Браузерный вирус (may be) #2

[omoloy4]

Доброго времени суток, ув.специалиты! Мой аккаунт, видимо, самоуничтожился из-за использования Тор. Но реально на него вирус не распространяется, а на остальных всё виснет. Продолжение темы http://virusinfo.info/showthread.php?t=199483. Добавляю требуемый лог и старые ложу:

[Info_bot]

Уважаемый(ая) omoloy4, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[regist]

ProxyOverride = 127.0.0.1 - сами прописывали?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код:

begin
 ClearQuarantine;
 QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Google Chrome.lnk', '');
 QuarantineFile('C:\Documents and Settings\All Users\Рабочий стол\Google Chrome.lnk', '');
 QuarantineFile('C:\Documents and Settings\UserXP\Application Data\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk', '');
 QuarantineFile('C:\Documents and Settings\UserXP\Application Data\Microsoft\Internet Explorer\Quick Launch\Одноклассники.lnk', '');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk', '');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk', '');
 QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Start Tor Browser.lnk', '');
 QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Internet Explorer.lnk', '');
 QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\ICQ\Портал Mail.Ru.lnk', '');
 QuarantineFile('C:\Documents and Settings\Администратор\Главное меню\Программы\Стандартные\Служебные\Internet Explorer (без надстроек).lnk', '');
 QuarantineFile('C:\Documents and Settings\Администратор\Рабочий стол\Start Tor Browser.lnk', '');
 QuarantineFile('C:\Documents and Settings\Администратор\Рабочий стол\Browsers\Internet Explorer.lnk', '');
 QuarantineFile('C:\Documents and Settings\Администратор\Рабочий стол\Browsers\Mozilla Firefox.lnk', '');
 QuarantineFile('C:\Documents and Settings\Администратор\Рабочий стол\Browsers\Opera 18.lnk', '');
 QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Mozilla Firefox.lnk', '');
 QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Opera 24.lnk', '');
 QuarantineFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\Internet Explorer\Quick Launch\Opera 36.lnk', '');
 QuarantineFile('C:\DOCUME~1\9335~1\91BD~1\6CB9~1\GOALUN~1.URL', '');
 QuarantineFile('C:\DOCUME~1\9335~1\91BD~1\6CB9~1\GOALUN~2.URL', '');
 QuarantineFile('C:\DOCUME~1\9335~1\91BD~1\6CB9~1\POWERR~1.URL', '');
 QuarantineFile('C:\DOCUME~1\9335~1\91BD~1\6CB9~1\____#-~1.URL', '');
 QuarantineFile('C:\DOCUME~1\9335~1\91BD~1\6CB9~1\63C33~1.URL', '');
 QuarantineFileF('C:\Program Files\WinTsks\WinTsks\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFileMask('C:\Program Files\WinTsks\WinTsks\', '*', true);
 DeleteDirectory('C:\Program Files\WinTsks\WinTsks\');
 ExecuteFile('schtasks.exe', '/delete /TN "WinTsks" /F', 0, 15000, true);
 ExecuteRepair(3);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

Профиксите в HijackThis

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{882A5C59-7DE1-4537-9A70-4C83AD5EEF1B}: NameServer = 82.163.143.177,82.163.142.179
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B8628A6-2EC2-4381-8281-7C171BB8B0B4}: NameServer = 82.163.143.177,82.163.142.179
O17 - HKLM\System\CCS\Services\Tcpip\..\{CFA8BA49-F554-4A4E-ACE8-D875FC214339}: NameServer = 82.163.143.177,82.163.142.179

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.


сделайте лог HiJackThis 2.0.6 Alfa 1.8

- - - - -Добавлено - - - - -

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
• Прикрепите отчет к своему следующему сообщению.

[omoloy4]

Воу! Я уже пишу с браузера! Пропали попадосы
ProxyOverride = 127.0.0.1 вроде не прописывал, может когда с Денвером игрался?

Высылаю результаты, жду вердикт. Еще вижу у меня там ошиваются обломки Файн Ридера, который давно и неудачно был удален. Его можно HijackThisом фиксануть?

[regist]

Программы/расширения от Mail.ru используете?
orbitdownloader - используете?

[omoloy4]

Да нет, это всё впаренно было, да так, чтоб не отказался

[regist]

Профиксите в HijackThis

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

• Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Настройки отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

+ сделайте лог этой утилитой https://technet.microsoft.com/ru-ru/.../bb963902.aspx

[omoloy4]

AdwCleaner (by Xplode) нечего не нашел, но я всё равно нажал удалить, в процесс выскочило окошко (оно, кстати и в первый раз было)
netsh.exe-не удалось найти компонент:

Приложению не удалось запуститься, поскольку framedyn.dll не был найден. повторная установка приложения может исправить ошибку.

Тогда я подумал, что это не критично (И счас так думаю)

У Autoruns только кнопка сохранить и файл в формате arn получился больше 4 МБ, кинул на ЯндексДиск
https://yadi.sk/d/15REXAU_qz4ZT

Пробовал в HijackThis фикснуть остатки ФайнРидера, не выходит

[regist]

AdwCleaner (by Xplode) нечего не нашел, но я всё равно нажал удалить, в процесс выскочило окошко (оно, кстати и в первый раз было)
netsh.exe-не удалось найти компонент:

Пожалуйста,

• Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Настройки отметьте:
  
  • "Включить отладочный режим"
• Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

После этого прикрепите отчёт C:\AdwCleaner\AdwCleaner_dbg_xxxxxx.log

- - - - -Добавлено - - - - -

+ пожалуйста, папки

Код:

C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\SystemExplorerDisabled		
C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\SystemExplorerDisabled

заархивируйте в архив, загрузите на ЯД и ссылку пришлите мне в ЛС.

+ Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.

[omoloy4]

Отправил

Опп-па, заметил не тот файл получился, нужно AdwCleaner_dbg_xxxxxx.log
Но там только C и S с расширением .txt

[regist]

Опп-па, заметил не тот файл получился, нужно AdwCleaner_dbg_xxxxxx.log

а галочку в опциях как просил поставили? Если не поставили, то указанного файла и не будет. Вместо xxxxxx там должно быть цифры с датой создания.

[omoloy4]

да, проверил - стоит отладочный режим

[regist]

PicPick, Auslogics BoostSpeed, Auslogics Disk Defrag - нежелательное ПО, советую деинсталируйте.
Unity - если сами не ставили, то тоже.


+
Выполните скрипт в uVS

Код:

;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
BREG
zoo %Sys32%\DRIVERS\BDENHANCEBOOST.SYS
bl 64D3E77771581CC077A381B6051C8443 45128
delall %Sys32%\DRIVERS\BDENHANCEBOOST.SYS
zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\107\BDCOMPROXY.DLL
bl 650420C600A71FE6CE6113CEB1305A5B 70600
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\107\BDCOMPROXY.DLL
delall HTTP://GO.MAIL.RU/SEARCH?Q={SEARCHTERMS}&FR=NTG&GP=PROFITRAF7
delall HTTP://GO.MAIL.RU/SEARCH?Q={SEARCHTERMS}&UTF8IN=1&FR=IETB
delall HTTP://MAIL.RU/CNT/10445?GP=PROFITRAF7
delall HTTP://WEBSEARCH.ASK.COM/REDIRECT?CLIENT=IE&TB=SPC2&O=15000&SRC=CRM&Q={SEARCHTERMS}&LOCALE=RU_US&APN_PTNRS=PV&APN_DTID=YYYYYYYYUA&APN_UID=8E611F23-7F3C-41BB-BAF5-4557C8487E75&APN_SAUID=57E2E216-CE01-49F9-BFC0-1A9B7426EBEC
delall HTTP://WEBSEARCH.GOODFORSEARCH.INFO/?PID=24062&R=2015/05/08&HID=1985263850312402165&LG=EN&CC=UA&UNQVL=86&L=1&Q=
delall HTTP://WWW.MAIL.RU/CNT/9514
delall HTTP://WWW.MAIL.RU/CNT/9516
delref %SystemDrive%\DOCUMENTS AND SETTINGS\USERXP\LOCAL SETTINGS\APPLICATION DATA\MAIL.RU\MAILRUUPDATER.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USERXP\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\ВОЙТИ В ИНТЕРНЕТ.LNK
bl FAD61D985939C91276354DA9FE2DB11F 2126
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USERXP\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\ВОЙТИ В ИНТЕРНЕТ.LNK
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USERXP\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\ИНТЕРНЕТ\ВОЙТИ В ИНТЕРНЕТ.LNK
bl 7944E9BE831A06F15FAE2C10A508CDC0 2138
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USERXP\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\ИНТЕРНЕТ\ВОЙТИ В ИНТЕРНЕТ.LNK
delref HTTP:\\WWW.MAIL.RU
delall HTTP://WWW.ASK.COM/?L=DIS&O=15003
regt 27
czoo
restart

[omoloy4]

PicPick, Auslogics BoostSpeed, Auslogics Disk Defrag - удалил, хотя не думал никогда, что такая мелочь как PicPick может сильно вонять
Unity - мой, сам ставил
Лог приложил

Еще иногда (обычно после перезагрузки) при нажатии на правую кнопку мышки выскакивает маленькое окно
ABBYY FineReader 10

Some files are corrupted. Please reinstall ABBYY FineReader 10

Не получается его добить, пробовал всякие деинсталляторы

[regist]

Не получается его добить, пробовал всякие деинсталляторы

выполните скрипт uVS

Код:

;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
BREG
zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\ABBYY\FINEREADER\10.00\LICENSING\PE\NETWORKLICENSESERVER.EXE
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\ABBYY\FINEREADER\10.00\LICENSING\PE\NETWORKLICENSESERVER.EXE
deldir %SystemDrive%\PROGRAM FILES\COMMON FILES\ABBYY\FINEREADER\
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\ABBYY FINEREADER 10\ABBYY SCREENSHOT READER.LNK
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\ABBYY FINEREADER 10\ABBYY SCREENSHOT READER.LNK
restart

что с проблемой?

- - - - -Добавлено - - - - -

+ свежий лог uVS сделайте

[omoloy4]

Have done. Лог добавил, окно еще выскакивает

[regist]

Лог добавил,

куда?

[omoloy4]

Кину сюда, пароль вирус

[regist]

Карантин в теме выкладывать запрещено.

И я просил вас прикрепить свежий лог, а не карантин.

[omoloy4]

Ая-яй, прошу прощения