Вирус внедрился в браузер [not-a-virus:PSWTool.Win32.PasswordsPro.ef ]

[Nikkuzn]

Здравствуйте. Уже третий день не дает покоя вирус, который внедрился в Mozilla Firefox. Если запущен Касперский, то активности на первый взгляд нет, хотя при этом он умудряется изменять код страниц и иногда вместо содержимого сайтов я вижу крякозябры или ошибки, связанные с ssl, при этом Интернет работает очень медленно, а антивирус "врага" не видит, хотя базы в нём актуальны. Ситуация усугубляется еще и тем, что я не могу скачать ни одного файла, поскольку этот "гад" внедряется в код скачиваемых файлов и те же программы, например, не запускаются. Если же Касперский отключен, то помимо всего этого добавляется выворачивающийся листок и баннер на четверть страницы с призывом "Вместе мы боремся с раком". Делал всё согласно инструкции, но доступа на сайт разработчика AVZ у меня почему-то нет, поэтому базы этой программы обновиться не смогли, к сожалению. Если их можно обновить другим способом, просьба разъяснить, как это можно сделать.

[Info_bot]

Уважаемый(ая) Nikkuzn, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Удалите Network System Driver

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files (x86)\Git\bin\wish.exe','');
 QuarantineFile('C:\Program Files (x86)\Git\bin\wish85.exe','');
 QuarantineFile('C:\Users\длор\AppData\Local\SwvUpdater\Updater.exe','');
 SetServiceStart('nethfdrv', 4);
 DeleteService('nethfdrv');
 SetServiceStart('NetHttpService', 4);
 DeleteService('NetHttpService');
 DeleteFile('C:\WINDOWS\system32\drivers\nethfdrv.sys','32');
 DeleteFile('C:\Users\длор\AppData\Local\SwvUpdater\Updater.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\AmiUpdXp.job','64');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

[Nikkuzn]

Проблема с браузером решена, но возникла другая. Теперь у меня перестал работать Интернет по локальному соединению. Полагаю, это не в компетенции данного ресурса, но а вдруг) Карантин грузится, размер свыше 300 МБ.

- - - Добавлено - - -

Карантин загрузить не удалось, размер свыше 300 МБ, браузер выдает "Соединение было сброшено".

[thyrex]

C:\Program Files (x86)\Git\bin\wish.exe
C:\Program Files (x86)\Git\bin\wish85.exe

размер этих файлов большой? Если это так, то их в карантин не берите

Сделайте лог полного сканирования МВАМ

[Nikkuzn]

Список файлов с большим размером:
[InfectedFile]
Src=C:\Users\длор\Desktop\старый комп\Desktop\рабочий стол Ника\flash\проги\Office 2007 SP2 + SP3\Office 2007 Pre-SP3 2010 Rus.exe
Infected=avz00011.dta
Virus=Подозрение на Virus.Win32.PE_Type1
QDate=21.06.2014 13:24:18
Size=188437023
MD5=E63A9AB1106A258D3FDFB0AAFFC7189E
FileDate=29.01.2010 12:41:16
AVZVer=4.43
Attr=rsAh
MainAVBase=23.02.2014 17:04:34
Encrypted=0
Is64=0

[InfectedFile]
Src=C:\Users\длор\Desktop\старый комп\Desktop\Неиспользуемые ярлыки\disk Programs\Office 2007 SP2 + SP3\Office 2007 Pre-SP3 2010 Rus.exe
Infected=avz00009.dta
Virus=Подозрение на Virus.Win32.PE_Type1
QDate=21.06.2014 13:22:30
Size=188437023
MD5=E63A9AB1106A258D3FDFB0AAFFC7189E
FileDate=29.01.2010 14:41:16
AVZVer=4.43
Attr=rsAh
MainAVBase=23.02.2014 17:04:34
Encrypted=0
Is64=0


[InfectedFile]
Src=C:\Users\длор\Desktop\старый комп\Desktop\HB\Honorbuddy.exe.bak
Infected=avz00008.dta
Virus=PE файл с нестандартным расширением
QDate=21.06.2014 1322
Size=6070272
MD5=1CA36C269B312A63C5BD440F7CAF8F64
FileDate=26.10.2012 20:37:12
AVZVer=4.43
Attr=rsAh
MainAVBase=23.02.2014 17:04:34
Encrypted=0
Is64=0

