1kanal и mvd.ru [Trojan-Clicker.BAT.Small.bp, Trojan-Clicker.BAT.Small.bo ]

[intent11]

доброго времени суток.
помогите!11 (пожалуйста)
брат смотрел гейпорно и был наказан

2 браузера - хром и ИЕ. хром - дефолт. оба просят смс.


пишу вам с чистого компа. авз и хайджек использовал на его компьютере с флешки.

в силу того, что по какойто причине на моем форумном акке остались старые вложения, добавил к логам по "1" в имени файла.

[Info_bot]

Уважаемый(ая) intent11, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin  
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\Users\Пффф\AppData\Local\SmartWeb\SmartWebHelper.exe','');
 QuarantineFile('C:\Users\Пффф\AppData\Local\Microsoft\Windows\system.exe','');
 QuarantineFile('C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat','');
 QuarantineFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat','');
 QuarantineFile('C:\Windows\system32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}w64.sys','');
 QuarantineFile('C:\Windows\system32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gw64.sys','');
 DeleteService('{6fcd6092-9615-4f7f-8898-8df53980e5d2}w64');
 DeleteService('{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gw64');
 DeleteService('ttnfd');
 DeleteService('ssnfd');
 QuarantineFile('C:\Windows\system32\drivers\ttnfd.sys','');
 QuarantineFile('C:\Windows\system32\drivers\ssnfd.sys','');
 DeleteFile('C:\Windows\system32\drivers\ssnfd.sys','32');
 DeleteFile('C:\Windows\system32\drivers\ttnfd.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gw64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}w64.sys','32');
 DeleteFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat','32');
 DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon','command');
 DeleteFile('C:\Program Files (x86)\Mobogenie\DaemonProcess.exe','32');
 DeleteFile('C:\Users\Пффф\AppData\Local\Microsoft\Windows\system.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SystemScript','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SmartWeb','command');
 DeleteFile('C:\Users\Пффф\AppData\Local\SmartWeb\SmartWebHelper.exe','32');
 DeleteFile('C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job','64');
 DeleteFile('C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job','64');
 DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsLiveUpdateTaskMachineCore','64');
 DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsLiveUpdateTaskMachineUA','64');
 DeleteFile('C:\Windows\system32\Tasks\SystemScript','64');        
BC_ImportAll;
ExecuteSysClean;
BC_Activate;   
RebootWindows(false);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

Код:

O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O2 - BHO: Value Apps plugin - {F63AAEDC-3602-49EF-AA45-262380A98980} - C:\Users\Пффф\AppData\Roaming\ValueApps\IE\MonPrx.dll

Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

1. Скачайте FixerBro by glax 24 и сохраните архив с утилитой на Рабочем столе
2. Распакуйте архив с утилитой в отдельную папку
3. Запустите FixerBro
   Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
4. В главном окне программы нажмите на кнопку "Проверить"
5. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro (лог в формате FixerBro_yyyymmdd.txt)
6. По окончанию сканирования нажмите на кнопку "Отчет".
7. Сохраните лог утилиты
8. Прикрепите сохраненный отчет в вашей теме.

[intent11]

спасибо за внимание, понимание и быстрый ответ.
первый скрипт без контекстного меню помоему делал
вот логи:

[mike 1]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

1. Запустите повторно FixerBro by glax24.
   Обратите внимание, что утилиты необходимо запускать через правую кн. мыши от имени администратора, на Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
2. Нажмите на кнопку "Проверить", а по окончанию сканирования поставьте галочки напротив следующих строк и нажмите на кнопку Исправить. Дождитесь окончания удаления.
   
   
   Код:

   C:\Users\Пффф\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk [C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat "http://1kanal.org/?src=hp1" - (Объект запуска не найден)]
   C:\Users\Пффф\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk [C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat "http://1kanal.org/?src=hp1" - (Объект запуска не найден)]
   C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk [C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat "http://1kanal.org/?src=hp1" - (Объект запуска не найден)]

3. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\FixerBro. (Лог в формате FixerBro_yyyymmdd.txt).
4. По окончанию удаления нажмите на кнопку "Отчет"
5. Сохраните лог утилиты
6. Прикрепите сохраненный отчет в вашей теме.

