Вирус подцепляется к разным процессам и грузит ЦП [Trojan-Dropper.Win32.Injector.kfcw ]

[Yuyu]

Здраствуйте.
ЦП грузится до 100% (win7 x64), при этом его загружают различные процессы (либо какой-то один либо пара): explorer.exe, taskmgr.exe, biomonitor.exe, opera, touchControl и т.д. Проверка Windows доктором ничего не прояснила (скачал последнюю версию с оф. сайта).

Причина загрузки: что-то подключается к процессам и заставляет ЦП обрабатывать данные с clevermining.com и с зеркалов его. Если я закрывал explorer, то через несколько минут начинала загружать ЦП другой процесс (см. скриншот).
Также заметил, что explorer пытался изменить файл hosts и какой-то процесс изменить время (доктор выдал уведомления)

[Info_bot]

Уважаемый(ая) Yuyu, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Nikkollo]

Запускайте HijackThis правой кнопкой мыши - "Запуск от имени Администратора".
Пофиксите в HijackThis только указанные строки (как пофиксить):

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{16BAA3FC-632A-4724-AB57-EE685C7A9B21}: NameServer = 134.255.241.122,8.8.8.8
O17 - HKLM\System\CCS\Services\Tcpip\..\{627624EB-5CD8-48BD-ADEC-90B7AAE3A6ED}: NameServer = 134.255.241.122,8.8.8.8
O17 - HKLM\System\CCS\Services\Tcpip\..\{980E1BDB-C446-4479-9D49-991240D4EA3A}: NameServer = 134.255.241.122,8.8.8.8
O17 - HKLM\System\CCS\Services\Tcpip\..\{A81F76BC-798A-4B6B-9DFF-43B6C42A48CC}: NameServer = 134.255.241.122,8.8.8.8
O17 - HKLM\System\CCS\Services\Tcpip\..\{B3CCA26F-C359-49D1-85FA-8E2C9CBE78CD}: NameServer = 0.0.0.0 0.0.0.0
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8F87670-2EA4-4092-BC12-EA713BCCDB08}: NameServer = 134.255.241.122,8.8.8.8
O17 - HKLM\System\CS1\Services\Tcpip\..\{16BAA3FC-632A-4724-AB57-EE685C7A9B21}: NameServer = 134.255.241.122,8.8.8.8
O17 - HKLM\System\CS2\Services\Tcpip\..\{16BAA3FC-632A-4724-AB57-EE685C7A9B21}: NameServer = 134.255.241.122,8.8.8.8

Если после этого пропадет интернет, пропишите правильные DNS в свойствах сетевого соединения.

Запускайте AVZ правой кнопкой мыши - "Запуск от имени Администратора".
Выполните скрипт в AVZ (как выполнить):

Код:

begin
 ClearQuarantine;
 QuarantineFile('C:\Users\COMP\Desktop\ClickMeter\ClickMeter.exe','');
 QuarantineFile('C:\Windows\expstart.exe','');
 QuarantineFile('c:\program files (x86)\askpartnernetwork\toolbar\updater\tbnotifier.exe','');
 QuarantineFile('c:\program files (x86)\connect manager\connect manager.exe','');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Загрузите quarantine.zip из папки AVZ по красной ссылке "Прислать запрошенный карантин" в шапке этой темы.

[Yuyu]

Сделал

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 ClearQuarantine;
 QuarantineFile('C:\Program Files (x86)\Xmlbar\Youku Downloader\IEBar\xbietb.dll','');
 QuarantineFile('C:\Program Files (x86)\Xmlbar\Youku Downloader\YoukuDownloader(xmlbar).exe','');
 QuarantineFile('C:\Users\COMP\AppData\Roaming\TuneUp Software\TrayTuneUpSoftware.exe','');
 DeleteFile('C:\Users\COMP\AppData\Roaming\TuneUp Software\TrayTuneUpSoftware.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\{246B2BA8-967F-4C98-B5C4-942FC682BDE2}','64');
 DeleteFile('C:\Windows\system32\Tasks\{B7C2B42A-A083-4F2E-A94C-C3BA909CDB70}','64');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(14);
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

Сделайте новый лог HijackThis.

Скачайте и установите CCleaner
Free, запустите CCleaner, Сервис -> Автозагрузка -> Opera, правой кнопкой мыши по списку расширений, Сохранить отчёт. Файл с отчётом прикрепите к своему следующему сообщению.

[Yuyu]

Скрипты выполнил

Карантин загрузил:
Файл сохранён как 140616_084546_quarantine_539eaeba417b0.zip
Размер файла 1215971
MD5 bcda73a49c86f48871eabb094e591309

В "CCleaner Сервис -> Автозагрузка -> Opera" у меня ничего нет.

[Vvvyg]

Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.

[Yuyu]

Готово. Вложить на сайт не даёт из-за размера.
http://rghost.ru/56407658

[Vvvyg]

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v3.82.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

; C:\USERS\COMP\APPDATA\ROAMING\TUNEUP SOFTWARE\TRAYTUNEUPSOFTWARE.EXE
addsgn 9AB405DB5582A28DF42BAEB164C81205158AFCF6C9FA1F7885C3C5BC0C20D0D555871D1CBC1367731E680440461649FA7DDFE97255DAC95C592BF45DAA694616 24 Win32/Injector.BFWX [ESET-NOD32]

;------------------------autoscript---------------------------

sreg

chklst
delvir
delref %SystemDrive%\PROGRAM FILES (X86)\PANDORA.TV\PANSERVICE\PANDORASERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\BONJOUR\MDNSRESPONDER.EXE
areg

;-------------------------------------------------------------

restart

Отлючите до перезагрузки антивирус, запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

Сделайте новый полный образ автозапуска uVS, загрузите на rghost.ru и дайте ссылку в теме.

