Подхватил

[Resing]

Никогда антивирусом не пользуюсь, потому как руки связывает. Очень редко куда то нарываюсь и легко разпознаю угрозу сам. Вот и подхватил чего то, даже знаю где и как (нажал полную установку на приложении скаченного со стороннего сайта, просто торопился). Удалил всё, что нашёл. Но кое что осталось. В браузере (хром), при открытии сайта (https://worldoftanks.ru/ (другие не пробовал)) и полной его загрузке, он весь закрывается одной ссылкой стороннего сайта, через который я снова попадаю на свой сайт. Кто то на рекламе видать зарабатывает, за счет вирусов.

CollectionLog-2018.06.09-23.30.zip

[akoK]

Когда собирались логи в танки играли? У меня километровые логи же.

overwolf - сами устанавливали?

web viewer pro - деинсталируйте

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

  Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
	ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
	SetServiceStart('webviewerproup', 4);
     SetServiceStart('webviewerpro', 4);
	 QuarantineFileF('c:\program files (x86)\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 ,0);
	 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '');
	 QuarantineFile('C:\Windows\System32\mqrt.dll', '');
	 QuarantineFile('C:\Windows\system32\drivers\webviewprocontroller.sys','');
	 QuarantineFile('C:\Program Files\Web Viewer Pro\webviewerproup.exe','');
	 QuarantineFile('C:\Program Files\Web Viewer Pro\webviewerpro.exe','');
	 QuarantineFile('C:\Program Files\web viewer pro\webviewerpro.exe','');
	 QuarantineFile('C:\Users\infocom\AppData\Roaming\Event Monitor\em.exe','');
	 QuarantineFile('C:\Users\infocom\AppData\Roaming\WeatherForecaster\python\pythonw.exe','');
	 QuarantineFile('C:\Windows\ehome\MCUpdate.exe','');
	 QuarantineFile('C:\Windows\ehome\mcupdate.exe','');
	 QuarantineFile('C:\Windows\ehome\ehPrivJob.exe','');
	 QuarantineFile('c:\users\infocom\appdata\local\temp\cetrainers\cet7ee8.tmp\tundrasky 1.0m.exe','');
	 QuarantineFile('c:\users\infocom\appdata\local\temp\cetrainers\cet7ee8.tmp\extracted\tundrasky 1.0m.exe','');
	 DeleteFile('C:\Windows\ehome\ehPrivJob.exe','32');
	 DeleteFile('C:\Users\infocom\AppData\Roaming\Event Monitor\em.exe','32');
	 DeleteFile('C:\Program Files\web viewer pro\webviewerpro.exe','32');
	 DeleteFile('C:\Program Files\web viewer pro\webviewerproup.exe','32');
	 DeleteFile('C:\Program Files\Web Viewer Pro\webviewerpro.exe','32');
	 DeleteFile('C:\Program Files\Web Viewer Pro\webviewerproup.exe','32');
	 DeleteFile('C:\Windows\system32\drivers\webviewprocontroller.sys','32');
	 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32');
	 DeleteService('webviewerproup');
	 DeleteService('webviewerpro');
	 DeleteFileMask('c:\program files (x86)\zaxar', '*', true);
	 DeleteDirectory('c:\program files (x86)\zaxar');
	 ExecuteFile('schtasks.exe', '/delete /TN "ActivateWindowsSearch" /F', 0, 15000, true);
	 ExecuteFile('schtasks.exe', '/delete /TN "ConfigureInternetTimeService" /F', 0, 15000, true);
	 ExecuteFile('schtasks.exe', '/delete /TN "DispatchRecoveryTasks" /F', 0, 15000, true);
	 ExecuteFile('schtasks.exe', '/delete /TN "ehDRMInit" /F', 0, 15000, true);
	 ExecuteFile('schtasks.exe', '/delete /TN "InstallPlayReady" /F', 0, 15000, true);
	 ExecuteFile('schtasks.exe', '/delete /TN "OCURActivate" /F', 0, 15000, true);
	 ExecuteFile('schtasks.exe', '/delete /TN "OCURDiscovery" /F', 0, 15000, true);
	 ExecuteFile('schtasks.exe', '/delete /TN "PBDADiscovery" /F', 0, 15000, true);
	 ExecuteFile('schtasks.exe', '/delete /TN "PBDADiscoveryW1" /F', 0, 15000, true);
	 ExecuteFile('schtasks.exe', '/delete /TN "PBDADiscoveryW2" /F', 0, 15000, true);
	 ExecuteFile('schtasks.exe', '/delete /TN "RegisterSearch" /F', 0, 15000, true);
	 ExecuteFile('schtasks.exe', '/delete /TN "ReindexSearchRoot" /F', 0, 15000, true);
	 ExecuteFile('schtasks.exe', '/delete /TN "UpdateRecordPath" /F', 0, 15000, true);
	 ExecuteFile('schtasks.exe', '/delete /TN "RunAtStartup" /F', 0, 15000, true);
	 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
	ExecuteSysClean;
	 ExecuteWizard('SCU', 2, 3, true);
	 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
	RebootWindows(true);
	end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O4-32 - HKLM\..\Run: [ZaxarLoader] = C:\Program Files (x86)\Zaxar\ZaxarLoader.exe /verysilent (file missing)
O21 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive1 - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive2 - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive3 - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive4 - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive5 - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive6 - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers: 00asw - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers: 00avast - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers: 00avg - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive1 - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive2 - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive3 - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive4 - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive5 - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive6 - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O22 - Task: WeatherForecaster - C:\Users\infocom\AppData\Roaming\WeatherForecaster\python\pythonw.exe "load.pyc" ml2 (file missing)
O22 - Task: WeatherForecaster2 - C:\Users\infocom\AppData\Roaming\WeatherForecaster\python\pythonw.exe "load.pyc" app (file missing
O22 - Task: \Microsoft\Windows\Shell\WindowsParentalControls - {DFA14C43-F385-4170-99CC-1B7765FA0E4A} - (no file)
O22 - Task: \Microsoft\Windows\SideShow\GadgetManager - {FF87090D-4A9A-4F47-879B-29A80C355D61},$(Arg0) - (no file)

