ВИРУС MSI.EXE ПЛАНИРОВЩИКЕ ЗАДАЧ

[Pimi4499]

Добрый день!

Заразился вирусом MSI.exe. Физически файл не находиться в указанной папке. Удаление корней вируса не помогает нарушить его работу. Проявления его работы заключаются в установке не нужных браузеров и постоянный редирект в маил.ру поиск.

Спасибо за помощь!

Вложения:

You must be logged in to view attached files.

[Pimi4499]

Добрый день!
Погуглив обнаружил, что вирус прячется в защищенных файлах — MSI.exe and MSI.dll. Нашел где они располагаются физически.Тут начинаются проблемы. Сижу с учетки с правами администратора, но удалить файл не могу. Наделить себя правами на удаление этих файлов — немогу — все галочки серые.

По жизни я экспериментатор =) Лучшее что пришло в голову — это переименовать файлы и переместить на рабочий стол.

Проблема с установкой не нужных приложение устранена. Редирект на поиск меил ру — отсутствует.

Осталась только проблема с ютуб — появилась реклама перед видео. На всех видео. Контекстная реклама появилась и в вк и в фейсе. Адблок этого не понимает. Помогите, пожалуйста, с этим справиться.

[mike_1]

Здравствуйте!

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

Временно выгрузите антивирус, файрволл и прочее защитное ПО.
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-733648957-1944401354-1056133183-1000\...\Run: [xnvjdgoegd] => explorer "hxxp://snelson.ru/?utm_source=uoua03&utm_content=f14819541ebc35c4d72b337b42516352&utm_term=10AEF527A64B7F712630C94D4ED0B0C3&utm_d=20170823" <==== ATTENTION
HKU\S-1-5-21-733648957-1944401354-1056133183-1000\...\RunOnce: [sbcrncwqcl] => "C:\Users\Евгений\AppData\Local\Temp\S8dskihTU4sW.exe" <==== ATTENTION
HKU\S-1-5-21-733648957-1944401354-1056133183-1000\...\RunOnce: [speeddialmaker_delete_self] => "C:\Users\B7E3~1\AppData\Local\Temp\OCD0LW~1.EXE" --selfdelete <==== ATTENTION
HKU\S-1-5-21-733648957-1944401354-1056133183-1000\...\RunOnce: [muykyhxsir] => "C:\Users\Евгений\AppData\Local\Temp\voSE2bKuEAvd.exe" <==== ATTENTION
HKU\S-1-5-21-733648957-1944401354-1056133183-1000\...\Policies\Explorer: [] 
GroupPolicy: Restriction - Chrome <==== ATTENTION
GroupPolicy\User: Restriction <==== ATTENTION
CHR HKU\S-1-5-21-733648957-1944401354-1056133183-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Tcpip\..\Interfaces\{7204E228-687C-40D9-903B-E18367200631}: [NameServer] 52.56.51.39,178.132.6.57,46.101.28.31,82.202.226.203,193.238.153.54
Tcpip\..\Interfaces\{780BBA03-A57D-4B12-BC55-FCA324660D12}: [NameServer] 52.56.51.39,178.132.6.57,46.101.28.31,82.202.226.203,193.238.153.54,192.168.0.1
HKU\S-1-5-21-733648957-1944401354-1056133183-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=10AEF527A64B7F712630C94D4ED0B0C3&utm_d=20170823
SearchScopes: HKU\S-1-5-21-733648957-1944401354-1056133183-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD5000AAKS-00UU3A0_WD-WCAYU666447564475&ts=1427056156&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-733648957-1944401354-1056133183-1000 -> {117513C1-6909-4230-AD7C-E43D6B6FF3F5} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD5000AAKS-00UU3A0_WD-WCAYU666447564475&ts=1427056156&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-733648957-1944401354-1056133183-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD5000AAKS-00UU3A0_WD-WCAYU666447564475&ts=1427056156&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-733648957-1944401354-1056133183-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD5000AAKS-00UU3A0_WD-WCAYU666447564475&ts=1427056156&type=default&q={searchTerms}
