Вирусы: Амиго, не грузится yandex.ru, кучу разных ярлыков

[lohudra]

Вирусы: Амиго, не грузится yandex.ru, кучу разных ярлыков

Множественные запуски приложений в диспетчере задач: amigo, opera, chrome, разные др. *.tmp, *.exe
Log-и:
uvs_latest - DUNIN_2016-04-14_08-46-47.7z — RGhost — файлообменник
avz - virusinfo_syscheck.zip — RGhost — файлообменник

 

[safety]

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\CLTEYGHUWPH\CLTEYGHUWPHSYSTEM.EXE
addsgn 1AEB2E9A5583338CF42BFB3A889E997029DDCF090C0C6B63EF23F66E082187776607B058D6D3B5492B478493461649C9BD34D47DFAAFA07FA62AACAA1C722B20 8 Win32.BrowseFox

zoo %SystemDrive%\PROGRAM FILES\SOSITION\SSTRPRSRV.EXE
addsgn 1AC4209A5583338CF42B627DA804DEC9E946303A4536D3B4494891985C5D3D6827921123415A2B0D0F888B2563D6D9BE7DDE9B7FDE9694207AFCD80BCFF58898 8 Huixin Zhao

zoo %SystemRoot%\DB717AA13D478E3EA52C1E121622F68D.EXE
addsgn 1A88459A5583338CF42B627DA804DEC9E946303A4536D3B4D2954EC874C6FA000703482B1A591688A05187597DE83FF24627E7F03DD9B02C22CD81AB3F472272 8 Win32.Wajam.gen [Kaspersky]

;------------------------autoscript---------------------------


chklst
delvir

delref %SystemDrive%\DOCUMENTS AND SETTINGS\DUNIN.PIRAMIDA\LOCAL SETTINGS\TEMP\6517B6A5-5D81-495D-818A-46AAC90A2DCC\05A00036.EXE
del %SystemDrive%\DOCUMENTS AND SETTINGS\DUNIN.PIRAMIDA\LOCAL SETTINGS\TEMP\6517B6A5-5D81-495D-818A-46AAC90A2DCC\05A00036.EXE

delref %SystemDrive%\PROGRAM FILES\QKSEE\QKSEESVC.EXE
del %SystemDrive%\PROGRAM FILES\QKSEE\QKSEESVC.EXE

setdns DNS Server list\8.8.8.8,8.8.4.4
setdns Подключение по локальной сети\4\{B58CFC8C-35A0-4582-9DBE-65214CC79B5E}\8.8.8.8,8.8.4.4
delref LRDKV.A
delref %SystemDrive%\PROGRAM FILES\SOSITION\SSTRPRTSK.EXE
del %SystemDrive%\PROGRAM FILES\SOSITION\SSTRPRTSK.EXE

deldirex %SystemDrive%\TORRENT SEARCH

delref \TORRENT SEARCH\IEEF\UNARP1RPKMSW.DLL

delref %SystemDrive%\PROGRAM FILES\COMPANY\GUPDATE\GUPDATE.EXE
del %SystemDrive%\PROGRAM FILES\COMPANY\GUPDATE\GUPDATE.EXE

deldirex %SystemDrive%\PROGRAM FILES\TORRENT SEARCH

deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\DUNIN.PIRAMIDA\APPLICATION DATA\ASPACKAGE

; AnySend
exec C:\Documents and Settings\dunin.PIRAMIDA\Application Data\ASPackage\Uninstall.exe
; Java(TM) 6 Update 12
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216012FF} /quiet
deltmp
delnfr

;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните сканирование (угроз) в Malwarebytes

 

[lohudra]

Amigo штук 10 висят в диспетчере задач, ярлыков куча, в programm files: QQBrowser, hohobnd, Sosition, а так запущенные процессы ушли.
log mwbt: 14.04.2016.txt — RGhost — файлообменник

 

[safety]

2.удалите все найденное в малваребайт
перегрузите систему
далее,
3.сделайте проверку в АдвКлинере
http://www.tehnari.ru/f150/t87975/
*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://www.tehnari.ru/f150/t245622/

 

[lohudra]

Addition - Addition_15-04-2016_12-10-59.txt — RGhost — файлообменник
FRST - FRST_15-04-2016_12-10-59.txt — RGhost — файлообменник
AdwCleaner[C1]- http://rghost.ru/private/8hQKB8Wtw/f3fda0924154382b732285e77977f543
AdwCleaner[S1]- http://rghost.ru/private/6hlBcXgx4/e6cdf2fe7d141828900736ed156aaf29
AdwCleaner[S2]- http://rghost.ru/private/6zFdmnJRV/6895e566530dc1234dbe6f839a8fdb9a

 

[safety]

lohudra,
судя по логу frst проблема пока далека от решения,
сделайте образ автозапуска из безопасного режима системы.
попробуем пролечить из безопасного режима.

