Постоянно скачиваются вирусные файлы diablo130302.cl, libcurl.dll и др. [Trojan-Ransom.Win32.Crypren.pqh ]

[NN_1]

Доброго времени суток, прошу помочь справиться с вирусом.
При запуске системы на компьютер автоматически копируются вирусные файлы diablo130302.cl, libcurl.dll.
Полная проверка компьютера программой Cure It в безопасном режиме результатов не дала.
Файл virusinfo_syscure.zip в папке LOG программы Avz найти не удается.

[Info_bot]

Уважаемый(ая) NN_1, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[regist]

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true); 
 QuarantineFile('C:\Documents and Settings\арехи\Application Data\WindowDriverSys\dihitimu.exe','');
 QuarantineFile('D:\sexdrugs\SAMBC.exe','');
 QuarantineFile('C:\DOCUME~1\2B1E~1\APPLIC~1\KB956802\KB956802.com','');
 DeleteFile('C:\DOCUME~1\2B1E~1\APPLIC~1\KB956802\KB956802.com','32');
ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

- Сделайте лог полного сканирования МВАМ.

[NN_1]

Сделал все как вы написали.
Карантин выслал/
MD5 карантина: 4CC25E11F34D1F51C5FA0D3D8B1A42CF

[regist]

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true); 
 SetServiceStart('ewdmaudn', 4);
 StopService('ewdmaudn');
 QuarantineFile('','');
 QuarantineFile('C:\Documents and Settings\арехи\Application Data\WindowDriverSys\dihitimu.exe','');
 QuarantineFile('C:\DOCUME~1\2B1E~1\LOCALS~1\Temp\ewdmaudn.sys','');
 QuarantineFile('C:\Documents and Settings\a?aoe\Application Data\WindowDriverSys\dihitimu.exe', 'MBAM: Trojan.Inject.ED');
 QuarantineFile('C:\Documents and Settings\a?aoe\Application Data\WinSysDriv\res.zip', 'MBAM: PUP.Optional.Cgminer');
 QuarantineFile('C:\Documents and Settings\арехи\Local Settings\Temp\Временная папка 13 для res.zip\service.exe', 'MBAM: PUP.Optional.Cgminer');
 QuarantineFile('C:\Documents and Settings\арехи\Local Settings\Temp\Временная папка 26 для res.zip\service.exe', 'MBAM: PUP.Optional.Cgminer');
 QuarantineFile('C:\Documents and Settings\арехи\Local Settings\Temp\Временная папка 34 для res.zip\service.exe', 'MBAM: PUP.Optional.Cgminer');
 QuarantineFile('C:\Documents and Settings\арехи\Local Settings\Temp\Временная папка 39 для res.zip\service.exe', 'MBAM: PUP.Optional.Cgminer');
 QuarantineFile('C:\Documents and Settings\арехи\Local Settings\Temp\Временная папка 52 для res.zip\service.exe', 'MBAM: PUP.Optional.Cgminer');
 QuarantineFile('C:\Documents and Settings\арехи\Local Settings\Temp\Временная папка 62 для res.zip\service.exe', 'MBAM: PUP.Optional.Cgminer');
 QuarantineFile('C:\Documents and Settings\арехи\Local Settings\Temp\Временная папка 65 для res.zip\service.exe', 'MBAM: PUP.Optional.Cgminer');
 QuarantineFile('C:\Documents and Settings\арехи\Local Settings\Temp\Временная папка 78 для res.zip\service.exe', 'MBAM: PUP.Optional.Cgminer');
 QuarantineFile('C:\Documents and Settings\арехи\Local Settings\Temp\Временная папка 91 для res.zip\service.exe', 'MBAM: PUP.Optional.Cgminer');
 QuarantineFile('C:\Documents and Settings\арехи\Local Settings\Temp\Временная папка 99 для res.zip\service.exe', 'MBAM: PUP.Optional.Cgminer');
 QuarantineFile('C:\Documents and Settings\арехи\Local Settings\Temporary Internet Files\Content.IE5\4JM07FNU\radeon[1].zip', 'MBAM: PUP.Optional.Cgminer');
 QuarantineFile('C:\Documents and Settings\арехи\Local Settings\Temporary Internet Files\Content.IE5\MFJ3JYAB\radeon[1].zip', 'MBAM: PUP.Optional.Cgminer');
 QuarantineFile('C:\Documents and Settings\арехи\Local Settings\Temporary Internet Files\Content.IE5\XQ5ND7AT\radeon[1].zip', 'MBAM: PUP.Optional.Cgminer');
