleteSchedulerTask('{FBD68C56-6230-4623-B52C-6BEE2CC938AD}');
 DeleteSchedulerTask('Microsoft\Windows\Maintenance\SMupdate2');
 DeleteSchedulerTask('Microsoft\Windows\Multimedia\SMupdate3');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'Audio Driver', 'x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Microsoft Windows Services', 'x32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows DDGG', 'x32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows Update 39405', 'x32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'WindowsServicesUpdates32', 'x32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportALL;
 ExecuteRepair(3);
 ExecuteRepair(4);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма..

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

Код:

O4-32 - HKLM\..\Run: [Microsoft Windows Services] = C:\windows\8677886615281465\winxbbk.exe
O4-32 - HKLM\..\Run: [Windows DDGG] = C:\windows\7485253215635974\winbjyv.exe
O4-32 - HKLM\..\Run: [Windows Update 39405] = C:\windows\3622157919425178\winlpwq.exe
O4-32 - HKLM\..\Run: [WindowsServicesUpdates32] = C:\windows\4898364518958176\winutmx.exe

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[akok]

+++ Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
4. Закачайте полученный архив, как описано на этой странице.
5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

[alert30]

http://rgho.st/8cPm6PGJ8

[akok]

• Запустите повторно AdwCleaner через правую кн. мыши от имени администратора.
• В меню Настройки отметьте:
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Scan Now" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean & Repair" ("Очистить и восстановить") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

[alert30]

Готово

[alert30]

Addition.txt: http://rgho.st/8JGQ68TSD

[akok]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Код:

  Start::
  CreateRestorePoint:
  HKLM\...\Run: [] => [X]
  HKLM-x32\...\Run: [] => [X]
  Folder: C:\windows\3622157919425178
  HKU\S-1-5-21-2753881654-3679568051-3330406590-1000\...\Policies\Explorer: [] 
  HKU\S-1-5-21-2753881654-3679568051-3330406590-1000\...\MountPoints2: H - H:\AutoRun.exe
  HKU\S-1-5-21-2753881654-3679568051-3330406590-1000\...\MountPoints2: I - I:\AutoRun.exe
  HKU\S-1-5-21-2753881654-3679568051-3330406590-1000\...\MountPoints2: {17d27bdf-768c-11e3-bbd9-047d7b6949df} - H:\LGAutoRun.exe
  HKU\S-1-5-21-2753881654-3679568051-3330406590-1000\...\MountPoints2: {39de3ef4-fa47-11e5-92e4-047d7b6949df} - H:\AutoRun.exe
  HKU\S-1-5-21-2753881654-3679568051-3330406590-1000\...\MountPoints2: {39de3f25-fa47-11e5-92e4-047d7b6949df} - H:\AutoRun.exe
  HKU\S-1-5-21-2753881654-3679568051-3330406590-1000\...\MountPoints2: {7efd4488-88cd-11e8-a5e6-005056c00008} - H:\AutoRun.exe
  HKU\S-1-5-21-2753881654-3679568051-3330406590-1000\...\MountPoints2: {7efd44a8-88cd-11e8-a5e6-005056c00008} - I:\AutoRun.exe
  HKU\S-1-5-21-2753881654-3679568051-3330406590-1000\...\MountPoints2: {7ff1f962-6615-11e7-a477-047d7b6949df} - H:\AutoRun.exe
  HKU\S-1-5-21-2753881654-3679568051-3330406590-1000\...\MountPoints2: {8827601e-9ef0-11e6-b28c-047d7b6949df} - H:\AutoRun.exe
  HKU\S-1-5-21-2753881654-3679568051-3330406590-1000\...\MountPoints2: {9b059413-ab71-11e5-ba9a-047d7b6949df} - E:\Setup.exe
  HKU\S-1-5-21-2753881654-3679568051-3330406590-1000\...\MountPoints2: {9b059419-ab71-11e5-ba9a-047d7b6949df} - F:\Setup.exe
  HKLM\Software\Microsoft\Active Setup\Installed Components: [{26b4dfbc-5f94-11e1-875a-806e6f6e6963}] -> C:\ProgramData\csrss.exe -r
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  CHR HKU\S-1-5-21-2753881654-3679568051-3330406590-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  Task: {45FAE777-2D90-44D9-847C-72DA4EBB32FB} - \rory7ihpig -> No File <==== ATTENTION
  Task: {FB98DB9B-E851-4A46-B09C-64710533F6A9} - \sjrz -> No File <==== ATTENTION
  HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
  HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 
  HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
  HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = 
  2019-04-29 13:40 - 2019-04-29 16:12 - 000000000 ____D C:\Users\Все пользователи\nEzJvZquBf
  2019-04-29 13:40 - 2019-04-29 16:12 - 000000000 ____D C:\ProgramData\nEzJvZquBf
  2019-05-04 12:43 - 2019-05-04 20:35 - 000000000 _RSHD C:\windows\3622157919425178
  2019-05-04 09:57 - 2019-05-04 20:35 - 000000000 _RSHD C:\windows\4898364518958176
  2019-05-04 09:50 - 2019-05-04 20:35 - 000000000 _RSHD C:\windows\7485253215635974
  2019-05-04 09:46 - 2019-05-04 09:46 - 000000000 _RSHD C:\windows\5270756811253549
  2019-05-04 09:36 - 2019-05-04 20:40 - 000000000 _RSHD C:\windows\8677886615281465
  2019-05-02 04:37 - 2019-05-02 04:37 - 000000000 _RSHD C:\windows\8101774216216741
  2019-05-02 04:37 - 2019-05-02 04:37 - 000000000 _RSHD C:\windows\7319727413249434
  2019-05-01 13:55 - 2019-05-01 13:55 - 000000000 _RSHD C:\windows\75246811161510802
  2019-05-01 13:55 - 2019-05-01 13:55 - 000000000 _RSHD C:\windows\1752447710921977
  2019-04-30 09:29 - 2019-04-30 09:29 - 000000000 _RSHD C:\windows\9853673610025696
  2019-04-30 09:29 - 2019-04-30 09:29 - 000000000 _RSHD C:\windows\5299812016362449
  2019-04-29 13:48 - 2019-04-29 13:48 - 000000000 _RSHD C:\windows\4243399818925060
  2019-04-29 13:40 - 2019-04-29 13:40 - 000000000 _RSHD C:\windows\7894998110239847
  2019-04-29 13:12 - 2019-04-29 13:12 - 000000000 _RSHD C:\windows\6116276619711755
  ContextMenuHandlers1_S-1-5-21-2753881654-3679568051-3330406590-1000: [SysMenuExt] -> {020B1D4B-5738-4C77-9E19-4F173DD9B486} =>  -> No File
  AlternateDataStreams: C:\ProgramData\Temp:07BF512B [150]
  AlternateDataStreams: C:\Users\Denis\Local Settings:init [954685]
  AlternateDataStreams: C:\Users\Denis\Local Settings:wa [178]
  AlternateDataStreams: C:\Users\Denis\AppData\Local:init [954685]
  AlternateDataStreams: C:\Users\Denis\AppData\Local:wa [178]
  AlternateDataStreams: C:\Users\Denis\AppData\Local\Application Data:init [954685]
  AlternateDataStreams: C:\Users\Denis\AppData\Local\Application Data:wa [178]
  AlternateDataStreams: C:\Users\Все пользователи\Temp:07BF512B [150]
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.