 

[lohudra]

В безопасном режиме:
uvs_latest - DUNIN_2016-04-15_13-50-02.7z — RGhost — файлообменник
avz - virusinfo_syscheck.zip — RGhost — файлообменник

 

[safety]

1. обновите uVS до актуальной версии. у вас сейчас:

uVS v3.86.4 [http://dsrt.dyndns.org]: Microsoft Windows XP x86 (NT v5.1 SP3) build 2600 Service Pack 3 [C:\WINDOWS]

до 3.87, ссылки на нее есть в нашей инструкции.

2.
этот скрипт выполните из безопасного режима,

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\CLTEYGHUWPH\CLTEYGHUWPHSYSTEM.EXE
addsgn 1AEB2E9A5583338CF42BFB3A889E997029DDCF090C0C6B63EF23F66E082187776607B058D6D3B5492B478493461649C9BD34D47DFAAFA07FA62AACAA1C722B20 8 Win32.BrowseFox

zoo %SystemDrive%\PROGRAM FILES\SOSITION\SSTRPRTSK.EXE
addsgn 1A16209A5583338CF42B627DA804DEC9E946303A4536D3B4494891985C5D3D6827921123415A2B0D0F888B2563561BBF7DDE9B7FDE9694207AFCD80BCFF58898 8 Huixin Zhao

zoo %SystemDrive%\PROGRAM FILES\SOSITION\SSTRPRSRV.EXE
addsgn 1AC4209A5583338CF42B627DA804DEC9E946303A4536D3B4494891985C5D3D6827921123415A2B0D0F888B2563D6D9BE7DDE9B7FDE9694207AFCD80BCFF58898 8 Huixin Zhao

;------------------------autoscript---------------------------

chklst
delvir

setdns Подключение по локальной сети\4\{B58CFC8C-35A0-4582-9DBE-65214CC79B5E}\8.8.8.8,8.8.4.4
delref LRDKV.A

deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\DUNIN.PIRAMIDA\LOCAL SETTINGS\APPLICATION DATA\UNITY\WEBPLAYER\LOADER

; Java(TM) 6 Update 12
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216012FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
+
добавьте все логи выполнения скрипта uVS, это файлы
дата_времяlog.txt
+
сделайте новый образ из нормального режима системы.

 

[lohudra]

uvs_latest log программы после скрипта в безопасном режиме: 2016-04-19_10-20-22_log.txt — RGhost — файлообменник
uvs_latest полный образ после перезагрузки ПК в нормальном режиме: DUNIN_2016-04-19_10-25-32.7z — RGhost — файлообменник

 

[safety]

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC

REGT 27

; Java(TM) 6 Update 12
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216012FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------

 

[lohudra]

log uvs_latest: 2016-04-19_11-17-25_log.txt — RGhost — файлообменник
В процессе находится: CDAC11BA.exe, pnkBstra.EXE

 

[lohudra]

C:\Program Files\hohobnd - файл, не удаляется файл: C:\Program Files\msn gaming zone, C:\Program Files\AnswerWorks 4.0 - файл

 

[safety]

в каком состоянии сейчас система?
если проблем нет,
закрываем уязвимости,
http://www.tehnari.ru/f150/t83677/
---------

 

[lohudra]

Система работает нормально, но напрягают вышеуказанные процессы+неизвестные приложения в program files-
В процессах обнаружились: CDAC11BA.exe, pnkBstra.EXE,
C:\Program Files\hohobnd - файл, не удаляется файл: C:\Program Files\msn gaming zone, C:\Program Files\AnswerWorks 4.0 - файл

 

[Гризлик]

В процессах обнаружились: CDAC11BA.exe, pnkBstra.EXE,

Если они вас смущают то можите удалить через: Панель управления---Установка удаление программ:

SafeCast Shared Components
PunkBuster Services

 

[lohudra]

Не подскажите они опасные - процессы? И про приложения program files?

 

[lohudra]

Приложения удалил, осталось разобаться с C:\Program Files\?
C:\Program Files\hohobnd - файл, не удаляется файл: C:\Program Files\msn gaming zone, C:\Program Files\AnswerWorks 4.0 - файл

 

[safety]

Через Google проверьте что это за папки и программы.
загрузите систему в безопасном режиме, и удалите все ненужные вам каталоги.

 

[AlexZir]

C:\Program Files\msn gaming zone, C:\Program Files\AnswerWorks 4.0

Системные папки, удалять не обязательно.

 

[Гризлик]

C:\Program Files\AnswerWorks 4.0

и

SafeCast Shared Components

Это звенья одной цепи. Такчто если они вам не знакомы можите смело удалять