BHO: YoutubeAdBlock -> {C0D38E5A-7CF8-4105-8FE8-31B81443A114} -> C:\Program Files (x86)\QYERbvxRHIE\tg9EaPijp.dll => No File
BHO-x32: YoutubeAdBlock -> {C0D38E5A-7CF8-4105-8FE8-31B81443A114} -> C:\Program Files (x86)\QYERbvxRHIE\k1I0YMX59.dll => No File
FF Homepage: Mozilla\Firefox\Profiles\h52bkghj.default -> hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=10AEF527A64B7F712630C94D4ED0B0C3&utm_d=20170823
OPR Extension: (No Name) - C:\Users\Евгений\AppData\Roaming\Opera Software\Opera Stable\Extensions\pgkbgflmbfpkbehmfneoglkjkagbkhgd [2017-08-23]
S2 ContentProtector; "C:\Program Files\ContentProtector\ContentProtector.exe" [X]
S2 gamexpsvc; "C:\Program Files (x86)\GameXPService\gamexpsvc.exe" [X]
S2 Ghostery Storage Server; C:\Program Files (x86)\Ghostery Storage Server\ghstore.exe /svc [X]
S4 TunMirror; "C:\ProgramData\KMSAuto\bin\TunMirror.exe" [X]
S2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe -service [X] <==== ATTENTION
2017-08-24 05:22 - 2017-08-24 05:22 - 000000000 ____D C:\Users\Евгений\AppData\Local\Вoйти в Интeрнет
2017-08-24 05:18 - 2017-08-24 05:18 - 000000000 ____D C:\Users\Евгений\AppData\Local\Поиcк в Интeрнете
2017-08-23 13:42 - 2017-08-23 13:42 - 000000258 __RSH C:\Users\Евгений\ntuser.pol
2017-08-23 12:41 - 2017-08-24 09:45 - 000003444 _____ C:\Windows\System32\Tasks\wupdate
2017-08-23 12:40 - 2017-08-23 12:40 - 000000000 ____D C:\Users\Евгений\AppData\Local\wupdate
2017-08-23 12:38 - 2017-08-23 12:38 - 000005080 __RSH C:\Users\Все пользователи\ntuser.pol
2017-08-23 12:38 - 2017-08-23 12:38 - 000005080 __RSH C:\ProgramData\ntuser.pol
2017-08-23 12:15 - 2017-08-24 09:27 - 000003402 __RSH C:\Windows\System32\Tasks\MSI
2017-08-23 10:29 - 2017-08-23 10:29 - 000000000 ____D C:\Users\Евгений\AppData\Roaming\LSD59808F4
2017-08-23 12:15 - 2017-08-24 08:27 - 002782720 __RSH () C:\Users\Евгений\AppData\Roaming\Microsoft\msi.exe
Task: {8602B67D-8E19-44A3-B05B-E3204CE8FB92} - System32\Tasks\MSI => C:\Users\Евгений\AppData\Roaming\Microsoft\msi.exe [2017-08-24] () <==== ATTENTION
Task: {E027B818-2EB5-4E36-88E1-3F1DE772AE92} - System32\Tasks\wupdate => C:\Users\Евгений\AppData\Local\wupdate\wupdate.exe [2017-08-23] () <==== ATTENTION
C:\Users\Евгений\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk
C:\Users\Евгений\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk
MSCONFIG\startupfolder: C:^Users^Евгений^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^sv.lnk => C:\Windows\pss\sv.lnk.Startup
MSCONFIG\startupfolder: C:^Users^Евгений^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^vc.lnk => C:\Windows\pss\vc.lnk.Startup
MSCONFIG\startupfolder: C:^Users^Евгений^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^x64.lnk => C:\Windows\pss\x64.lnk.Startup
MSCONFIG\startupreg: mailruhomesearch => "C:\Users\Евгений\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe" --pr_deferred
MSCONFIG\startupreg: Microsoft Visual C++ 2010 => C:\Users\Евгений\AppData\Roaming\cppredistx86.exe
EmptyTemp:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

[Автор]

Сообщения