Ошибки при включении ПК [Backdoor.Win32.Bifrose.etnt ]

[isei]

Приветствую!
При каждом включении ПК возникает ошибка браузера "приложение будет закрыто".
Кроме того, всегда открывается пустое окно "блокнота".
А еще Microsoft Security Essentials высылает отчеты по двум подозрительным объектам, но ничего с ними поделать не может.

Заранее спасибо!

[Info_bot]

Уважаемый(ая) isei, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

 begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\odiuo.exe','');
 QuarantineFile('C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\microsoft.exe','');
 QuarantineFile('C:\WINDOWS\system32\System\server.exe','');
 QuarantineFile('C:\Users\Max\AppData\Roaming\avira apc\avira.exe','');
 QuarantineFile('C:\Users\Max\AppData\Roaming\dm\Zr3AleaNC7j6\svchost.exe','');
 QuarantineFile('C:\Program Files (x86)\EXPLORER\EXPLORER.EXE','');
 TerminateProcessByName('c:\users\max\appdata\roaming\microsoft\windows\start menu\programs\startup\dalel.exe');
 QuarantineFile('c:\users\max\appdata\roaming\microsoft\windows\start menu\programs\startup\dalel.exe','');
 DeleteFile('c:\users\max\appdata\roaming\microsoft\windows\start menu\programs\startup\dalel.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ARBC');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ARBC');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Policies');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Policies');
 DeleteFile('C:\Users\Max\AppData\Roaming\dm\Zr3AleaNC7j6\svchost.exe');
 DeleteFile('C:\Users\Max\AppData\Roaming\avira apc\avira.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','XOMN');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','XOMR');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','servicehost');
 DeleteFile('C:\WINDOWS\system32\System\server.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','windows help');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','windows help');
 DeleteFile('C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\microsoft.exe');
 DeleteFile('C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\odiuo.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Обновите базы AVZ

Сделайте новые логи

Сделайте лог полного сканирования МВАМ

[isei]

Карантин отправлен, логи прилагаю.

Спасибо!

[regist]

здравствуйте, сейчас посмотрю логи.

обновите базы AVZ!!, какой антивирус у вас штатно установлен ?

- - - Добавлено - - -

Здравствуйте!