[Yuyu]

В докторе отключил все модули и выполнил скрипт.
http://rghost.ru/56409549

В uVS всплывает много ICQ, которым я не пользуюсь уже давно (но не удалял. Автозапуск через msconfig я отключал.) Это нормально? (Понял, что они не активные и не загружаются, так что нормально)

[Vvvyg]

Выполните такой скрипт, загрузившись в безопасном режиме. Скрипт заранее сохраните из вложения

Вложение 479159

перезагрузитесь, запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из файла.

После перезагрузки сделайте новый полный образ автозапуска uVS.

[Yuyu]

Готово.
http://rghost.ru/56415042

[Vvvyg]

Справились, похоже, Dr. Web блокировал удаление трояна. Для анализа, пожалуйста, упакуйте файлы вида 2014-06-16_ЧЧ-ММ-СС_log.txt из папки с UVS - логи выполнения скриптов, их должно быть два, архив сюда вложением или на rghost и ссылку.

Проблема решена?

[Yuyu]

Процессор больше не грузится. Спасибо. Какую-нибудь информацию о вирусе можно? Мне интересно что за гадство это было.
Связано это с обновлением доктора или нет - не знаю, но соединение с интернетом какое-то странное: сайты открываются и скачивание происходит без проблем, а вот попытки поиска по сайту, залогивание или отправка ответа закрываются удаленным сервером. Причем бывает, что поработает всё нормально (обычно после подключения), потом опять закрывается. Но дело не в браузере, я думаю, т.к. соединение с сервером в игре тоже обрывается. DNS настроек у меня не было, поэтому сбиться они не могли после скрипта от Nikkollo. Используется МТС модем, то есть в настройке он не нуждается, насколько мне известно. Такое было и раньше, но гораздо реже. Может ли это быть с чем-то связано или следует обращаться в тех. поддержку?

[Vvvyg]

Какую-нибудь информацию о вирусе можно? Мне интересно что за гадство это было.

Симптомы Вы и сами описали Слишком много заразы появляется, невозможно, да и нет смысла заниматься подробным их изучением и описанием. Судя по детекту касперского, в названии присутствует Trojan-Dropper и Injector - означает, что троян внедряет свой код в адресное пространство одной из запущенных программ, в Вашем случае, похоже, Оперы. Вы и сами, кстати, назвали тему весьма точно: " Вирус подцепляется к разным процессам..."

Связано это с обновлением доктора или нет - не знаю, но соединение с интернетом какое-то странное: сайты открываются и скачивание происходит без проблем, а вот попытки поиска по сайту, залогивание или отправка ответа закрываются удаленным сервером. Причем бывает, что поработает всё нормально (обычно после подключения), потом опять закрывается. Но дело не в браузере, я думаю, т.к. соединение с сервером в игре тоже обрывается. DNS настроек у меня не было, поэтому сбиться они не могли после скрипта от Nikkollo. Используется МТС модем, то есть в настройке он не нуждается, насколько мне известно. Такое было и раньше, но гораздо реже. Может ли это быть с чем-то связано или следует обращаться в тех. поддержку?

У Вас ещё Adware есть, давайте дочистим и поглядим на результат.

Сделайте лог AdwCleaner (by Xplode).

[Yuyu]

Слишком много заразы появляется, невозможно, да и нет смысла заниматься подробным их изучением и описанием

Я понимаю что вирусов миллионы. Меня заботит безопасность компьютера, но при этом я не настолько разбираюсь в работе вирусов, чтобы задать конкретный вопрос. Стараюсь избегать сомнительных сайтов и файлов. Потому и интересно как попался. А раз проверка доктором в безопасном режиме ничего не дала (несколько вирусов-то нашлось, но не тот, что был) и вирус умудрился даже подцепиться к сетевому фильтру от доктора (видно на скриншоте в 1-м посте), то в таком случае стоит ли создать пользовательскую учетную запись и заходить под ней?

в Вашем случае, похоже, Оперы

Необязательно к опере, т.к. если она была закрыта (или даже была открыта), то появлялись программы, которые, как мне кажется, не должны проситься в интернет: TouchControl от HP, explorer.exe, taskmgr.exe.

[Vvvyg]

Запустите повторно AdwCleaner (by Xplode) (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши от имени администратора)), нажмите кнопку Сканировать, по окончании сканирования уберите галочки на вкладке Папки со всех пунктов, где упоминаются Mail.Ru и Yandex если используете программы от этих порталов.

Затем нажмите Очистить и по окончании удаления перезагрузите систему по требованию программы.

Очистите кэш и cookies-файлы браузеров.

По поводу работы под учёткой с правами пользователя. Это, в принципе, подход правильный, но, для начала,
включите UAC, это даст больший уровень безопасности.
Установите Service Pack 1 для Windows 7 и все последующие обновления безопасности.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 6
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\users\comp\appdata\roaming\tuneup software\traytuneupsoftware.exe - Trojan-Dropper.Win32.Injector.kfcw ( BitDefender: Gen:Variant.Symmi.43152 )