 

 

Изменено 10 июня, 2018 пользователем akoK

[akoK]

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

[Resing]

Танки были запущены, нигде не нашёл, что проги закрывать надо при сборе логов. Овервулф сам устанавливал, что то с ней не так? web viewer pro деинсталировал- это что за покемон?

https://virusinfo.info/virusdetector/report.php?md5=750EA8AE99F5F21BCCBAAD48291A87F8

https://virusinfo.info/showthread.php?t=219265

 

AdwCleaner[S00].txt

[akoK]

8 часов назад, Resing сказал:

 web viewer pro деинсталировал- это что за покемон?

Адварь

8 часов назад, Resing сказал:

Овервулф сам устанавливал, что то с ней не так?

Если сами, то проблем нет. Иногда зловреды ставят кучу софта в рамках партнерок.

- Удалите в AdwCleaner всё кроме папок от mail.ru и yandex - если программами от mail.ru и/или Yandex не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.
 

[akoK]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Resing]

FRST.txt

Addition.txt

Shortcut.txt

[akoK]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  VirusTotal: C:\Windows\System32\mqrt.dll;C:\Users\infocom\AppData\Roaming\appdataFr25.bin
  GroupPolicy: Restriction ? <==== ATTENTION
  GroupPolicy\User: Restriction ? <==== ATTENTION
  HKU\S-1-5-21-612156731-120590665-3010894535-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://services.eshield.com/general/newhometab.php?hometab=home&partner=11467&guid={559768D9-BB67-42BA-8083-27362DEDC716}&i=
  Toolbar: HKLM - eShield - {AC7052F5-E473-4AC0-8AA5-B150D1243721} -  No File
  Toolbar: HKU\S-1-5-21-612156731-120590665-3010894535-1000 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  No File
  S4 AntiVirMailService; "C:\Program Files (x86)\Avira\Antivirus\avmailc7.exe" [X]
  S4 AntiVirSchedulerService; "C:\Program Files (x86)\Avira\Antivirus\sched.exe" [X]
  S4 AntiVirService; "C:\Program Files (x86)\Avira\Antivirus\avguard.exe" [X]
  S4 AntiVirWebService; "C:\Program Files (x86)\Avira\Antivirus\avwebg7.exe" [X]
  S1 KLIM6; \SystemRoot\system32\DRIVERS\klim6.sys [X]
  2018-06-08 19:00 - 2018-06-08 19:00 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZaxarGameBrowser
  2018-06-08 19:00 - 2017-03-24 20:06 - 000078632 _____ (Web Viewer Pro) C:\Windows\system32\Drivers\webviewprocontroller.sys
  Folder: C:\Windows\system32\disko
  Folder: C:\Windows\SysWOW64\disko
  CustomCLSID: HKU\S-1-5-21-612156731-120590665-3010894535-1000_Classes\CLSID\{E8CF3E55-F919-49D9-ABC0-948E6CB34B9F}\InprocServer32 -> C:\Program Files (x86)\Google\Update\1.3.33.7\psmachine_64.dll => No File
  ContextMenuHandlers1: [EPP] -> {09A47860-11B0-4DA5-AFA5-26D86198A780} => D:\Program Files\Windows Defender\ShellExt.dll -> No File
  ContextMenuHandlers2: [EPP] -> {09A47860-11B0-4DA5-AFA5-26D86198A780} => D:\Program Files\Windows Defender\ShellExt.dll -> No File
  ContextMenuHandlers2: [Kaspersky Anti-Virus 17.0.0] -> {39C9FA89-7012-4573-A92D-BFD1F8CA542D} =>  -> No File
  Task: {1DD557FA-BB76-4100-B895-6F467532CEE8} - \MailRuUpdateTask -> No File <==== ATTENTION
  Task: {26DFD2DF-BD6F-4BAD-A98E-FE1A6F34A6CF} - \{84AAAF0B-7DDB-4258-8A73-8692BBA9BF08} -> No File <==== ATTENTION
  Task: {94AAC994-1523-47D8-ADC2-37CDD3041B56} - \{C7ED738B-BA3D-4836-B86B-C4438BA32EE2} -> No File <==== ATTENTION
  Task: {95804588-926C-4F3A-A8E2-5B68DFE2AC2F} - \{C9188393-A74D-4D20-A1A9-A4318BDEE1EB} -> No File <==== ATTENTION
  AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [151]
  AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [274]
  AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [151]
  AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [274]
  FirewallRules: [{66D11022-7CF9-4F3E-A688-A5C775CDF7B9}] => (Allow) LPort=80
  FirewallRules: [{816D1B5D-93EA-4AE4-86DF-CB98CE9AFA3B}] => (Allow) LPort=443
  FirewallRules: [{7F32C7B1-2880-42AB-8C9D-91FF2CB0A7D3}] => (Allow) LPort=20010
  FirewallRules: [{D9EC8C89-8EC5-48F4-B74C-74DD1F0CA2CF}] => (Allow) LPort=3478
  FirewallRules: [{31B2A2BD-2DC0-4CA2-99CE-92EA24C0EA34}] => (Allow) LPort=7850
  FirewallRules: [{404327A2-1640-49BA-A4DF-48D16C5563AE}] => (Allow) LPort=27022
  FirewallRules: [{55696F95-A2DC-4EAC-8CD5-D1FCB7658785}] => (Allow) LPort=6881
  FirewallRules: [{DE05E893-8E3F-4799-8940-785A00817B0D}] => (Allow) LPort=33333
  FirewallRules: [{DFA18207-7DC9-4BD3-904B-B2420BCFF773}] => (Allow) LPort=20443
  FirewallRules: [{7E2AFDC9-A480-4E46-B970-0F95307E377D}] => (Allow) LPort=8090
  FirewallRules: [{03A94443-24A1-4EC9-A9E2-53D93A947B29}] => (Allow) C:\Windows\SysWOW64\muzapp.exe
  FirewallRules: [{797066F1-9E61-44EB-B71D-BA949A2D1712}] => (Allow) C:\Windows\SysWOW64\muzapp.exe
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
  

