троян kbdmai.dll [not-a-virus:AdWare.Win32.BHO.beqy ]

[ultras]

Здравствуйте!
При загрузке компьютера антивирус находит троян и удаляет его.
Полное сканирование тоже что-то находит и удаляет, но всё это только до следующей загрузки системы.
OS Win 7 x64
Антивирус AVG (бесплатная версия)

Спасибо!

[Info_bot]

Уважаемый(ая) ultras, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[regist]

Здравствуйте!

У вас тут набор разной заразы .

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.



WindowsMangerProtect - деинсталируйте.

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFileF('C:\Users\Home\appdata\roaming\newsi_10\', '*.exe, *.dll, *.sys, *.bat, *.vbs', true, '', 0, 0);
 QuarantineFileF('C:\Users\Home\appdata\roaming\newsi_2\', '*.exe, *.dll, *.sys, *.bat, *.vbs', true, '', 0, 0);
 QuarantineFile('C:\Users\Home\AppData\Local\Yandex\browser.bat', '');
 QuarantineFile('C:\shutd.cmd', '');
 QuarantineFile('C:\Users\Home\appdata\roaming\newsi_10\s_inst.exe', '');
 QuarantineFile('C:\Users\Home\appdata\roaming\newsi_2\s_inst.exe', '');
 QuarantineFile('C:\Windows\System32\KBDMAI.dll', '');
 QuarantineFile('C:\Windows\c1.exe', '');
 QuarantineFile('C:\Windows\syswow64\hfpapi.dll', '');
 QuarantineFile('C:\Windows\system32\ir16_32.dll', '');
 QuarantineFile('C:\Windows\system32\hfpapi.dll', '');
 QuarantineFile('C:\Users\Home\AppData\Roaming\Steam\Reversed\steam.exe', '');
 QuarantineFile('C:\Users\Home\AppData\Roaming\Adobe\Flash Player\AFCache\googleupd.exe', '');
 DeleteFile('C:\Users\Home\AppData\Local\Yandex\browser.bat', '32');
 DeleteFile('C:\Users\Home\appdata\roaming\newsi_10\s_inst.exe', '32');
 DeleteFile('C:\Users\Home\appdata\roaming\newsi_2\s_inst.exe', '32');
 DeleteFile('C:\Windows\system32\Tasks\GoogleUpdateTaskUserS-1-5-21-1970835742GUI', '64');
 DeleteFile('C:\Users\Home\AppData\Roaming\Adobe\Flash Player\AFCache\googleupd.exe', '32');
 DeleteFile('C:\Windows\system32\Tasks\RegClean Pro', '64');
 DeleteFile('C:\Windows\system32\Tasks\RegClean Pro_DEFAULT', '64');
 DeleteFile('C:\Users\Home\AppData\Roaming\Steam\Reversed\steam.exe', '32');
 DeleteFile('C:\Windows\system32\Tasks\Steam-S-1-8-22-9865GUI', '64');
 DeleteFile('C:\Windows\system32\hfpapi.dll', '32');
 DeleteFile('C:\Windows\system32\ir16_32.dll', '32');
 DeleteFile('C:\Windows\syswow64\hfpapi.dll', '32');
 DeleteFile('C:\Windows\c1.exe', '32');
 DeleteFile('C:\Windows\System32\KBDMAI.dll', '32');
 DeleteFileMask('C:\Users\Home\appdata\roaming\newsi_10\', '*', true);
 DeleteFileMask('C:\Users\Home\appdata\roaming\newsi_2\', '*', true);
 DeleteDirectory('C:\Users\Home\appdata\roaming\newsi_10\');
 DeleteDirectory('C:\Users\Home\appdata\roaming\newsi_2\');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

[ultras]

ссылка на карантин
http://virusinfo.info/virusdetector/...D43335533038D8

повторные логи и отчет Adw прикрепил

Спасибо!

[regist]

- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.


после этого сделайте свежие

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

дочистим что останется.

- - - - -Добавлено - - - - -

+
- выполните такой скрипт в AVZ

Код:

begin
 ClearQuarantineEx(true); 
 QuarantineFileF('C:\Users\Home\AppData\Roaming\Mozilla\Firefox\Profiles\evjjc0qy.default-1402913755661\extensions\{2A4702A6-63E6-46E4-BEF3-E2769B6774A0}\', '*', true, '', 0, 0);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы.

[ultras]

adw ничего не предложил удалить
отчет прилагаю
и повторные логи

avz в этот раз не перезагрузил систему
я приаттачил карантин
но потом вспомнил, что забыл отключить антивирус и повторил процедуру
результат был таким же
но новый карантин на всякий случай перезалил

[regist]

adw ничего не предложил удалить

вы видно в предыдущий раз удалили всё, об этом свидельствует лог AdwCleaner[S0].txt


Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Home\appdata\local\google\chrome\user data\default\extensions\bdigkpjbmbdepgpkjeabfghlchdmphke\3.2_0\plg\npapihelper.dll', '');
 QuarantineFile('C:\Users\Home\appdata\roaming\opera software\opera stable\extensions\bdigkpjbmbdepgpkjeabfghlchdmphke\3.2_0\plg\npapihelper.dll', '');
 QuarantineFile('C:\Users\Home\AppData\Roaming\webssearches\UninstallManager.exe', '');
 QuarantineFile('C:\Users\Home\AppData\Roaming\newnext.me\nengine.dll', '');
 DeleteFile('C:\Users\Home\AppData\Roaming\newnext.me\nengine.dll', '32');
 DeleteFile('C:\Windows\system32\Tasks\{11EDE3D6-B71B-4983-93C3-5E4028198076}', '64');
 DeleteFile('C:\Users\Home\AppData\Roaming\webssearches\UninstallManager.exe', '32');
 DeleteFile('C:\Users\Home\appdata\roaming\opera software\opera stable\extensions\bdigkpjbmbdepgpkjeabfghlchdmphke\3.2_0\plg\npapihelper.dll', '32');
 DeleteFile('C:\Users\Home\appdata\local\google\chrome\user data\default\extensions\bdigkpjbmbdepgpkjeabfghlchdmphke\3.2_0\plg\npapihelper.dll', '32');
 DeleteFileMask('C:\Users\Home\appdata\roaming\opera software\opera stable\extensions\bdigkpjbmbdepgpkjeabfghlchdmphke\', '*', true);
 DeleteFileMask('C:\Users\Home\appdata\local\google\chrome\user data\default\extensions\bdigkpjbmbdepgpkjeabfghlchdmphke\3', '*', true);
 DeleteDirectory('C:\Users\Home\appdata\roaming\opera software\opera stable\extensions\bdigkpjbmbdepgpkjeabfghlchdmphke\');
 DeleteDirectory('C:\Users\Home\appdata\local\google\chrome\user data\default\extensions\bdigkpjbmbdepgpkjeabfghlchdmphke\3');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NextLive', 'command');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

+ отпишитесь, что с проблемой?

[ultras]

прошу прощения
человек, которому мы лечим компьютер, неожиданно уехал на 3 дня
(я выступаю посредником в этом процессе, потому что у него трудности в общении, по инвалидности)
как вернется, мы выполним все рекомендации и обязательно отпишемся в теме

огромное спасибо еще раз!

[ultras]

здравствуйте!
пострадавший только вышел на связь и мы выполнили последние рекомендации.
карантин и логи прилагаю

спасибо!

[regist]

Внимание !!! База поcледний раз обновлялась 06.01.2015 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз). Протокол антивирусной утилиты AVZ версии 4.43.

Пожалуйста, обновите базы и сделайте новые логи.


+

отпишитесь, что с проблемой?

[ultras]

обновил базу
высылаю логи

проблема вроде не появлялась с тех пор
похоже что всё в порядке?

[regist]

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\system32\ir16_32.dll', '');
 DeleteFile('C:\Windows\system32\ir16_32.dll', '32');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)


Сделайте свежий лог сканирования AdwCleaner (by Xplode)

+ Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[ultras]

Здравствуйте
скрипт выполнил
высылаю логи

[regist]

1) - Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

2)

• Пожалуйста, запустите adwcleaner.exe
• Нажмите Uninstall (Удалить).
• Подтвердите удаление нажав кнопку: Да.

3) Поместите в карантин MBAM всё кроме

Код:

E:\Games\В тылу врага 2 - Штурм\rld.dll (PUP.Hacktool.crk) -> Действие не было предпринято.

4) сделайте новый лог сканирования MBAM.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 5
• Обработано файлов: 27
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\users\home\appdata\local\google\chrome\user data\default\extensions\bdigkpjbmbdepgpkjeabfghlch dmphke\3.2_0\plg\npapihelper.dll - not-a-virus:AdWare.Win32.BHO.beqy
  2. c:\users\home\appdata\local\yandex\browser.bat - not-a-virus:AdWare.BAT.Clicker.m
  3. c:\users\home\appdata\roaming\mozilla\firefox\prof iles\evjjc0qy.default-1402913755661\extensions\{2a4702a6-63e6-46e4-bef3-e2769b6774a0}\plugins\npapihelper.dll - not-a-virus:AdWare.Win32.BHO.beqy
  4. c:\users\home\appdata\roaming\newsi_10\s_inst.exe - not-a-virus:AdWare.Win32.MMag.k ( DrWEB: Adware.Plugin.248, BitDefender: Adware.Generic.1036930 )
  5. c:\users\home\appdata\roaming\newsi_2\s_inst.exe - not-a-virus:AdWare.Win32.MMag.k ( DrWEB: Adware.Downware.4998, AVAST4: Win32:Adware-gen [Adw] )
  6. c:\users\home\appdata\roaming\opera software\opera stable\extensions\bdigkpjbmbdepgpkjeabfghlchdmphke \3.2_0\plg\npapihelper.dll - not-a-virus:AdWare.Win32.BHO.beqy
  7. c:\windows\c1.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.msg ( DrWEB: Tool.BtcMine.277, BitDefender: Gen:Variant.Kazy.350301 )
  8. c:\windows\system32\hfpapi.dll - not-a-virus:HEUR:RiskTool.Win32.NetFilter.heur ( DrWEB: Trojan.DownLoader11.19934, BitDefender: Gen:Variant.Adware.Netfilter.2 )
  9. c:\windows\syswow64\hfpapi.dll - not-a-virus:HEUR:RiskTool.Win32.NetFilter.heur ( DrWEB: Trojan.DownLoader11.19934, BitDefender: Gen:Variant.Adware.Netfilter.2 )