Теперь проблема с Yoursites123, комп виснет, никакие антивирусные программы не могут провести проверку [not-a-virus:AdWare.Win32.PennyBee.eh, not-a-virus:AdWare.Win32.Eorezo.brqa ]

[AliceHatter]

День назад оставляла заявку примерно с той же проблемой: вирусная/шпионская программа Mysites123. Аналогичная ситуация теперь на компьютере моего дяди - с той разницей, что ни утилиту DrWeb он не "дотерпел" (сильно подвисает даже в безопасном режиме), ни проверку обычной антивирусной программы. Постоянно открывает разные страницы в интернете.
Надеюсь на вашу помощь.

[Info_bot]

Уважаемый(ая) AliceHatter, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Евгений\appdata\roaming\aspackage\aspackage.exe','');
 QuarantineFile('C:\windows\system32\Boshomt.dll','');
 QuarantineFile('C:\Program Files (x86)\SwiftSearch_1.10.0.25\Update\SwiftSearchAutoUpdateClient.exe','');
 QuarantineFile('C:\PROGRA~1\GROOVE~1\Kupligri.bat','');
 QuarantineFile('C:\Users\Евгений\AppData\Local\Buzz Comp\xBin\BuzzComp.dll','');
 QuarantineFile('C:\Users\Евгений\AppData\Roaming\newSI_4396\s_inst.exe','');
 QuarantineFile('C:\Users\Евгений\AppData\Roaming\newSI_21590\s_inst.exe','');
 QuarantineFile('C:\Users\Евгений\AppData\Roaming\newSI_1801\s_inst.exe','');
 DelBHO('{4F3C10F8-9B89-4A2E-B523-33F2FB682DC2}');
 QuarantineFile('C:\Program Files (x86)\Аудио и видео скачивание\IE\x86\Downloader.dll','');
 QuarantineFile('C:\iexplore.bat','');
 QuarantineFile('C:\Users\Евгений\AppData\Local\lcoupon\foygnstb.exe','');
 QuarantineFile('C:\Users\Евгений\AppData\Local\lcoupon\config.json','');
 QuarantineFile('C:\Users\Евгений\AppData\Local\Birds\birds365.exe','');
 QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','');
 QuarantineFile('C:\windows\system32\drivers\cherimoya.sys','');
 SetServiceStart('swsedrvr_vt_1_10_0_25', 4);
 DeleteService('swsedrvr_vt_1_10_0_25');
 SetServiceStart('IhPul', 4);
 SetServiceStart('PicexaService', 4);
 SetServiceStart('pyzeqewe', 4);
 SetServiceStart('SSFK', 4);
 SetServiceStart('swsesrvc_1.10.0.25', 4);
 SetServiceStart('toniqobe', 4);
 SetServiceStart('WdMan', 4);
 SetServiceStart('WindowsMangerProtect', 4);
 SetServiceStart('zigipyro', 4);
 DeleteService('zigipyro');
 DeleteService('WindowsMangerProtect');
 DeleteService('WdMan');
 DeleteService('toniqobe');
 DeleteService('swsesrvc_1.10.0.25');
 DeleteService('SSFK');
 DeleteService('pyzeqewe');
 DeleteService('PicexaService');
 DeleteService('IhPul');
 QuarantineFile('C:\windows\system32\drivers\swsedrvr_vt_1_10_0_25.sys','');
 QuarantineFile('C:\windows\system32\DNSAPI.dll','');
 TerminateProcessByName('c:\program files (x86)\sfk\ssfk.exe');
 TerminateProcessByName('c:\program files (x86)\swiftsearch_1.10.0.25\service\swsesrvc.exe');
 TerminateProcessByName('c:\users\Евгений\appdata\roaming\tsv\tsvr.exe');
 TerminateProcessByName('c:\users\Евгений\appdata\local\gmsd_ru_005010190\upgmsd_ru_005010190.exe');
 TerminateProcessByName('c:\programdata\xwdmx\wdman.exe');
 QuarantineFile('c:\programdata\xwdmx\wdman.exe','');
 QuarantineFile('c:\users\Евгений\appdata\local\gmsd_ru_005010190\upgmsd_ru_005010190.exe','');
 QuarantineFile('c:\users\Евгений\appdata\roaming\tsv\tsvr.exe','');
 QuarantineFile('c:\program files (x86)\swiftsearch_1.10.0.25\service\swsesrvc.exe','');
 QuarantineFile('c:\program files (x86)\sfk\ssfk.exe','');
