Последствия китайского вируса и Спутника мэйл.ру

**kozerog81** · 25.09.2015, 11:16

При скачивании чего-то подцепили китайский вирус (все на китайском языке). После удаления нодом в AppData/Local остались директории "Uran", "Saturn" и т.д. с пользовательскими данными. После удаления этих директорий через короткое время они или подобные им восстанавливаются.
одновременно "повезло" и подцепился Спутник Mail.ru, который загадил браузер: перенаправление на страницу какой-то игры, редирект на другую страницу при скачивании. Даже при скачивании hijackthis произошло то же самое, удалось скачать на третий раз, притом что из реестра удалены все строки с Mail.ru ...

При сканировании Dr.Web CureIt! обнаружено 11 вирусов (и обезврежено). Скан сохранен, на всякий случай.

Прошу помочь, благодарю.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 25.09.2015, 11:18

Уважаемый(ая) kozerog81, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Sandor** · 25.09.2015, 12:51

Здравствуйте!

Временно отключите защитное ПО.
Выполните скрипт в AVZ:

Код:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\Rising\RAV\rsdelaylauncher.exe','');
 QuarantineFile('C:\Program Files\Mobogenie\DaemonProcess.exe','');
 QuarantineFile('C:\Users\Администратор\AppData\Local\Baidu\BaiduClient\1.6.0.359\BaiduUpdate.exe','');
 QuarantineFile('C:\Users\Администратор\AppData\Local\Baidu\BaiduClient\1.6.0.359\Baidu.exe','');
 QuarantineFile('C:\Windows\system32\tssk.sys','');
 QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.8.16208.227\TS888.sys','');
 QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.8.16208.227\QMUdisk.sys','');
 QuarantineFile('C:\Program Files\BrowseSmart\updateBrowseSmart.exe','');
 QuarantineFile('C:\Users\Администратор\cbzvl.exe', '');
 QuarantineFile('D:\autorun.inf', '');
 DeleteFile('C:\Program Files\BrowseSmart\updateBrowseSmart.exe','32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.8.16208.227\QMUdisk.sys','32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.8.16208.227\TS888.sys','32');
 DeleteFile('C:\Windows\system32\tssk.sys','32');
 DeleteFile('C:\Users\Администратор\AppData\Local\Baidu\BaiduClient\1.6.0.359\Baidu.exe','32');
 DeleteFile('C:\Users\Администратор\AppData\Local\Baidu\BaiduClient\1.6.0.359\BaiduUpdate.exe','32');
 DeleteFile('C:\Program Files\Mobogenie\DaemonProcess.exe','32');
 DeleteFile('C:\Program Files\Rising\RAV\rsdelaylauncher.exe','32');
 DeleteFile('C:\TEMP\9F2A642A3.sys', '32');
 DeleteFile('C:\TEMP\67A53E6DB.sys', '32');
 DeleteFile('C:\Users\Администратор\cbzvl.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "RsDelayLauncher_{8A34248E-7D35-4832-8378-7659E0B0A380}" /F', 0, 15000, true);
 DeleteService('TSSK');
 DeleteService('TS888');
 DeleteService('QMUdisk');
 DeleteService('Update BrowseSmart');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BaiduClient','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BRBrowserInst','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

Подготовьте лог сканирования AdwCleaner.

Последствия китайского вируса и Спутника мэйл.ру (заявка № 190468)

Опции темы