 QuarantineFile('C:\Recycled\ctfmon.exe', 'MBAM: Trojan.VB');
 QuarantineFile('C:\Recycled\Recycled\ctfmon.exe', 'MBAM: Trojan.VB');
 QuarantineFile('C:\WINDOWS\system32\dp1.fne', 'MBAM: Worm.Autorun');
 QuarantineFile('C:\WINDOWS\system32\internet.fne', 'MBAM: HackTool.Patcher');
 QuarantineFile('F:\Recycled\ctfmon.exe', 'MBAM: Trojan.VB');
 QuarantineFile('C:\WINDOWS\system32\com.run', 'MBAM: Trojan.Banker');
 QuarantineFile('C:\WINDOWS\system32\eAPI.fne', 'MBAM: Worm.AutoRun');
 QuarantineFile('C:\WINDOWS\system32\krnln.fnr', 'MBAM: Trojan.Agent');
 QuarantineFile('C:\WINDOWS\system32\og.dll', 'MBAM: Worm.AutoRun');
 QuarantineFile('C:\WINDOWS\system32\og.EDT', 'MBAM: Worm.AutoRun');
 QuarantineFile('C:\WINDOWS\system32\RegEx.fnr', 'MBAM: Worm.AutoRun');
 QuarantineFile('C:\WINDOWS\system32\shell.fne', 'MBAM: Worm.AutoRun');
 QuarantineFile('C:\WINDOWS\system32\spec.fne', 'MBAM: Worm.AutoRun');
 QuarantineFile('C:\WINDOWS\system32\ul.dll', 'MBAM: Worm.AutoRun');
 DeleteFile('C:\Documents and Settings\a?aoe\Application Data\WindowDriverSys\dihitimu.exe');
 DeleteFile('C:\Documents and Settings\a?aoe\Application Data\WinSysDriv\res.zip');
 DeleteFile('C:\Documents and Settings\арехи\Local Settings\Temp\Временная папка 13 для res.zip\service.exe');
 DeleteFile('C:\Documents and Settings\арехи\Local Settings\Temp\Временная папка 26 для res.zip\service.exe');
 DeleteFile('C:\Documents and Settings\арехи\Local Settings\Temp\Временная папка 34 для res.zip\service.exe');
 DeleteFile('C:\Documents and Settings\арехи\Local Settings\Temp\Временная папка 39 для res.zip\service.exe');
 DeleteFile('C:\Documents and Settings\арехи\Local Settings\Temp\Временная папка 52 для res.zip\service.exe');
 DeleteFile('C:\Documents and Settings\арехи\Local Settings\Temp\Временная папка 62 для res.zip\service.exe');
 DeleteFile('C:\Documents and Settings\арехи\Local Settings\Temp\Временная папка 65 для res.zip\service.exe');
 DeleteFile('C:\Documents and Settings\арехи\Local Settings\Temp\Временная папка 78 для res.zip\service.exe');
 DeleteFile('C:\Documents and Settings\арехи\Local Settings\Temp\Временная папка 91 для res.zip\service.exe');
 DeleteFile('C:\Documents and Settings\арехи\Local Settings\Temp\Временная папка 99 для res.zip\service.exe');
 DeleteFile('C:\Documents and Settings\арехи\Local Settings\Temporary Internet Files\Content.IE5\4JM07FNU\radeon[1].zip');
 DeleteFile('C:\Documents and Settings\арехи\Local Settings\Temporary Internet Files\Content.IE5\MFJ3JYAB\radeon[1].zip');
 DeleteFile('C:\Documents and Settings\арехи\Local Settings\Temporary Internet Files\Content.IE5\XQ5ND7AT\radeon[1].zip');
 DeleteFile('C:\Recycled\ctfmon.exe');
 DeleteFile('C:\Recycled\Recycled\ctfmon.exe');
 DeleteFile('C:\WINDOWS\system32\dp1.fne');
 DeleteFile('C:\WINDOWS\system32\internet.fne');
 DeleteFile('F:\Recycled\ctfmon.exe');
 DeleteFile('C:\WINDOWS\system32\com.run');
 DeleteFile('C:\WINDOWS\system32\eAPI.fne');
 DeleteFile('C:\WINDOWS\system32\krnln.fnr');
 DeleteFile('C:\WINDOWS\system32\og.dll');
 DeleteFile('C:\WINDOWS\system32\og.EDT');
 DeleteFile('C:\WINDOWS\system32\RegEx.fnr');
 DeleteFile('C:\WINDOWS\system32\shell.fne');
 DeleteFile('C:\WINDOWS\system32\spec.fne');
 DeleteFile('C:\WINDOWS\system32\ul.dll');
 DeleteFile('C:\DOCUME~1\2B1E~1\LOCALS~1\Temp\ewdmaudn.sys','32');
 DeleteFile('C:\Documents and Settings\арехи\Application Data\WindowDriverSys\dihitimu.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','WindowS32');
 DeleteService('ewdmaudn');
BC_ImportAll;
ExecuteSysClean;
 ExecuteWizard('SCU',2,2,true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.



