Вирус Trojan-downloader.win32.agent.hfxr

[Basket23]

Данный вирус обнаруживается KIS, его убивает, просит перезагрузку. Но спустя пару дней вирус вновь появляется и KIS поновой его убивает и просит перезагрузку (и так уже раза три точно). Проверка CureIT ничего не нашла.
Файл virusinfo_syscure.zip - программа не создала.

[Info_bot]

Уважаемый(ая) Basket23, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('c:\program files (x86)\winshop\bin\winshopserver.exe');
 QuarantineFile('c:\program files (x86)\winshop\bin\winshopserver.exe','');
 DeleteFile('c:\program files (x86)\winshop\bin\winshopserver.exe','32');
 DeleteFile('C:\Windows\Tasks\TabReader.job','64');
 DeleteFileMask('c:\program files (x86)\winshop','*',true);
 DeleteDirectory('c:\program files (x86)\winshop');
ExecuteWizard('SCU',2,2,true);
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

Сделайте лог AdwCleaner (by Xplode).

[Basket23]

Всё сделал.

[Vvvyg]

Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[S1].txt, прикрепите к своему следующему сообщению.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

[Basket23]

Готово!

[Vvvyg]

Проверьте файл C:\Windows\SysWOW64\1.exeна virustotal: кнопка Выберите файл, ищете этот файл у вас в системе - Открыть - Проверить. Нажать на кнопку Повторить анализ (если будет такой вариант). Дождитесь результата. Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
GroupPolicyScripts: Group Policy detected <======= ATTENTION
GroupPolicyScripts\User: Group Policy detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
S2 Clumsy Staff; "C:\Program Files (x86)\Clumsy Staff\Clumsy Staff.exe" [X]
S1 grfwwvte; \??\C:\Windows\system32\drivers\grfwwvte.sys [X]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinShop
C:\Users\Kirill\AppData\Roaming\Microsoft\Office\Последние файлы\Install_WinShop.LNK
C:\Users\Public\Desktop\WinShop Site Administrator.lnk
Reg: reg delete "HKLM-x32\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WinShop_is1" /f
EmptyTemp:
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

[Basket23]

https://www.virustotal.com/ru/file/c...is/1437136863/

[Vvvyg]

Удалите папку C:\FRST со всем содержимым.

Установите в Kaspersky Internet Security противодействие нежелательным программам, как описано здесь - и следите за ситуацией. Используйте Kaspersky Security Network для проверки подозрительных файлов и сайтов.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения вредоносные программы в карантинах не обнаружены