Вирус из-за нагруженности или сбоя беспроводной сети

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

Вирус из-за нагруженности или сбоя беспроводной сети

Здравствуйте.
После запуска компьютера появляется проблема с доступом к Интернету или сайту. Зайдя в диспетчер задач, я обнаружил на подозрительные файлы всякие winabcfd.exe, которые я в n-ый раз удаляю и в процессе и в реестре автозапуска, но не помогает.

- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:

Код:



>>> [HTTP][RO][s] "C:\Users\Denis\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk"   -> ["C:\Program Files\Internet Explorer\iexplore.exe"  =>> "hxxp://rugooglee.ru"]

>>> [HTTP][RO][s] "C:\Users\Denis\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera Unofficial.lnk"         -> ["C:\Program Files\Opera Unofficial\OperaLauncher.exe"  =>> "hxxp://rugooglee.ru"]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

 begin

 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

if not IsWOW64

 then

  begin

   SearchRootkit(true, true);

   SetAVZGuardStatus(True);

  end;

 SetServiceStart('BrsHelper', 4);

 SetServiceStart('sbmntr', 4);

 StopService('sbmntr');

 QuarantineFile('C:\PROGRA~1\COMMON~1\System\SysMenu.dll', '');

 QuarantineFile('C:\PROGRA~2\YTDOWN~1\BROWSE~2.EXE', '');

 QuarantineFile('C:\PROGRA~2\YTDOWN~1\sbmntr.sys', '');

 QuarantineFile('C:\Program Files\Common Files\lsass.exe', '');

 QuarantineFile('C:\ProgramData\csrss.exe', '');

 QuarantineFile('C:\Users\Denis\AppData\Local\GoToMeeting\12933\g2mupdate.exe', '');

 QuarantineFile('C:\windows\3622157919425178\winlpwq.exe', '');

 QuarantineFile('C:\windows\4898364518958176\winutmx.exe', '');

 QuarantineFile('C:\windows\7485253215635974\winbjyv.exe', '');

 QuarantineFile('c:\windows\8677886615281465\winxbbk.exe', '');

 QuarantineFile('C:\windows\TEMP\13784225D.sys', '');

 DeleteFile('C:\PROGRA~1\COMMON~1\System\SysMenu.dll', '64');

 DeleteFile('C:\PROGRA~2\YTDOWN~1\BROWSE~2.EXE', '64');

 DeleteFile('C:\PROGRA~2\YTDOWN~1\sbmntr.sys', '64');

 DeleteFile('C:\Program Files\Common Files\lsass.exe', '64');

 DeleteFile('C:\ProgramData\csrss.exe', '64');

 DeleteFile('C:\windows\3622157919425178\winlpwq.exe', '32');

 DeleteFile('C:\windows\4898364518958176\winutmx.exe', '32');

 DeleteFile('C:\windows\7485253215635974\winbjyv.exe', '32');

 DeleteFile('C:\windows\8677886615281465\winxbbk.exe', '32');

 DeleteFile('C:\windows\TEMP\13784225D.sys', '64');

 DeleteService('BrsHelper');

 DeleteService('sbmntr');

 DeleteSchedulerTask('{09399987-F793-40B0-B656-CC867CFA2123}');

 DeleteSchedulerTask('{12604B4A-F4E6-4B87-B33E-44B53D190937}');

 DeleteSchedulerTask('{178360DF-B20C-4A83-ACD3-705BB4602DB4}');

 DeleteSchedulerTask('{308572E5-0208-4AF5-A4DB-2985F5656709}');

 DeleteSchedulerTask('{37723531-5D36-48C3-BB27-8729662544D4}');

 DeleteSchedulerTask('{436A0DC9-D57F-4F47-9D3C-37B7CE4C7A51}');

 DeleteSchedulerTask('{4ED37E70-E849-4099-BBA6-BB644C7A95F3}');

 DeleteSchedulerTask('{65EDA0D1-369D-4884-A6F4-D77BB423A742}');

 DeleteSchedulerTask('{6AB136DB-E49D-497D-A17C-BC233FDBBF1F}');

 DeleteSchedulerTask('{6B7E0833-E63A-4AA5-A3BF-4CCFAB0C99A8}');

 DeleteSchedulerTask('{A240B0D5-E5E7-4E10-94D1-885B57E771DF}');