[InfectedFile]
Src=C:\Users\длор\Desktop\hb\Honorbuddy.exe.bak
Infected=avz00003.dta
Virus=PE файл с нестандартным расширением
QDate=21.06.2014 13:18:07
Size=6552576
MD5=EC19B888368AFC02CFABF561AE253DA3
FileDate=27.09.2013 16:33:28
AVZVer=4.43
Attr=rsAh
MainAVBase=23.02.2014 17:04:34
Encrypted=0
Is64=0

[thyrex]

Не берите их в карантин

Удалите в МВАМ (поместите в Карантин) всё, кроме

Код:

Malware.Packer, C:\Users\???»??N?\Desktop\N?N??°N?N??? ????????\Desktop\Keygen.exe, , [e3dc48321368fd39cca96ae5f010916f], 
HackTool.Wpakill, C:\Users\???»??N?\Desktop\N?N??°N?N??? ????????\Desktop\Diagnostics\removewat.exe, , [b10e0575eb90ba7c251fada2c43c1ae6], 
Trojan.Agent.Gen, C:\Users\???»??N?\Desktop\N?N??°N?N??? ????????\Desktop\???µ??N??????»N??·N??µ??N??µ N?N??»N?????\VKontakteUnlock.zip, , [803f82f8017a2b0bd6fc9dc96c9428d8], 
RiskWare.Tool.CK, C:\Users\???»??N?\Desktop\N?N??°N?N??? ????????\Desktop\???µ??N??????»N??·N??µ??N??µ N?N??»N?????\disk Programs\cfosspeed-v700.rar, , [358a95e5aecdf5411dde510d6d93e020], 
Trojan.ExploitDrop.BV, C:\Users\???»??N?\Desktop\N?N??°N?N??? ????????\Desktop\???µ??N??????»N??·N??µ??N??µ N?N??»N?????\disk Programs\Alcohol 120% 2.0.0.1331\????N??????°N???N?\AutoLoader_AxLaUn.exe, , [d2ed0476d8a3a4929eff3b74ac543fc1], 
PUP.PasswordsPro, C:\Users\???»??N?\Desktop\N?N??°N?N??? ????????\Desktop\???µ??N??????»N??·N??µ??N??µ N?N??»N?????\PasswordsPro 2.5.1.1\passwordspro\PasswordsPro.exe, , [03bc3b3f93e8a88e86b6c7b88f71619f], 
PUP.PasswordsPro, C:\Users\???»??N?\Desktop\N?N??°N?N??? ????????\Desktop\???µ??N??????»N??·N??µ??N??µ N?N??»N?????\PasswordsPro 2.5.1.1\passwordspro\PasswordsPro.exe.bak, , [6758403a9cdf46f05ddfc0bf18e88d73], 
Malware.Gen, C:\Users\???»??N?\Desktop\N?N??°N?N??? ????????\Desktop\N??°?±??N????? N?N????» ???????°\adobe_DW_CS5_keygen ??N? N??°??N??° www.onlifx.ru.rar, , [d1eed5a56d0e9c9ae58d39203ec24db3], 
PUP.PasswordsPro, C:\Users\???»??N?\Desktop\N?N??°N?N??? ????????\Desktop\N??°?±??N????? N?N????» ???????°\PasswordsPro_2.5.1.1.rar, , [328d6911a0dbe05651eb0679ca366c94], 
PUP.Hacktool.Patcher, C:\Users\???»??N?\Desktop\N?N??°N?N??? ????????\Desktop\N??°?±??N????? N?N????» ???????°\Acunetix Web Vulnerability Scanner v6.5\Crack\Patch-SRM.exe, , [03bc0f6b0378c67073496d98cf3141bf], 
PUP.Hacktool.Patcher, C:\Users\???»??N?\Desktop\N?N??°N?N??? ????????\Desktop\N??°?±??N????? N?N????» ???????°\flash\??N???????\Registry_Reviver_1.1.28.rar, , [536c92e8ec8f989e3884f5107d8360a0], 
Riskware.Tool.CK, C:\Users\???»??N?\Desktop\N?N??°N?N??? ????????\Desktop\N??°?±??N????? N?N????» ???????°\flash\??N???????\w7lxe1.exe, , [cff078024635d56181d430fa6a9a7a86], 
PUP.PasswordsPro, C:\Users\???»??N?\Desktop\N?N??°N?N??? ????????\Desktop\N??°?±??N????? N?N????» ???????°\PasswordsPro 2.5.1.1\passwordspro\PasswordsPro.exe, , [695686f4c0bbfd391428d0af8e726a96], 
