Вирус Win32:Evo-gen[not-a-virus:PSWTool.Win32.MPR.015 ]

[ivg]

Аваст выдает этот вирус при запуске програм, с ненайденной библиотекой Tools.dll.
Вирус появился после запуска с флешки скрытых .doc файлов, флешка была с вирусами.
Лечение при загрузке авастом дало перемещенные в карантин Virus:SMSSend-LP, curreit! при выполнении в безопасном режиме результатов не дал никаких.

[Info_bot]

Уважаемый(ая) ivg, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;   
 QuarantineFile('C:\Program Files\total commander podarok edition\programm\mpr\mpr_freader.sys','');
 QuarantineFile('C:\Program Files\Speed Test 127\ScriptHost.dll','');
 QuarantineFile('C:\Users\VictorI\AppData\Local\Temp\utt3541.tmp.exe','');
 QuarantineFile('C:\Program Files\Sonata\bin\updater.exe','');
 DeleteFile('C:\Users\VictorI\AppData\Local\Temp\utt3541.tmp.exe','32');
 DeleteFile('C:\Program Files\Speed Test 127\ScriptHost.dll','32');
 DeleteFile('C:\Windows\Tasks\AmiUpdXp.job','32');
 DelBHO('{11C8C9C0-D918-44C0-8B5E-D297DA42F2C7}');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','uTorrent');        
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(false);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

Код:

O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)

Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

Сделайте лог полного сканирования MBAM

[ivg]

Пока отсылаю логи по AVZ и hijackthis. Карантин отослал. MBAM долго проверяет систему . После завершения работы пошлю.
P.S. Досылаю отчет по MBAM

[ivg]

Отчет по MBAM отослал.

[regist]

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.


DefaultTab - деинсталируйте если есть в установленных программах.

Удалите в MBAM всё кроме

Код:

Trojan.Agent.H, C:\Program Files\Total Commander Podarok Edition\Plugins\wlx\Media Show\MScontrol.exe, , [0c4e801a4e2d16209d8144a9f60b43bd], 
CrackTool.Agent, C:\Program Files\Total Commander Podarok Edition\Programm\CrackDown\CrackDown.exe, , [45158b0f7407ca6c3f957fd17a8607f9], 
Trojan.Downloader, C:\Program Files\Total Commander Podarok Edition\Programm\DameWare NT Utilities\keygen.exe, , [b3a7dcbe91ea70c6f468bc9ae61a49b7], 
Trojan.Downloader, C:\Program Files\Total Commander Podarok Edition\Programm\Hide IP Platinum\N??µ????N?N?N??°N???N?.exe, , [19416d2d651673c393c9084e3fc13dc3], 
Trojan.Downloader, C:\Program Files\Total Commander Podarok Edition\Programm\MyProxy\loader.exe, , [97c36d2d6f0c171f510b69eda25e16ea], 
Spyware.Banker, C:\Total\Soft\RnQ\HistoryReader.exe, , [29312c6ebbc03006abcaaea5f907b64
Trojan.Agent, C:\Users\VictorI\Desktop\flashplayer_13.exe, , [1f3bf6a41467ba7ca95d163ae222649c], 
PUP.Optional.InstallBrain.A, C:\Users\VictorI\Downloads\CodecPerformerSetup.exe, , [4e0c168498e3f343be8585ea6f928b75], 
Trojan.Downloader, D:\Program Files\Total 25\Plugins\BootScreenView\BootScreenView.exe, , [95c56f2be19a1f1768f46ceae11fe41c], 
Trojan.Agent.H, D:\Program Files\Total 25\Plugins\wlx\Media Show\MScontrol.exe, , [104ab5e51d5e9d994fcf03ea946d8878], 
Trojan.Agent, D:\Program Files\Total 25\Programm\Coyote\Coyote.exe, , [acaefc9e0c6ff442198cfdcbdc25cd33], 
Trojan.Agent.CK, D:\Program Files\Total 25\Programm\Hide IP Platinum\keygen.exe, , [2e2c06949fdc93a336e0cd0f2dd4c13f], 
PUP.Optional.Conduit, D:\Program Files\Conduit\Community Alerts\Alert0.dll, , [4b0f0c8e1f5cce68bfd633fc916fa759], 
Trojan.Dropped, D:\WINDOWS\system32\HIDCON.EXE, , [c892c9d1087389adc90ecad5877a639d], 
Malware.Tool, D:\WinXP\MCPE\PASS\PASSRECOVERY\KEYLOGGER.EXE, , [3f1b11892e4d2313eed29b338f72bd43], 
PUP.PassView, D:\WinXP\MCPE\PASS\PASSRECOVERY\PASSMAKER.EXE, , [3a209a00bdbe4aec728ce056f11326da], 
PUP.SAMInside, D:\WinXP\MCPE\PASS\SAMINSIDE.2.2.5\SAMINSIDE.EXE, , [11496139a5d639fd72dfc4d28b797888], 
Trojan.KillAV, D:\WinXP\MCPE\REST2K\RECOVER.4.ALL.2.26.EXE, , [cd8d5a40de9d20165f4badc240c4dd23], 
Malware.Packer.Gen, D:\WinXP\MCPE\SYSTEM32\NED.EXE, , [a5b52f6b0a7139fd86c8cb8657a9738d], 
Trojan.Agent, G:\disk_g\??044. Adobe Premiere CS4\Adobe Premiere Pro CS4\Crack\keygen.exe, , [25359a00c1baa294c1e16a71bb466898], 
Trojan.Agent, G:\disk_g\??044. Adobe Premiere CS4\No registration\ALM1.0.rar, , [e773e6b45f1c66d08f17a53548b901ff], 
Trojan.Agent, G:\disk_g\??044. Adobe Premiere CS4\No registration\ADOBECS4 LICENSE MANAGER v1.0\AdobeCS4 LIC.exe, , [b7a34852a4d723135254ededde23a060], 
PUP.Hacktool.Patcher, G:\disk_g\??052. ??N?????N??°????N? ???»N? N???N???- ???????µ????????N??°?¶?°\?¤??N??? ??N???????\FotoDecor.v2.3\patch.zip, , [104a8119d4a750e6e4c8f411cd33c838], 
RiskWare.Tool.CK, G:\disk_g\??053. Adobe Photoshop cs4\Keygen\Keygen.exe, , [bc9e7f1ba2d9d462e49c399627da51af], 
RiskWare.Tool.CK, G:\disk_g\??059. Avid Media Composer 4\2011\CVSx4_key.rar, , [114954467b0010267244e309877a28d8], 
RiskWare.Tool.CK, I:\acronis\disk director\Acronis Disk Director SERVER 10.0.2169 Rus\ADDSRV_10.0.2169_RU_complete\ADDSRV_10.0.2169_RU_complete\Keygen ZWT All languages.exe, , [5802e6b491ea9e982768ce0134cd13ed], 
Packer.ModifiedUPX, I:\BLUFFTITLER\BluffTitler_DX9_v_8.1.0.2.rar, , [4a101f7be69560d65e473d7f26da44bc], 
Trojan.Agent, I:\cd-dvd\Daemon\DT.Pro.v4.10.0218.Adv.Full.rar, , [d585dac0780363d3984addfce81936ca], 
PUP.Optional.OpenCandy, I:\cd-dvd\Daemon\DAEMON Tools Pro Advanced 5.1.0.0333 ADMIN_CRACK\DAEMONToolsPro510-0333.exe, , [8bcfb6e4e992c274659ef4bf52b211ef], 
Malware.Packer.Gen, I:\codec\smmkodec.rar, , [0c4ee3b7b8c3999d29963a38966eb34d], 
Trojan.Dropper.PGen, I:\cracks\KeCrPaSe-2008.rar, , [56046931afccbb7bb28e2433a45ce020], 
Malware.Packer.Gen, I:\fine reader\fr7\fineread7kg.rar, , [b0aa5446a8d358dee2758ac75da3e51b], 
Malware.Packer.Gen, I:\fine reader\fr7\fineread7kg\ABBYY_FineReader_7.0_Professional_Edition\hgo-fr7p.exe, , [3822fb9f6b10bc7a282f92bf07f953ad], 
RiskWare.Tool.CK, I:\fineprint\FinePrint\FinePrint.PdfFactory.Pro.v4.63\keygen.exe, , [8fcb5842d7a4bd7917de603331cf619f], 