 DeleteSchedulerTask('{B8AB0158-C4AB-498A-81B2-1ECA206B52A4}');

 DeleteSchedulerTask('{C45BD810-8B63-4B2F-B539-2B2C88B540B7}');

 DeleteSchedulerTask('{CD0DCB76-2622-4939-9BEF-1AAF6D637FAB}');

 DeleteSchedulerTask('{D4DD82C2-03A7-416C-B9C1-B35B0E6DD8DA}');

 DeleteSchedulerTask('{E0EB5928-6342-4B39-AD5D-CD0B73DF9C73}');

 DeleteSchedulerTask('{E4F926E9-85CC-4620-97DE-5BFBB485ACD3}');

 DeleteSchedulerTask('{EB223C7B-1C75-44DD-AB60-295F36F20620}');

 DeleteSchedulerTask('{EB6F3EDC-3D1C-464B-9D66-3037975573AD}');

 DeleteSchedulerTask('{F46A1C3A-BFB7-4184-B846-A5FD9724F226}');

 DeleteSchedulerTask('{FBD68C56-6230-4623-B52C-6BEE2CC938AD}');

 DeleteSchedulerTask('Microsoft\Windows\Maintenance\SMupdate2');

 DeleteSchedulerTask('Microsoft\Windows\Multimedia\SMupdate3');

 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'Audio Driver', 'x64');

 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Microsoft Windows Services', 'x32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows DDGG', 'x32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows Update 39405', 'x32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'WindowsServicesUpdates32', 'x32');

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);

BC_ImportALL;

 ExecuteRepair(3);

 ExecuteRepair(4);

ExecuteSysClean;

 ExecuteWizard('SCU', 2, 3, true);

BC_Activate;

RebootWindows(true);

end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:

begin

DeleteFile(GetAVZDirectory+'quarantine.7z');

ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);

end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма..

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

Код:

O4-32 - HKLM\..\Run: [Microsoft Windows Services] = C:\windows\8677886615281465\winxbbk.exe

O4-32 - HKLM\..\Run: [Windows DDGG] = C:\windows\7485253215635974\winbjyv.exe

O4-32 - HKLM\..\Run: [Windows Update 39405] = C:\windows\3622157919425178\winlpwq.exe

O4-32 - HKLM\..\Run: [WindowsServicesUpdates32] = C:\windows\4898364518958176\winutmx.exe

Скачайте AdwCleaner и сохраните его на Рабочем столе.
Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

+++ Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

Запустите AVZ.
Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
Закачайте полученный архив, как описано на этой странице.
Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

Запустите повторно AdwCleaner через правую кн. мыши от имени администратора.
В меню Настройки отметьте:
- Сброс политик IE
- Сброс политик Chrome
Нажмите кнопку "Scan Now" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean & Repair" ("Очистить и восстановить") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Отключите до перезагрузки антивирус.
Выделите следующий код:

Код:

Start:: CreateRestorePoint: HKLM\...\Run: [] => [X] HKLM-x32\...\Run: [] => [X] Folder: C:\windows\3622157919425178 HKU\S-1-5-21-2753881654-3679568051-3330406590-1000\...\Policies\Explorer: [] HKU\S-1-5-21-2753881654-3679568051-3330406590-1000\...\MountPoints2: H - H:\AutoRun.exe HKU\S-1-5-21-2753881654-3679568051-3330406590-1000\...\MountPoints2: I - I:\AutoRun.exe HKU\S-1-5-21-2753881654-3679568051-3330406590-1000\...\MountPoints2: {17d27bdf-768c-11e3-bbd9-047d7b6949df} - H:\LGAutoRun.exe HKU\S-1-5-21-2753881654-3679568051-3330406590-1000\...\MountPoints2: {39de3ef4-fa47-11e5-92e4-047d7b6949df} - H:\AutoRun.exe HKU\S-1-5-21-2753881654-3679568051-3330406590-1000\...\MountPoints2: {39de3f25-fa47-11e5-92e4-047d7b6949df} - H:\AutoRun.exe HKU\S-1-5-21-2753881654-3679568051-3330406590-1000\...\MountPoints2: {7efd4488-88cd-11e8-a5e6-005056c00008} - H:\AutoRun.exe HKU\S-1-5-21-2753881654-3679568051-3330406590-1000\...\MountPoints2: {7efd44a8-88cd-11e8-a5e6-005056c00008} - I:\AutoRun.exe HKU\S-1-5-21-2753881654-3679568051-3330406590-1000\...\MountPoints2: {7ff1f962-6615-11e7-a477-047d7b6949df} - H:\AutoRun.exe HKU\S-1-5-21-2753881654-3679568051-3330406590-1000\...\MountPoints2: {8827601e-9ef0-11e6-b28c-047d7b6949df} - H:\AutoRun.exe HKU\S-1-5-21-2753881654-3679568051-3330406590-1000\...\MountPoints2: {9b059413-ab71-11e5-ba9a-047d7b6949df} - E:\Setup.exe HKU\S-1-5-21-2753881654-3679568051-3330406590-1000\...\MountPoints2: {9b059419-ab71-11e5-ba9a-047d7b6949df} - F:\Setup.exe HKLM\Software\Microsoft\Active Setup\Installed Components: [{26b4dfbc-5f94-11e1-875a-806e6f6e6963}] -> C:\ProgramData\csrss.exe -r CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION CHR HKU\S-1-5-21-2753881654-3679568051-3330406590-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION Task: {45FAE777-2D90-44D9-847C-72DA4EBB32FB} - \rory7ihpig -> No File <==== ATTENTION Task: {FB98DB9B-E851-4A46-B09C-64710533F6A9} - \sjrz -> No File <==== ATTENTION HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = 2019-04-29 13:40 - 2019-04-29 16:12 - 000000000 ____D C:\Users\Все пользователи\nEzJvZquBf 2019-04-29 13:40 - 2019-04-29 16:12 - 000000000 ____D C:\ProgramData\nEzJvZquBf 2019-05-04 12:43 - 2019-05-04 20:35 - 000000000 _RSHD C:\windows\3622157919425178 2019-05-04 09:57 - 2019-05-04 20:35 - 000000000 _RSHD C:\windows\4898364518958176 2019-05-04 09:50 - 2019-05-04 20:35 - 000000000 _RSHD C:\windows\7485253215635974 2019-05-04 09:46 - 2019-05-04 09:46 - 000000000 _RSHD C:\windows\5270756811253549 2019-05-04 09:36 - 2019-05-04 20:40 - 000000000 _RSHD C:\windows\8677886615281465 2019-05-02 04:37 - 2019-05-02 04:37 - 000000000 _RSHD C:\windows\8101774216216741 2019-05-02 04:37 - 2019-05-02 04:37 - 000000000 _RSHD C:\windows\7319727413249434 2019-05-01 13:55 - 2019-05-01 13:55 - 000000000 _RSHD C:\windows\75246811161510802 2019-05-01 13:55 - 2019-05-01 13:55 - 000000000 _RSHD C:\windows\1752447710921977 2019-04-30 09:29 - 2019-04-30 09:29 - 000000000 _RSHD C:\windows\9853673610025696 2019-04-30 09:29 - 2019-04-30 09:29 - 000000000 _RSHD C:\windows\5299812016362449 2019-04-29 13:48 - 2019-04-29 13:48 - 000000000 _RSHD C:\windows\4243399818925060 2019-04-29 13:40 - 2019-04-29 13:40 - 000000000 _RSHD C:\windows\7894998110239847 2019-04-29 13:12 - 2019-04-29 13:12 - 000000000 _RSHD C:\windows\6116276619711755 ContextMenuHandlers1_S-1-5-21-2753881654-3679568051-3330406590-1000: [SysMenuExt] -> {020B1D4B-5738-4C77-9E19-4F173DD9B486} => -> No File AlternateDataStreams: C:\ProgramData\Temp:07BF512B [150] AlternateDataStreams: C:\Users\Denis\Local Settings:init [954685] AlternateDataStreams: C:\Users\Denis\Local Settings:wa [178] AlternateDataStreams: C:\Users\Denis\AppData\Local:init [954685] AlternateDataStreams: C:\Users\Denis\AppData\Local:wa [178] AlternateDataStreams: C:\Users\Denis\AppData\Local\Application Data:init [954685] AlternateDataStreams: C:\Users\Denis\AppData\Local\Application Data:wa [178] AlternateDataStreams: C:\Users\Все пользователи\Temp:07BF512B [150] EmptyTemp: Reboot: End::
Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.