Закройте все программы

Отключите

- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(true);
  end;
QuarantineFile('C:\Windows\System32\microsoftwin\microsoft.exe', 'MBAM: Trojan.JiePo.Gen');
QuarantineFile('C:\Program Files (x86)\Uninstall Information\ib_uninst_518\uninstall.exe', 'MBAM: PUP.BundleInstaller.IB');
QuarantineFile('C:\Program Files (x86)\Uninstall Information\ib_uninst_519\uninstall.exe', 'MBAM: PUP.BundleInstaller.IB');
QuarantineFile('C:\Users\Max\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8WQX6628\firfox[1].exe', 'MBAM: Trojan.JiePo.Gen');
QuarantineFile('C:\Users\Max\AppData\Local\Temp\13071136.exe', 'MBAM: Trojan.JiePo.Gen');
QuarantineFile('C:\Users\Max\AppData\Local\Temp\30690061.exe', 'MBAM: Trojan.JiePo.Gen');
QuarantineFile('C:\Users\Max\AppData\Local\Temp\microsoft.exe', 'MBAM: Trojan.JiePo.Gen');
  QuarantineFile('C:\Windows\system32\microsoftwin\microsoft.exe','');
  QuarantineFile('C:\Windows\SysWOW64\avira apc\avira.exe','');
  QuarantineFile('C:\Users\Max\AppData\Roaming\avira apc\avira.exe','');
  QuarantineFile('C:\Users\Max\AppData\Roaming\dm\svchost.exe','');
  DeleteFile('C:\Users\Max\AppData\Roaming\dm\svchost.exe');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','servicehost');
QuarantineFile('C:\Users\Max\AppData\Roaming\microsoftwin\microsoft.exe', 'MBAM: Trojan.JiePo.Gen');
QuarantineFile('C:\Windows\System32\microsoft.exever.exe', 'MBAM: Trojan.JiePo.Gen');
QuarantineFile('E:\Games\programs\Adobe photoshop CS6 13.0 [Extended x86+x64] (2012) PC\Patch\adobe.photoshop.cs6.patch.exe', 'MBAM: PUP.RiskwareTool.CK');
QuarantineFile('E:\Games\programs\avz4\avz4 old\Quarantine\2012-10-17\avz00002.dta', 'MBAM: Trojan.JiePo.Gen');
QuarantineFile('E:\Games\programs\drivers\BestCodecsPack.exe', 'MBAM: PUP.BundleInstaller.IB');
QuarantineFile('E:\Games\programs\тюнер\miniinstall.exe', 'MBAM: PUP.BundleInstaller.MB');
QuarantineFile('C:\Users\Max\AppData\Local\Temp\win.exe', 'MBAM: Trojan.Downloader');
QuarantineFile('C:\Users\Max\AppData\Roaming\logs.dat', 'MBAM: Bifrose.Trace');
QuarantineFile('C:\Users\Max\AppData\Local\Temp\UuU.uUu', 'MBAM: Malware.Trace');
QuarantineFile('C:\Users\Max\AppData\Local\Temp\XxX.xXx', 'MBAM: Malware.Trace');
QuarantineFile('C:\Users\Max\AppData\Roaming\dclogs\2012-07-24-3.dc', 'MBAM: Stolen.Data');
QuarantineFile('C:\Users\Max\AppData\Roaming\dclogs\2012-07-25-4.dc', 'MBAM: Stolen.Data');
QuarantineFile('C:\Users\Max\AppData\Roaming\dclogs\2012-07-28-7.dc', 'MBAM: Stolen.Data');
QuarantineFile('C:\Users\Max\AppData\Roaming\dclogs\2012-07-29-1.dc', 'MBAM: Stolen.Data');
QuarantineFile('C:\Users\Max\AppData\Roaming\dclogs\2012-07-30-2.dc', 'MBAM: Stolen.Data');
QuarantineFile('C:\Users\Max\AppData\Roaming\dclogs\2012-07-31-3.dc', 'MBAM: Stolen.Data');
QuarantineFile('C:\Users\Max\AppData\Roaming\dclogs\2012-08-15-4.dc', 'MBAM: Stolen.Data');
QuarantineFile('C:\Users\Max\AppData\Roaming\dclogs\2012-08-16-5.dc', 'MBAM: Stolen.Data');
QuarantineFile('C:\Users\Max\AppData\Roaming\dclogs\2012-08-17-6.dc', 'MBAM: Stolen.Data');
QuarantineFile('C:\Users\Max\AppData\Roaming\dclogs\2012-08-22-4.dc', 'MBAM: Stolen.Data');
QuarantineFile('C:\Users\Max\AppData\Roaming\dclogs\2012-08-23-5.dc', 'MBAM: Stolen.Data');
QuarantineFile('C:\Users\Max\Local Settings\Application Data\Temp\13071136.exe', 'MBAM: Trojan.Agent.Gen');
QuarantineFile('C:\Users\Max\Local Settings\Application Data\Temp\30690061.exe', 'MBAM: Trojan.Agent.Gen');
QuarantineFile('C:\Windows\SysWOW64\avira apc\avira.exe', 'MBAM: Backdoor.HMCPol.Gen');
QuarantineFile('C:\Users\Max\AppData\Roaming\dm\svchost.exe', 'MBAM: Trojan.Agent');
DeleteFile('C:\Windows\System32\microsoftwin\microsoft.exe');
DeleteFile('C:\Users\Max\AppData\Local\Temp\13071136.exe');
DeleteFile('C:\Users\Max\AppData\Local\Temp\30690061.exe');
DeleteFile('C:\Users\Max\AppData\Local\Temp\microsoft.exe');
DeleteFile('C:\Users\Max\AppData\Roaming\microsoftwin\microsoft.exe');
DeleteFile('C:\Windows\System32\microsoft.exever.exe');
DeleteFile('C:\Users\Max\AppData\Local\Temp\win.exe');
DeleteFile('C:\Users\Max\AppData\Roaming\logs.dat');
DeleteFile('C:\Users\Max\AppData\Local\Temp\UuU.uUu');
DeleteFile('C:\Users\Max\AppData\Local\Temp\XxX.xXx');
DeleteFile('C:\Users\Max\AppData\Roaming\dclogs\2012-07-24-3.dc');
DeleteFile('C:\Users\Max\AppData\Roaming\dclogs\2012-07-25-4.dc');
DeleteFile('C:\Users\Max\AppData\Roaming\dclogs\2012-07-28-7.dc');
DeleteFile('C:\Users\Max\AppData\Roaming\dclogs\2012-07-29-1.dc');
DeleteFile('C:\Users\Max\AppData\Roaming\dclogs\2012-07-30-2.dc');
DeleteFile('C:\Users\Max\AppData\Roaming\dclogs\2012-07-31-3.dc');
DeleteFile('C:\Users\Max\AppData\Roaming\dclogs\2012-08-15-4.dc');
DeleteFile('C:\Users\Max\AppData\Roaming\dclogs\2012-08-16-5.dc');
DeleteFile('C:\Users\Max\AppData\Roaming\dclogs\2012-08-17-6.dc');
DeleteFile('C:\Users\Max\AppData\Roaming\dclogs\2012-08-22-4.dc');
DeleteFile('C:\Users\Max\AppData\Roaming\dclogs\2012-08-23-5.dc');
DeleteFile('C:\Users\Max\Local Settings\Application Data\Temp\13071136.exe');
DeleteFile('C:\Users\Max\Local Settings\Application Data\Temp\30690061.exe');
DeleteFile('C:\Users\Max\AppData\Roaming\dm\svchost.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

