Запрашивает номер телефона в браузере и не даёт устанавливать антивирусы [Trojan.Win32.Cidox.ajkz ]

[Konstantin Kovalenko]

Вот такая проблема у знакомой. Пожалуйста, помогите.

Антивирусы (Касперский, ESET, DrWeb) проблему видят, находят заражённые файлы, удаляют, но они возвращаются вновь.

Перманентно появляются запреты на скачивание файлов из интернета и установку антивирусов.

Логи прилагаю.

[Info_bot]

Уважаемый(ая) Konstantin Kovalenko, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

Выполните скрипт в АВЗ:

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 QuarantineFile('C:\Documents and Settings\Мамочка\Мои документы\AppData\exp.exe','');
 QuarantineFile('C:\WINDOWS\system32\exp.dll','');
 DeleteFile('C:\WINDOWS\system32\exp.dll','32');
 DeleteFile('C:\Documents and Settings\Мамочка\Мои документы\AppData\exp.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','~backup~');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Пофиксите следующие строчки в HiJackThis если они у вас есть.

Код:

O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
O4 - HKCU\..\Run: [~backup~] C:\Documents and Settings\Мамочка\Мои документы\AppData\exp.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\exp.dll

Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[Konstantin Kovalenko]

Большое спасибо, Михаил.

Вроде всё сделал, как Вы указали, прилагаю логи.
Карантин выслал.

Что-то нужно дальше делать?

[mike 1]

1. Отключите восстановление системы. для этого нажмите Пуск > Пpогpаммы > Стандаpтные > Пpоводник Windows. Кликнуть пpавой кнопкой мыши на "Мой компьютеp". Выбpать "Свойства".
Вкладка "Восстановление системы". Поставить птичку на "Запpетить восстановление системных файлов на всех дисках" Hажать "Пpименить". Появится сообщение, пpедупpеждающее об удалении всех точек восстановления. Подтвеpдить, нажав "ОК".

2. Создайте точку восстановления системы для этого нажмите Пуск=>Все программы=>Стандартные=>Служебные=>Восстановление системы. В окне Восстановление системы выберете "Создать точку восстановления" задайте ей имя и нажмите "Создать".

3. Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

Код:

Обнаруженные ключи в реестре:  7
HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\PerformerSoft\PC Performer (PUP.Optional.PCPerformer.A) -> Действие не было предпринято.
HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
HKLM\SOFTWARE\PerformerSoft\PC Performer (PUP.Optional.PCPerformer.A) -> Действие не было предпринято.

Обнаруженные параметры в реестре:  1
HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Параметры: 0M1S1H1K2U -> Действие не было предпринято.

Обнаруженные папки:  4
C:\Documents and Settings\All Users\Application Data\IBUpdaterService (PUP.InstallBrain) -> Действие не было предпринято.
C:\Documents and Settings\Мамочка\Application Data\DealPly (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Documents and Settings\Мамочка\Application Data\DealPly\UpdateProc (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Documents and Settings\Мамочка\Application Data\File Scout (PUP.Optional.FileScout.A) -> Действие не было предпринято.

Обнаруженные файлы:
C:\Documents and Settings\Мамочка\Application Data\DealPly\UpdateProc\UpdateTask.exe (PUP.DealPly.A) -> Действие не было предпринято.
C:\Documents and Settings\Мамочка\Application Data\File Scout\filescout.exe (Trojan.PUP.Optional.FileScout.A) -> Действие не было предпринято.
C:\Program Files\File Scout\filescout.exe (Trojan.PUP.Optional.FileScout.A) -> Действие не было предпринято.
C:\Documents and Settings\All Users\Application Data\IBUpdaterService\repository.xml (PUP.InstallBrain) -> Действие не было предпринято.
C:\Documents and Settings\Мамочка\Application Data\DealPly\UpdateProc\config.dat (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Documents and Settings\Мамочка\Application Data\DealPly\UpdateProc\src.dat (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Documents and Settings\Мамочка\Application Data\DealPly\UpdateProc\STTL.DAT (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Documents and Settings\Мамочка\Application Data\DealPly\UpdateProc\TTL.DAT (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Documents and Settings\Мамочка\Application Data\File Scout\filescout.exe (PUP.Optional.FileScout.A) -> Действие не было предпринято.
C:\Documents and Settings\Мамочка\Application Data\File Scout\uninst.exe (PUP.Optional.FileScout.A) -> Действие не было предпринято.

