Крашатся программы [Backdoor.Win32.Androm.cyh, Backdoor.Win32.Androm.cyf]

[Ivan_irk]

Здравствуйте!
Не могу найти решения проблемы в интернете, подумал, может это вирусня..программы не запускаются(например google chrome, interphone-программа для sip телефонии (ругается мол:попытка освободить не принадлежащий процессу объект синхронизации)), acrobat reader самопроизвольно закрывается через секунд 10-15 после открытия и т.д. В диспетчере задач стало много процессов, неизвестных мне. Два процесса explorer.exe...в общем странности..dr.web cure it и avz проверял на наличие вирусов, каждый по одному нашел, но проблему не решило..

[Info_bot]

Уважаемый(ая) Ivan_irk, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\PROGRA~2\msrhlmf.exe','');
 QuarantineFile('C:\Users\843E~1\AppData\Local\Temp\KB01951213.exe','');
 QuarantineFile('C:\Users\843E~1\AppData\Local\Temp\Adobe\Reader_sl.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1785130\da723n4.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-17185130\da723n4.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-127327\dqr37331.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-12473925\d4q931.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-12321413\dqr21rr31.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-123213413\dqr3331.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-12192660\da92254.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-121914160\d154a92254.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-12191160\d15a92254.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-12125660\da21254.exe','');
 QuarantineFile('C:\ProgramData\CreativeAudio\xsytzecrn.exe','');
 TerminateProcessByName('c:\recycler\s-1-5-21-0243556031-888888379-781862338-12192660\da92254.exe');
 QuarantineFile('c:\recycler\s-1-5-21-0243556031-888888379-781862338-12192660\da92254.exe','');
 DeleteFile('c:\recycler\s-1-5-21-0243556031-888888379-781862338-12192660\da92254.exe','32');
 DeleteFile('C:\ProgramData\CreativeAudio\xsytzecrn.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-12125660\da21254.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-12191160\d15a92254.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-121914160\d154a92254.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-12192660\da92254.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-123213413\dqr3331.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-12321413\dqr21rr31.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-12473925\d4q931.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-127327\dqr37331.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-17185130\da723n4.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862338-1785130\da723n4.exe','32');
 DeleteFile('C:\Users\843E~1\AppData\Local\Temp\Adobe\Reader_sl.exe','32');
 DeleteFile('C:\Users\843E~1\AppData\Local\Temp\KB01951213.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MicrosoftSfCnt');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorporated');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','dak33n1');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','dak331n1');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','dq3r7441');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','dq95441');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','dqr12r441');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','dq3r441');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','d922153v');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','d915422153v');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','d91522153v');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','da212153v');
 DeleteFile('C:\PROGRA~2\msrhlmf.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','3626444561');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

Сделайте лог полного сканирования МВАМ

[Ivan_irk]

MBAM не могу сделать лог..программа постоянно прекращает работу при попытке сканирования

[thyrex]

Попробуйте сделать логи такой версией http://virusinfo.info/soft/mbam-setup-1.75.0.1300.exe

[Ivan_irk]

Такая же история

[thyrex]

Сделайте лог ComboFix

[Ivan_irk]

лог. во время проверки крашнулся процесс, что то вроде ga3r.exe, точное название не запомнил, принтскрин не сработал..

[thyrex]

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С

Код:

KillAll::

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\rstrui.exe]
"Debugger"=-

FileLook::
c:\users\Никита\AppData\Roaming\c731200
C:\$WINDOWS.~Q
C:\$INPLACE.~TR

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[Ivan_irk]

Во время проверки прекратила работу программа pev.3XE

[thyrex]

c:\users\Никита\AppData\Roaming\c731200 удалите

[Ivan_irk]

Сделал

[thyrex]

Что с проблемой?

[Ivan_irk]

Проблема осталась.. так же не запускается гугл хром, звонилка interphone, выключен брандмауэр(включить его не получается)

[thyrex]

МВАМ запустить по-прежнему не удается?

[Ivan_irk]

Да, пробовал обе версии. При запуске MBAM предлагается проверка обновлений, если нажать "да", то программа сразу закрывается, если ответить "нет", то проваливаешься в интерфейс программы, но при старте сканирования она снова закрывается.

[thyrex]

Еще раз лог ComboFix сделайте

[Ivan_irk]

Сделал. Так же скрин экрана. Несколько раз нажимал "пропустить".

[thyrex]

Выполнить скрипт

Код:

 begin
SetAVZPMStatus(True);
RebootWindows(true); 
end.

Компьютер перезагрузится.

Сделайте новые логи AVZ

[Ivan_irk]

Сделано