и новый лог сканирования MBAM.

[isei]

AVZ обновил(честно говоря, не знаю, верно ли - скачал свежую версию, выполнил стандартный скрипт обновления баз).
Антивирус у меня Microsoft Security Essentials.

Скрипты выполнены, карантин отправлен, логи прилагаю.

[regist]

C:\Program Files (x86)\Uninstall Information\ib_uninst_518\uninstall.exe - если не очень нужна деинсталируйте эту программу, доктор Web на неё ругается Зловред Adware.Downware.357 логи сейчас посмотрю.

- - - Добавлено - - -

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
  ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
  ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  TerminateProcessByName('c:\windows\syswow64\avira apc\avira.exe');
  QuarantineFile('C:\Users\Max\AppData\Roaming\microsoftwin\microsoft.exe','');
  QuarantineFile('C:\Users\Max\AppData\Roaming\avira apc\avira.exe','');
  QuarantineFile('c:\windows\syswow64\avira apc\avira.exe','');
  DeleteFile('C:\Users\Max\AppData\Roaming\avira apc\avira.exe');
  DeleteFile('C:\Windows\SysWOW64\avira apc\avira.exe');
  DeleteFile('C:\Users\Max\AppData\Roaming\microsoftwin\microsoft.exe');
 QuarantineFileF('c:\windows\syswow64\avira apc','*', true,'',0 ,0);
 DeleteFileMask('c:\windows\syswow64\avira apc', '*', true);
 DeleteDirectory('c:\windows\syswow64\avira apc',' ');
  QuarantineFileF('C:\Users\Max\AppData\Roaming\microsoftwin','*', true,'',0 ,0);
  RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','XOMN');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','XOMR');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','HKCU');
 RegKeyDel('HKCU','Software\DC3_FEXEC');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи virusinfo_syscheck.zip;
- Лог полного сканирования MBAM.
- Проведите процедуру, которая описана в первом сообщении тут. Результат загрузки напишите в сообщении здесь.

[isei]

Программу снес, скрипты выполнил, логи прилагаю.
Карантин тоже отправлен.

Ошибки и блокнот появляться вроде перестали.
Спасибо!

Файл сохранён как 121022_083958_virusinfo_files_MAX-PC_5085065eddac6.zip
Размер файла 3674947
MD5 9667f294f96e1881876c7956c182b022

[regist]

Удалите в MBAM всё кроме

Код:

E:\Games\programs\Adobe photoshop CS6 13.0 [Extended x86+x64] (2012) PC\Patch\adobe.photoshop.cs6.patch.exe (PUP.RiskwareTool.CK) -> Действие не было предпринято.
E:\Games\programs\avz4\avz4 old\Quarantine\2012-10-17\avz00002.dta (Trojan.JiePo.Gen) -> Действие не было предпринято.
E:\Games\programs\drivers\BestCodecsPack.exe (PUP.BundleInstaller.IB) -> Действие не было предпринято.
E:\Games\programs\тюнер\miniinstall.exe (PUP.BundleInstaller.MB) -> Действие не было предпринято.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

begin
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
 If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
 Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
ExitAVZ;
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

[isei]

Выполнено.
Огромное спасибо!