4. После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

[Konstantin Kovalenko]

Точку восстановления создал.

Всё, что Вы сказали — удалил.

Выкладываю лог MBAM. (Я правильно понял, что он нужен? Или AVZ и HiJackThis тоже нужны?)

Жду дальнейших указаний.

[mike 1]

Проверьте эти файлы на virustotal
кнопка Выбрать файл (Choose File) - ищите нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

Код:

C:\Documents and Settings\Мамочка\Application Data\Real\Update\UpgradeHelper\RealPlayer\10.40\agent\stub_data\stubinst_pkg_en-eu.cab

[Konstantin Kovalenko]

Проверено.

https://www.virustotal.com/ru/file/8...is/1377619938/

[mike 1]

Удаление этого файла на ваше усмотрение. Что с проблемой?

[Konstantin Kovalenko]

Удаление этого файла на ваше усмотрение. Что с проблемой?

Удалил на всякий случай.

Установил ESET NOD32, он вот такое находит:

Код:

C:\AppData\exp.exe - модифицированный Win32/Kryptik.BIVV троянская программа - очищен удалением - изолирован

[mike 1]

Сделайте лог UVs (http://virusinfo.info/showthread.php?t=121767)

[Konstantin Kovalenko]

Сделано.

[mike 1]

1) Отключите антивирус и фаервол.

2) Выполните скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

В процессе выполнения скрипта UVs будет предложено удалить Lyrmix согласитесь.

Код:

;uVS v3.80.16 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
breg

exec C:\Program Files\Lyrmix\uninstall.exe
delall %SystemDrive%\DOCUME~1\2B9E~1\APPLIC~1\DEALPLY\UPDATE~1\UPDATE~1.EXE
zoo %SystemDrive%\PROGRAM FILES\UNINSTALL TOOL\UNINSTALLTOOL.EXE
chklst
delvir

deltmp
restart

3) Компьютер перезагрузиться. Папку ZOO заархивируйте в zip архив и отправьте по ссылке в вашей теме "Прислать запрошенный карантин".

4) Сделайте логи AVZ.

5) Сделайте логи RSIT

• Если у вас 32 разрядная версия windows, то скачайте Random's System Information Tool (RSIT) или с зеркала
• Если у вас 64 разрядная версия windows, то необходимо скачать эту версию Random's System Information Tool(RSIT)x64 или с зеркала

Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[Konstantin Kovalenko]

Выполнил.

Заархивировал ZOO, отправил.

Логи прилагаю.

[mike 1]

1. Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

Выполните скрипт в АВЗ:

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFileF('C:\AppData', '*', true, ' ', 0, 0);
 DeleteFile('C:\Documents and Settings\Мамочка\Application Data\Mozilla\Firefox\Profiles\lr6sympd.default\searchplugins\ticno.xml','32');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы.

2.

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Search" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R1].txt.
• Прикрепите отчет к своему следующему сообщению.

[Konstantin Kovalenko]

Выполнил скрипт.

При попытке прислать карантин выдаёт:

Результат загрузки
Ошибка загрузки. Данный файл уже был загружен

Прилагаю к сообщению.

Отчёт AdwCleaner прилагаю.

[mike 1]

1.

• Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Delete" и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S1].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления может потребоваться перезагрузка компьютера!!!

2. Запакуйте папку C:\AppData в zip архив с паролем virus и отправьте согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы.

[Konstantin Kovalenko]

C:\AdwCleaner[S1].txt
…
Запакуйте папку C:\AppData в zip архив с паролем virus и отправьте согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы.

Такого файла нет, есть R1 и S0, оба прилагаю.

Папка C:\AppData — совершенно пуста, там ничего нет.

[mike 1]

Что сейчас с проблемой?

- - - Добавлено - - -

Антивирус еще ругается на файлы?

[Konstantin Kovalenko]

Что сейчас с проблемой?

Антивирус еще ругается на файлы?

ESET считает, что компьютер девственно чист.

Спасибо Вам, Михаил, за Вашу помощь и терпение. Помоги Бог в Ваших делах.

Честно признаться — знай я, какой зоопарк на компьютере моей знакомой и что стоит его зачистить, просто переустановил бы Windows. Но теперь всё вычищено, благодаря Вам и никаких гадостей не осталось.

Ещё раз огромная благодарность.