PUP.PasswordsPro, C:\Users\???»??N?\Desktop\N?N??°N?N??? ????????\Desktop\N??°?±??N????? N?N????» ???????°\PasswordsPro 2.5.1.1\passwordspro\PasswordsPro.exe.bak, , [209f35450576f73fb78539465ea2ae52], 
Trojan.Agent.CK, C:\Users\???»??N?\Desktop\N?N??°N?N??? ????????\Desktop\N??°?±??N????? N?N????» ???????°\N??°???»?µN?\N??°N???N?N?N????° N??°??N??°\AMS43.rar, , [caf5d9a16a119e98dc461fb725dc47b9], 
Trojan.Agent.CK, C:\Users\???»??N?\Desktop\N?N??°N?N??? ????????\Desktop\N??°?±??N????? N?N????» ???????°\N??°???»?µN?\N??°N???N?N?N????° N??°??N??°\keygen.exe, , [c5fa26548bf0191d8f93a135fe03a55b], 
PUP.HackTool.HotKeysHook, C:\Users\???»??N?\Downloads\emperor_battle_for_dune_trainer_2.zip, , [efd00377c8b3f343e1ba89a28b7952ae], 
PUP.Optional.InstallMonetizer, C:\Users\???»??N?\Downloads\Harrison Craig Unchained Melody Studio Version Thevoiceau.mp3__4150_il14852258.exe, , [4b74bdbdf28957dfeb0da7851be641bf], 
PUP.Optional.InstallMonstr.A, C:\Users\???»??N?\Downloads\install_flashplayer11x32_mssa_aaa_aih.exe, , [04bb2159a3d83006c8c00f3ded142dd3], 
PUP.Optional.MediaMagnet.A, C:\Users\???»??N?\Downloads\kuhnya_v_parizhe_2014_1280x532_3.29_gb.a1e77.exe, , [12adea90e299162017608aea46bbcb35], 
PUP.Bundle.Installer.BT, E:\downloads\VirtualPianoSetup.exe, , [09b601790f6cdc5ab8234d4435cb3bc5], 
Hacktool.Kiser, E:\downloads\Kaspersky 2014 Final\KRT\KRT_2.1.exe, , [f9c6ff7b057643f324c65fc629d76e92], 
PUP.Optional.InstallCore.A, E:\Nik Kuzn\Downloads\download.ClockGen.zip.exe, , [4e7180fab3c80c2a5ba7c44adf227888], 
PUP.Optional.InstallCore.A, E:\Nik Kuzn\Downloads\download.rmclock_235_bin.exe, , [69561f5b9edd989e57abe02ec53c9868], 
PUP.Optional.SWBooster.A, C:\Windows\Tasks\SW-BOOSTER-S-5808190755.JOB, , [358ab6c4fe7d52e491217c3e23dfa15f], 
PUP.Optional.Unitech.A, C:\Users\???»??N?\AppData\Roaming\Unitech LLC\sqlite3.dll, , [942bb0cac4b7c96d853f02c20200a55b],

[Nikkuzn]

Проблема с доступом к Интернету решена. Но возникла и другая. AVZ при попытке выполнения скрипта не скопировал файлы, найденные в MBAM, есть подозрение, что папка с карантином находится не там, где указано скрипте. Первичный архив с карантином AVZ выслан.

[thyrex]

AVZ при попытке выполнения скрипта не скопировал файлы, найденные в MBAM

И не должен был

Я просил карантин AVZ прислать (без avz00003.dta, avz00008.dta, avz00009.dta, avz00011.dta), а не карантин МВАМ

[Nikkuzn]

Дело в том, что два архива идентичны, хотя файлы в них, насколько я понял, должны отличаться )

[thyrex]

Что с проблемой?

[Nikkuzn]

Все проблемы решены. Огромная Вам благодарность!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 9
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\users\длор\desktop\старый комп\desktop\неиспользуемые ярлыки\passwordspro 2.5.1.1\passwordspro\passwordspro.exe.bak - not-a-virus:PSWTool.Win32.PasswordsPro.ef
  2. c:\users\длор\desktop\старый комп\desktop\рабочий стол ника\passwordspro 2.5.1.1\passwordspro\passwordspro.exe.bak - not-a-virus:PSWTool.Win32.PasswordsPro.ef