[regist]

Советы и рекомендации после лечения компьютера

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 38
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\users\\max\\appdata\\local\\temp\\microsoft.ex e - Trojan.Win32.Genome.ahdhi ( DrWEB: Trojan.Siggen4.16710, BitDefender: Trojan.Generic.7906115 )
  2. c:\\users\\max\\appdata\\local\\temp\\win.exe - HEUR:Trojan.Win32.Generic ( DrWEB: BackDoor.Tordev.8, BitDefender: Trojan.Generic.7839256 )
  3. c:\\users\\max\\appdata\\roaming\\avira apc\\avira.exe - Backdoor.Win32.Bifrose.etnt ( DrWEB: Trojan.Siggen4.16710, BitDefender: Trojan.Generic.7710869 )
  4. c:\\users\\max\\appdata\\roaming\\dm\\svchost.exe - HEUR:Trojan.Win32.Generic ( DrWEB: BackDoor.Tordev.8, BitDefender: Trojan.Generic.7839256 )
  5. c:\\users\\max\\appdata\\roaming\\dm\\zr3aleanc7j6 \\svchost.exe - HEUR:Trojan.Win32.Generic ( DrWEB: BackDoor.Tordev.8, BitDefender: Trojan.Generic.7839256 )
  6. c:\\users\\max\\appdata\\roaming\\microsoft\\windo ws\\start menu\\programs\\startup\\dalel.exe - Backdoor.Win32.Bifrose.etnt ( DrWEB: Trojan.Siggen4.16710, BitDefender: Trojan.Generic.7710869 )
  7. c:\\users\\max\\appdata\\roaming\\microsoft\\windo ws\\start menu\\programs\\startup\\microsoft.exe - Trojan.Win32.Genome.ahdhi ( DrWEB: Trojan.Siggen4.16710, BitDefender: Trojan.Generic.7906115 )
  8. c:\\users\\max\\appdata\\roaming\\microsoft\\windo ws\\start menu\\programs\\startup\\odiuo.exe - HEUR:Trojan.Win32.Generic ( DrWEB: BackDoor.Tordev.8, BitDefender: Trojan.Generic.7839256 )
  9. c:\\users\\max\\appdata\\roaming\\microsoftwin\\mi crosoft.exe - Trojan.Win32.Genome.ahdhi ( DrWEB: Trojan.Siggen4.16710, BitDefender: Trojan.Generic.7906115 )
  10. c:\\windows\\system32\\microsoft.exever.exe - Trojan.Win32.Genome.ahdhi ( DrWEB: Trojan.Siggen4.16710, BitDefender: Trojan.Generic.7906115 )
  11. c:\\windows\\system32\\microsoftwin\\microsoft.exe - Trojan.Win32.Genome.ahdhi ( DrWEB: Trojan.Siggen4.16710, BitDefender: Trojan.Generic.7906115 )
  12. c:\\windows\\syswow64\\avira apc\\avira.exe - Backdoor.Win32.Bifrose.etnt ( DrWEB: Trojan.Siggen4.16710, BitDefender: Trojan.Generic.7710869 )
  13. e:\\games\\programs\\adobe photoshop cs6 13.0 [extended x86+x64] (2012) pc\\patch\\adobe.photoshop.cs6.patch.exe - not-a-virus:RiskTool.Win32.Patcher.dk ( BitDefender: Gen:Trojan.Heur.FU.suW@aaJN8Ti )
  14. e:\\games\\programs\\avz4\\avz4 old\\quarantine\\2012-10-17\\avz00002.dta - Trojan.Win32.Genome.ahdhi ( DrWEB: Trojan.Siggen4.16710, BitDefender: Trojan.Generic.7906115 )
  15. e:\\games\\programs\\тюнер\\miniinstall.exe - not-a-virus:WebToolbar.Win32.MultiBarDownloader.pga ( DrWEB: Tool.InstallToolbar.64, BitDefender: Trojan.Generic.7769742 )