RiskWare.Tool.CK, I:\fineprint\FinePrint\FinePrint.PdfFactory.Pro.v4.63.Server.Edition\keygen.exe, , [e476debc4d2ea59107ee7a193fc10df3], 
RiskWare.Tool.CK, I:\fineprint\FinePrint\FinePrint.v7.03\keygen.exe, , [84d64f4bf586181ebf366330d62ada26], 
RiskWare.Tool.CK, I:\fineprint\FinePrint\FinePrint.v7.03.Server.Edition\keygen.exe, , [84d661392853dd5912e30b88b24e817f], 
Trojan.Onlinegames, I:\internet\e-mail\KML\KC.Softwares.K.ML.v4.8.433-BEAN.rar_14299203_27_letB.exe, , [3426f5a594e765d180be43d39d655ca4], 
Trojan.Agent, I:\net school 10\Keygen\nfoviewer.exe, , [8dcdd6c4b4c756e07a0790484cb59c64], 
Riskware.Tool.CK, I:\os\Microsoft Windows 7 RUS-ENG x86-x64 -18in1- Activated (AIO) by Monkrus_37\????N??????°N???N? Windows 7\w7lxe-3010-ru-ru.exe, , [89d19406ef8c3bfb0372b77fd4307090], 
PUP.PSWTool.ProductKey, I:\os\Winxpnl\CPLDAPU.CAB, , [baa0a4f6fc7fe94d4e995307cf31e719], 
Trojan.FakeMS.ED, I:\os\?°??N??????°N???N?\KMSmicro.SE.v0.8.exe, , [005abfdb66155ed8c50f20d2f50ba45c], 
Trojan.FakeMS.ED, I:\os\?°??N??????°N???N?\SE_0.8.rar, , [fd5d8a10fd7ed75f508491613ac614ec], 
Rogue.FakeHDD, I:\os\?°??N??????°N???N?\Windows_7_Activation.rar, , [64f67d1d166569cd14f64431768aab55], 
RiskWare.Tool.CK, I:\quick time\QuickTime_7.6.4_Professional\Keygen-DI\Keygen.exe, , [94c648521f5c4de95c93fcd39d64768a], 
Backdoor.RBot, I:\util\aida\AIDA64\Programs\Other\Portable\Portable AIDA64 Business Edition 1.60.1300 Final by speedzodiac.rar, , [3e1cfd9d196275c110e605905fa56f91], 
Trojan.Downloader, I:\util\restorator\keygen.exe, , [0d4da2f8a5d63cfaf963cb8bc43cbc44], 
Trojan.Downloader, I:\util\restorator\Linezer0.part1.rar, , [e9711f7bcbb0d85e5804ed69738daf51], 
Trojan.Agent, I:\util\restorator\nfoviewer.exe, , [99c11288d3a859dd5b2623b5e819db25], 
RiskWare.Tool.CK, I:\util\Revo_Uninstaller\Revo Uninstaller Pro v2.5.9 Final Ml_Rus\Generic.Patch-JW\Revo.Uninstaller.Pro.2.x.x.Generic.Patch-JW.exe, , [04562f6b3c3fba7cff4ff3f78c75a45c], 
PUP.Optional.InstallIQ.A, I:\util\N??µ?????µN??°N?N?N??° ??N???N??µN?N???N??°\coretemp_1236.exe, , [e57566341c5f3bfb789aa97359a87090], 
PUP.Keygen.Intro, I:\video\aae\plugins\Red Giant Trapcode Particular v2.1.1\CORE10k.EXE, , [93c7b3e723584aec3ae23f0725dfa957], 
PUP.Optional.OpenCandy, I:\video\media info\MediaInfo_GUI_0.7.33_Windows_i386.exe, , [b0aab2e84e2ddc5a7390c9ea689cc43c], 
Malware.NSPack, I:\video\movie joiner\Movie Joiner v3.35\mj.rar, , [1d3d2278e893201616fef2707e8647b9], 
Trojan.Downloader, I:\video\movie joiner\Movie Joiner v3.35\???µ???°N?N?N?????\Path-2\PATCH.EXE, , [7edc3664611afb3bdc80a3b322de649c], 
Backdoor.RBot, I:\?·?°N????°N? N???N??°???°\keygen.exe, , [58023b5f265523138175f5a09371639d], 
Backdoor.MSIL.PGen, I:\???»?°???°N???\Easy Poster Printer v4.0.1.0\Easy Poster Printer v4.0.1.0.rar, , [abafcdcd0774fb3b2d423b70eb15ab55], 
Backdoor.MSIL.PGen, I:\???»?°???°N???\Easy Poster Printer v4.0.1.0\Keygen.exe, , [bd9d1c7e047768cedb94307bef1150b0],

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

Сделайте новый лог сканирования MBAM

+

Код:

C:\Users\VictorI\Desktop\flashplayer_13.exe,
C:\Users\VictorI\Downloads\CodecPerformerSetup.exe

проверьте на https://www.virustotal.com/ ссылку на результат проверки сюда.

[ivg]

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Ссылка: http://virusinfo.info/virusdetector/...3DE5383F422F06

DefaultTab - деинсталируйте если есть в установленных программах.

Деинсталлировал.


Сделал.

Сделал, mbam.txt


C:\Users\VictorI\Desktop\flashplayer_13.exe - этого файла у меня нету,
C:\Users\VictorI\Downloads\CodecPerformerSetup.exe - https://www.virustotal.com/uk/file/2...is/1404294273/

[regist]

C:\Users\VictorI\Downloads\CodecPerformerSetup.exe - https://www.virustotal.com/uk/file/2...is/1404294273/

советую тоже удалить.

MBAM деинсталируйте.

- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите.

что с проблемой?

[ivg]

Спасибо большое! Проблема исчезла.

[regist]

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Советы и рекомендации после лечения компьютера

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 11
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\program files\total commander podarok edition\programm\mpr\mpr_freader.sys - not-a-virus:PSWTool.Win32.MPR.015