 TerminateProcessByName('c:\program files (x86)\rec_ru_112\rec_ru_112.exe');
 TerminateProcessByName('c:\program files (x86)\rec_ru_130\rec_ru_130.exe');
 TerminateProcessByName('c:\program files (x86)\rec_ru_139\rec_ru_139.exe');
 TerminateProcessByName('c:\program files (x86)\rec_ru_142\rec_ru_142.exe');
 TerminateProcessByName('C:\Program Files (x86)\rec_ru_150\rec_ru_150.exe');
 TerminateProcessByName('c:\users\Евгений\appdata\roaming\newsi_21590\s_inst.exe');
 TerminateProcessByName('c:\users\Евгений\appdata\local\smartweb\smartwebhelper.exe');
 QuarantineFile('c:\users\Евгений\appdata\local\smartweb\smartwebhelper.exe','');
 QuarantineFile('c:\users\Евгений\appdata\roaming\newsi_21590\s_inst.exe','');
 QuarantineFile('C:\Program Files (x86)\rec_ru_150\rec_ru_150.exe','');
 QuarantineFile('c:\program files (x86)\rec_ru_150\rec_ru_150.exe','');
 QuarantineFile('c:\program files (x86)\rec_ru_145\rec_ru_145.exe','');
 QuarantineFile('c:\program files (x86)\rec_ru_142\rec_ru_142.exe','');
 QuarantineFile('c:\program files (x86)\rec_ru_139\rec_ru_139.exe','');
 QuarantineFile('c:\program files (x86)\rec_ru_130\rec_ru_130.exe','');
 QuarantineFile('c:\program files (x86)\rec_ru_112\rec_ru_112.exe','');
 TerminateProcessByName('c:\programdata\tmp0x0x\protectwindowsmanager.exe');
 TerminateProcessByName('c:\users\Евгений\appdata\local\00bab880-1451355282-e111-b5a4-b2804f259a6c\qnsgecaa.tmp');
 QuarantineFile('c:\users\Евгений\appdata\local\00bab880-1451355282-e111-b5a4-b2804f259a6c\qnsgecaa.tmp','');
 QuarantineFile('c:\programdata\tmp0x0x\protectwindowsmanager.exe','');
 TerminateProcessByName('c:\program files (x86)\feed notifier\notifier.exe');
 TerminateProcessByName('c:\program files (x86)\picexa\picexasvc.exe');
 QuarantineFile('c:\program files (x86)\picexa\picexasvc.exe','');
 QuarantineFile('c:\program files (x86)\feed notifier\notifier.exe','');
 TerminateProcessByName('c:\program files (x86)\00bab880-1447059103-e111-b5a4-b2804f259a6c\hnsw79dd.tmp');
 TerminateProcessByName('c:\program files (x86)\00bab880-1447059103-e111-b5a4-b2804f259a6c\jnsb62d2.tmp');
 QuarantineFile('c:\program files (x86)\00bab880-1447059103-e111-b5a4-b2804f259a6c\jnsb62d2.tmp','');
 QuarantineFile('c:\program files (x86)\00bab880-1447059103-e111-b5a4-b2804f259a6c\hnsw79dd.tmp','');
 DeleteFile('c:\program files (x86)\00bab880-1447059103-e111-b5a4-b2804f259a6c\hnsw79dd.tmp','32');
 DeleteFile('c:\program files (x86)\00bab880-1447059103-e111-b5a4-b2804f259a6c\jnsb62d2.tmp','32');
 DeleteFile('c:\program files (x86)\feed notifier\notifier.exe','32');
 DeleteFile('c:\program files (x86)\picexa\picexasvc.exe','32');
 DeleteFile('c:\programdata\tmp0x0x\protectwindowsmanager.exe','32');
 DeleteFile('c:\users\Евгений\appdata\local\00bab880-1451355282-e111-b5a4-b2804f259a6c\qnsgecaa.tmp','32');
 DeleteFile('c:\program files (x86)\rec_ru_112\rec_ru_112.exe','32');
 DeleteFile('c:\program files (x86)\rec_ru_130\rec_ru_130.exe','32');
 DeleteFile('c:\program files (x86)\rec_ru_139\rec_ru_139.exe','32');
 DeleteFile('c:\program files (x86)\rec_ru_142\rec_ru_142.exe','32');
 DeleteFile('c:\program files (x86)\rec_ru_145\rec_ru_145.exe','32');
 DeleteFile('c:\program files (x86)\rec_ru_150\rec_ru_150.exe','32');
 DeleteFile('C:\Program Files (x86)\rec_ru_150\rec_ru_150.exe','32');