- Сделайте новый лог сканирования MBAM и пока mbam не закрывайте.

[NN_1]

Сделано. После скрипта компьютер сам не перезагрузился.
Карантин отправил.

[regist]

Удалите в MBAM всё кроме

Код:

Обнаруженные процессы в памяти:  1
C:\WINDOWS\KMService.exe (RiskWare.Tool.CK) -> 808 -> Действие не было предпринято.
Обнаруженные файлы:  27
C:\WINDOWS\KMService.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
C:\Documents and Settings\арехи\Мои документы\Downloads\AIDA64\Medicine\Keygen ZWT.exe (Backdoor.RBot) -> Действие не было предпринято.
C:\Documents and Settings\арехи\Мои документы\Downloads\AIDA64\Programs\Other\Portable\Portable AIDA64 Business Edition 1.60.1300 Final by speedzodiac.rar (Backdoor.RBot) -> Действие не было предпринято.
C:\Documents and Settings\арехи\Мои документы\Downloads\Cockos - Reaper 4.14 x86 x64\keygen.exe (Malware.Packer) -> Действие не было предпринято.
C:\Documents and Settings\арехи\Мои документы\Downloads\Cockos Incorporated - Reaper 4.32 x86 x64\Keygen.exe (PUP.RiskwareTool.CK) -> Действие не было предпринято.
C:\Documents and Settings\арехи\Мои документы\Downloads\D'Accord Easy Tuner 3.0\patch.DaccordEasyTuner_3.0\patch.DaccordEasyTuner_3.0\patch.exe (PUP.Hacktool.Patcher) -> Действие не было предпринято.
C:\Documents and Settings\арехи\Мои документы\Downloads\Guitar Pro 5.2\Keygen.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
C:\Documents and Settings\арехи\Мои документы\Downloads\Microsoft Office Professional Plus 2010 RTM Build v14.0.4763.1000 Volume Русский [x86х64] by Krokoz\_mini-KMS Activator\mini-KMS Activator v1.054 MS VL\mini-KMS_Activator_v1.054_ENG.exe (Riskware.Crk) -> Действие не было предпринято.
C:\Documents and Settings\арехи\Мои документы\Downloads\Microsoft Office Professional Plus 2010 RTM Build v14.0.4763.1000 Volume Русский [x86х64] by Krokoz\_mini-KMS Activator\mini-KMS Activator v1.054 MS VL\mini-KMS_Activator_v1.054_RUS.exe (Riskware.Crk) -> Действие не было предпринято.
C:\Documents and Settings\арехи\Мои документы\Downloads\Multi Password Recovery 1.2.7\Portable Multi Password Recovery.exe (Riskware.MPR) -> Действие не было предпринято.
C:\Documents and Settings\арехи\Мои документы\Downloads\XLN Audio Addictive Drums\Keygen.exe (Malware.Packer.Gen) -> Действие не было предпринято.
C:\Program Files\Multi Password Recovery\UpdateChecker.exe (Riskware.MPR) -> Действие не было предпринято.
D:\I\Guitar.Pro.v5.2\Guitarpro 5.1 keygen.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
D:\sexdrugs\SAMReporter\SAMReporter.exe (Trojan.Agent.DE) -> Действие не было предпринято.

Файлы

Код:

C:\Program Files\Multi Password Recovery\UpdateChecker.exe 
D:\sexdrugs\SAMReporter\SAMReporter.exe

если вам не знакомы, то тоже удалите.

сделайте новый лог сканирования MBAM и заодно отпишитесь, что с проблемой?

[NN_1]

Пока проблема более не возникала.

[regist]

сделайте новый лог сканирования MBAM

это значит просканируйте заново и прикрепите лог .

[NN_1]

При сканировании столкнулся с синим экраном (BSOD)/
Заново просканировал в безопасном режиме.

[regist]

Деинсталируйте MBAM.


Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Советы и рекомендации после лечения компьютера

[NN_1]

Премного благодарен за помощь!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 66
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\documents and settings\арехи\application data\windowdriversys\dihitimu.exe - Trojan-Ransom.Win32.Crypren.pqh ( BitDefender: Gen:Variant.Zusy.84015, AVAST4: Win32:Zbot-SSZ [Trj] )