Удалите расширения в браузерах

savedeovideodownloaderfczbkkcom - (C:\Users\Пффф\AppData\Roaming\Mozilla\Firefox\Pro files\nahd6ha2.default\Extensions\[email protected]) (25.08.2014)
SuperMegaBest.com - (C:\Users\Пффф\AppData\Roaming\Mozilla\Firefox\Pro files\nahd6ha2.default\Extensions\[email protected]) (20.08.2014)
dolkaru - (C:\Users\Пффф\AppData\Roaming\Mozilla\Firefox\Pro files\nahd6ha2.default\Extensions\{2661A808-1BEB-4BEC-8673-D34EECE955CB}.xpi) (05.02.2014)
bfdlbgbpgjichdjjmkdcpagfggicjfom - (C:\Program Files (x86)\Аудио и видео скачивание\avdownloader-sk.crx) (13.09.2014)
ieadcoanfjloocmfafkebdnfefmohngj - (C:\Program Files (x86)\BonanzaDeals\BonanzaDeals.crx)
nkcpopggjcjkiicpenikeogioednjeac - (C:\Users\Пффф\AppData\Local\Temp\nkcpopggjcjkiicp enikeogioednjeac.crx)

[intent11]

в ИЕ в "управление надстройками" ничего похожего не нашёл. и в хроме "настройки->расширения" тоже ничего такого нет.

всё остальное сделал.

но проблема не исчезла =(

- - - - -Добавлено - - - - -

и в стиме в френд листе когда курсор кладёшь на друга - вылазит оно же. и в самом стим браузере такаяже возня.

[mike 1]

Интернет через роутер?

1. Скачайте SITLog и сохраните архив с утилитой на Рабочем столе
2. Распакуйте архив с утилитой в отдельную папку
3. Запустите sitlog.exe
   Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
4. В главном окне программы выберите проверку за последние три месяца и нажмите "Старт"
5. По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt
6. Прикрепите эти отчеты в вашей теме.

[intent11]

очень извиняюсь что долго не отвечал - просто отойти нужно было в реал.

да, интернет у нас на роутере.

[mike 1]

Удалите эту папку:

13.09.2014 13:14:53 ----D---- C:\Program Files (x86)\Аудио и видео скачивание

Удалите эти файлы:

C:\Program Files (x86)\R.G. Mechanics\Dark Souls - Prepare to Die Edition\Launcher.exe.bat
C:\Program Files (x86)\ICCup\Launcher\Launcher.exe.bat
C:\R.G. Catalyst\The Elder Scrolls V - Skyrim\SkyrimLauncher.exe.bat

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{E547A5F7-F0C4-48D8-B8E3-08C4CB54A667}: NameServer = 198.23.250.135,8.8.4.4

Если после фикса пропадет Интернет, впишите в настройки DNS адреса, выданные Вам провайдером (см. договор или звоните в их техподдержку).

Очистите куки и кэш браузеров (http://virusinfo.info/showthread.php?t=128635)

1. Скачайте CheckBrowserLnk и сохраните архив с утилитой на Рабочем столе
2. Распакуйте архив с утилитой в отдельную папку
3. Запустите checkbrowserlnk.exe
   Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
4. После окончания работы программы на рабочем столе будет сохранен отчет CheckBrowserLnk.log
5. Прикрепите этот отчет в вашей теме.

[intent11]

всё сделал. вот...

- - - - -Добавлено - - - - -

только вот как куки в стиме почистить? там же тоже браузер встроен...

[mike 1]

Сделайте новые SIT логи.

[intent11]

вот они оба

[mike 1]

Эти ярлыки пересоздайте:

C:\Users\Public\Desktop\The Witcher 2.Assassins Of Kings.(Лаунчер).lnk
C:\Users\Пффф\Desktop\Dark Souls - Prepare to Die Edition.lnk
C:\Users\Пффф\Desktop\ICCup Launcher.lnk
C:\Users\Пффф\Desktop\The Elder Scrolls V - Skyrim.lnk
C:\Users\Пффф\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mail.Ru.lnk

Что с проблемой?

[intent11]

всё работает.
огромное спасибо!

[mike 1]

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Советы и рекомендации после лечения компьютера

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\program files (x86)\google\chrome\application\chrome.exe.bat - Trojan-Clicker.BAT.Small.bo ( DrWEB: BAT.StartPage.42, AVAST4: BV:Runner-AN [Trj] )
  2. c:\program files (x86)\internet explorer\iexplore.exe.bat - Trojan-Clicker.BAT.Small.bp ( DrWEB: BAT.StartPage.42, AVAST4: BV:Runner-AN [Trj] )