 DeleteFile('c:\users\Евгений\appdata\roaming\newsi_21590\s_inst.exe','32');
 DeleteFile('c:\users\Евгений\appdata\local\smartweb\smartwebhelper.exe','32');
 DeleteFile('c:\program files (x86)\sfk\ssfk.exe','32');
 DeleteFile('c:\program files (x86)\swiftsearch_1.10.0.25\service\swsesrvc.exe','32');
 DeleteFile('c:\users\Евгений\appdata\roaming\tsv\tsvr.exe','32');
 DeleteFile('c:\users\Евгений\appdata\local\gmsd_ru_005010190\upgmsd_ru_005010190.exe','32');
 DeleteFile('c:\programdata\xwdmx\wdman.exe','32');
 DeleteFile('C:\Program Files (x86)\Picexa\curlpp.dll','32');
 DeleteFile('C:\Program Files (x86)\Picexa\libcurl.dll','32');
 DeleteFile('C:\Program Files (x86)\Picexa\LIBEAY32.dll','32');
 DeleteFile('C:\Program Files (x86)\Picexa\SSLEAY32.dll','32');
 DeleteFile('C:\Program Files (x86)\Picexa\zlib1.dll','32');
 DeleteFile('C:\windows\system32\drivers\swsedrvr_vt_1_10_0_25.sys','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
 DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarGameBrowser');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SmartWeb');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_005010142');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','rec_ru_112');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','rec_ru_130');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','rec_ru_139');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','rec_ru_142');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','rec_ru_145');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_005010190');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','rec_ru_150');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','upgmsd_ru_005010190.exe');
 DeleteFile('C:\Users\Евгений\AppData\Local\lcoupon\config.json','32');
 DeleteFile('C:\Users\Евгений\AppData\Local\lcoupon\foygnstb.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','lcoupon');
 DeleteFile('C:\iexplore.bat','32');
 DeleteFile('C:\Program Files (x86)\Аудио и видео скачивание\IE\x86\Downloader.dll','32');
 DeleteFile('C:\Users\Евгений\AppData\Roaming\newSI_1801\s_inst.exe','32');
 DeleteFile('C:\Users\Евгений\AppData\Roaming\newSI_21590\s_inst.exe','32');
 DeleteFile('C:\Users\Евгений\AppData\Roaming\newSI_4396\s_inst.exe','32');
 DeleteFile('C:\Users\Евгений\AppData\Local\Buzz Comp\xBin\BuzzComp.dll','32');
 DeleteFile('C:\windows\system32\Tasks\Buzz Comp','64');
 DeleteFile('C:\windows\Tasks\newSI_4396.job','32');
 DeleteFile('C:\windows\Tasks\newSI_21590.job','32');
 DeleteFile('C:\windows\Tasks\newSI_1801.job','32');
 DeleteFile('C:\PROGRA~1\GROOVE~1\Kupligri.bat','32');
 DeleteFile('C:\windows\system32\Tasks\Muituj','64');
 DeleteFile('C:\windows\system32\Tasks\newSI_1801','64');
 DeleteFile('C:\windows\system32\Tasks\newSI_21590','64');
 DeleteFile('C:\windows\system32\Tasks\newSI_4396','64');
 DeleteFile('C:\windows\system32\Tasks\SmartWeb Upgrade Trigger Task','64');
 DeleteFile('C:\windows\system32\Tasks\SwiftSearch Auto Updater 1.10.0.25 Core','64');
 DeleteFile('C:\Program Files (x86)\SwiftSearch_1.10.0.25\Update\SwiftSearchAutoUpdateClient.exe','32');
 DeleteFile('C:\windows\system32\Boshomt.dll','32');
 DeleteFile('C:\Users\Евгений\appdata\roaming\aspackage\aspackage.exe','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(15); 
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.