• Запустите FRST (FRST64) от имени администратора.
  

• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
  

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

 

[Resing]

Fixlog.txt

[Sandor]

Что сейчас с проблемой?

[Resing]

Всё норм

 

[Resing]

единственное. Я не могу обновить винду. уже как недели две. Он пытается и никак не может

[Resing]

единственное. Я не могу обновить винду. уже как недели две. Он пытается и никак не может

[Sandor]

Проделайте завершающие шаги:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Настройки - Удалить AdwCleaner - выберите Удалить.
• Подтвердите удаление, нажав кнопку: Да.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

5 минут назад, Resing сказал:

не могу обновить винду

Попробуйте эти рекомендации  (на англ.)

[Resing]

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 12.06.2018 13:33:15
Path starting: C:\Users\infocom\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Resing
VersionXML: 4.91s-03.04.2018
___________________________________________________________________________

Windows 10(6.3.16299) (x64) Professional Версия: 1709 Lang: Russian(0419)
Дата установки ОС: 13.01.2018 19:08:29
Статус лицензии: Windows(R), Professional edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: D:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Системный диск: C: ФС: [NTFS] Емкость: [111.3 Гб] Занято: [48 Гб] Свободно: [63.3 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.371.16299.0 [+]
Контроль учётных записей пользователя включен (Уровень 3)
Уведомлять о загрузке и установке обновлений
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба веб-публикаций (W3SVC) - Служба работает
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2007 v.12.0.6612.1000
Microsoft Office 2010 x86 v.14.0.7015.1000
---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (включен и обновлен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Защитника Windows (MpsSvc) - Служба работает
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (включен и обновлен)
--------------------------- [ OtherUtilities ] ----------------------------
VLC media player v.3.0.1
WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления
Microsoft Silverlight v.5.1.50907.0
--------------------------------- [ IM ] ----------------------------------
Viber v.8.8.0.6
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.3.44396 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 30 NPAPI v.30.0.0.113 [+]
Adobe Flash Player 30 PPAPI v.30.0.0.113 [+]
------------------------------- [ Browser ] -------------------------------
Google Chrome v.67.0.3396.79 [+]
--------------------------- [ RunningProcess ] ----------------------------
D:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.66.0.3359.181
------------------ [ AntivirusFirewallProcessServices ] -------------------
C:\ProgramData\Microsoft\Windows Defender\Platform\4.14.17613.18039-0\MsMpEng.exe v.4.14.17613.18039
C:\ProgramData\Microsoft\Windows Defender\Platform\4.14.17613.18039-0\NisSrv.exe v.4.14.17613.18039
C:\Program Files\Windows Defender\MSASCuiL.exe v.4.12.16299.15
Антивирусная программа "Защитника Windows" (WinDefend) - Служба работает
Служба проверки сети Windows Defender Antivirus (WdNisSvc) - Служба работает
----------------------------- [ End of Log ] ------------------------------
 

[Resing]

WinRAR 5.60 beta 5 (64-bit) v.5.60.5 [+]