Сделайте лог CheckBrowsers' Lnk

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[AliceHatter]

Компьютер пока вне доступа, смогу заняться им 9-го числа. Не удаляйте, пожалуйста, заявку. Заранее спасибо.

[AliceHatter]

Всё сделала.

[thyrex]

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке



3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
4. Прикрепите этот отчет к своему следующему сообщению.

+ Сделайте лог полного сканирования МВАМ

[AliceHatter]

Готово.

[thyrex]

C:\Windows\System32\dnsapi.dll
C:\Windows\SysWOW64\dnsapi.dll

замените чистыми с дистрибутива http://virusinfo.info/showthread.php?t=51654 или скопируйте с аналогичной системы

Удалите в МВАМ все, кроме

Код:

Trojan.FilePatch.DNSApi, C:\Windows\System32\dnsapi.dll, , [9a83fd3e0b96e0d9765c34c95f58b16e], 
Trojan.Banker, C:\Users\Евгений\Downloads\K.Melody_feat._Loc-Dog_-_Za_toboj_2013_(get-tune.net).exe, , [77bfcb6c9900e353a43e22227f85ab55], 
CrackTool.Agent, C:\Users\Евгений\Downloads\Call_of_Duty 4 Modern Warfare1\rzr-cd4f\rzr-cod4.exe, , [0e284deaebaea294f1e11a4656abaf51], 
Trojan.FilePatch.DNSApi, C:\Windows\SysWOW64\dnsapi.dll, , [caba30042b1ac3e872bed6af322a7558], 
Trojan.Agent, C:\Program Files (x86)\WinRAR\original\RAR Slayer v1.1.exe, , [2a0c97a0a0f984b23c81ec3d7e848779],

[AliceHatter]

Нашла такие же файлы в чистой системе, но не могу скопировать. Даже в безопасном режиме пишет, что файл открыт в другой программе. Что такое консоль восстановления, не знаю, ссылка в теме выше пустая. С Live CD раньше не работала, тоже не соображу, что и как делать (к тому же там с ссылками на программы тоже что-то непонятное творится: первая ссылка пустая, во второй неясно, что скачивать).
Наверное, будет лучше загрузиться с консоли восстановления, если объясните, как это сделать.
MBAM сейчас запущу.

- - - - -Добавлено - - - - -

> Удалите в МВАМ все, кроме
Сделала. Отчёт прикрепить надо?

[thyrex]

Попробуйте переименовать файлы в безопасном режиме
C:\Windows\System32\dnsapi.dll ==> C:\Windows\System32\dnsapi.dll.old
C:\Windows\SysWOW64\dnsapi.dll ==> C:\Windows\SysWOW64\dnsapi.dll.old

После этого пробуйте заменить их найденными чистыми

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 17
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\iexplore.bat - not-a-virus:AdWare.BAT.Clicker.af ( DrWEB: BAT.StartPage.105 )
  2. c:\program files (x86)\rec_ru_112\rec_ru_112.exe - not-a-virus:AdWare.Win32.Eorezo.brqa ( DrWEB: Adware.Downware.13369, AVAST4: Win32:Adware-gen [Adw] )
  3. c:\program files (x86)\rec_ru_130\rec_ru_130.exe - not-a-virus:AdWare.Win32.Eorezo.brqa ( DrWEB: Adware.Eorezo.749 )
  4. c:\program files (x86)\rec_ru_139\rec_ru_139.exe - not-a-virus:AdWare.Win32.Eorezo.beay ( DrWEB: Adware.Eorezo.749 )
  5. c:\program files (x86)\rec_ru_142\rec_ru_142.exe - not-a-virus:AdWare.Win32.Eorezo.brqa ( DrWEB: Adware.Eorezo.749 )
  6. c:\program files (x86)\rec_ru_145\rec_ru_145.exe - not-a-virus:AdWare.Win32.Eorezo.beay ( DrWEB: Adware.Eorezo.749 )
  7. c:\program files (x86)\rec_ru_150\rec_ru_150.exe - not-a-virus:AdWare.Win32.Eorezo.beay ( DrWEB: Adware.Eorezo.749 )
  8. c:\program files (x86)\swiftsearch_1.10.0.25\update\swiftsearchauto updateclient.exe - not-a-virus:AdWare.Win32.Vitruvian.t ( DrWEB: Adware.Plugin.1201 )
  9. c:\program files (x86)\00bab880-1447059103-e111-b5a4-b2804f259a6c\hnsw79dd.tmp - not-a-virus:AdWare.Win32.ConvertAd.biu ( AVAST4: Win32:Adware-gen [Adw] )
  10. c:\program files (x86)\00bab880-1447059103-e111-b5a4-b2804f259a6c\jnsb62d2.tmp - not-a-virus:AdWare.Win32.ConvertAd.biv ( DrWEB: Adware.ClickMeIn.4031, AVAST4: Win32:Adware-gen [Adw] )
  11. c:\programdata\xwdmx\wdman.exe - not-a-virus:AdWare.Win32.WProtManager.cm
  12. c:\windows\system32\boshomt.dll - not-a-virus:AdWare.Win32.PennyBee.eh ( DrWEB: Trojan.Lyrics.1813 )
  13. c:\windows\system32\dnsapi.dll - Trojan.Win32.Patched.qw
  14. c:\windows\system32\dnsapi.dll - Trojan.Win64.Patched.qw
  15. c:\windows\system32\drivers\cherimoya.sys - not-a-virus:NetTool.Win64.NetFilter.r ( DrWEB: Adware.Shopper.989 )
  16. c:\windows\system32\drivers\swsedrvr_vt_1_10_0_25. sys - not-a-virus:NetTool.Win64.NetFilter.l ( DrWEB: Adware.Plugin.1201 )