Множественные процессы calc.exe в ДЗ [Trojan.Win32.Buzus.xyvv, Trojan.Win32.Bublik.emkh, Worm.Win32.Ngrbot.beme ]

**dizzibro** · 20.06.2016, 15:46

Добрый день. Недели 3 назад произошло заражение от флешки каким-то вирусом. Компьютер стал работать медленнее. За 4 года работы не пользовался антивирусом на постоянной основе, т.к негативно к ним отношусь. Совершал только разовые проверки раз в год где-то. А сейчас вот такая проблема.
При подключении других флешек все мгновенно заражалось, система ныла, что все плохо. Скачал антивирус тотал360, вроде бы исправил какие-то косяки, но походу не все. В данный момент наблюдается много странных процессов в диспетчере задач, сейчас это calc.exe.
Заранее спасибо!
hijackthis.log
virusinfo_syscure.zip

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 20.06.2016, 15:47

Уважаемый(ая) dizzibro, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**mike 1** · 20.06.2016, 18:20

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 QuarantineFile('C:\Users\Dmitriy\appdata\roaming\windowsupdate\updater.exe','');
 QuarantineFile('C:\Users\Dmitriy\appdata\roaming\windowsupdate\mobsync.exe','');
 QuarantineFile('C:\Users\Dmitriy\appdata\roaming\windowsupdate\live.exe','');
 QuarantineFile('C:\Users\Dmitriy\appdata\roaming\update\update.exe','');
 QuarantineFile('C:\Users\Dmitriy\appdata\roaming\update\explorer.exe','');
 QuarantineFile('C:\Users\Dmitriy\appdata\roaming\c731200','');
 QuarantineFile('C:\Users\Dmitriy\AppData\Roaming\WindowsUpdate\Live.exe','');
 QuarantineFile('C:\Users\Dmitriy\AppData\Roaming\WindowsUpdate\mobsync.exe','');
 QuarantineFile('C:\Users\Dmitriy\AppData\Roaming\WindowsUpdate\Updater.exe','');
 QuarantineFile('C:\Users\Dmitriy\AppData\Roaming\Windows Live\iiyimuafci.exe','');
 QuarantineFile('C:\Users\Dmitriy\AppData\Roaming\Microsoft\Windows\themes\Bnfufv.exe','');
 DeleteFile('C:\Users\Dmitriy\AppData\Roaming\Microsoft\Windows\themes\Bnfufv.exe','32');
 DeleteFile('C:\Users\Dmitriy\AppData\Roaming\Windows Live\iiyimuafci.exe','32');
 DeleteFile('C:\Users\Dmitriy\AppData\Roaming\WindowsUpdate\Updater.exe','32');
 DeleteFile('C:\Users\Dmitriy\AppData\Roaming\WindowsUpdate\mobsync.exe','32');
 DeleteFile('C:\Users\Dmitriy\AppData\Roaming\WindowsUpdate\Live.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Installer');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Sync Center');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Bnfufv');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Live');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Bnfufv','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Sync Center','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Update Installer','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Live Installer','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Live','command');
 DeleteFile('C:\Users\Dmitriy\appdata\roaming\c731200','32');
 DeleteFile('C:\Users\Dmitriy\appdata\roaming\update\explorer.exe','32');
 DeleteFile('C:\Users\Dmitriy\appdata\roaming\update\update.exe','32');
 DeleteFile('C:\Users\Dmitriy\appdata\roaming\windowsupdate\live.exe','32');
 DeleteFile('C:\Users\Dmitriy\appdata\roaming\windowsupdate\mobsync.exe','32');
 DeleteFile('C:\Users\Dmitriy\appdata\roaming\windowsupdate\updater.exe','32');
ExecuteSysClean;
RebootWindows(true);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

**dizzibro** · 20.06.2016, 19:46

Карантин загрузил. Логи вот(virusinfo_syscheck.zip;hijackthis.log)
virusinfo_syscheck.zip
hijackthis.log

- - - - -Добавлено - - - - -

Какие дальше действия, не подскажете?)

**mike 1** · 20.06.2016, 22:04

Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы, выберите "Custom Scan" ("Пользовательское сканирование"), нажмите "Scan Now" ("Сканировать сейчас"), отметьте все диски. В выпадающих списках PUP и PUM выберите "Warn user about detections" ("Предупредить пользователя об обнаружении"). Нажмите нажмите "Start Scan" ("Запуск проверки"). После сканирования нажмите Export Log, сохраните лог в формате txt и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

**dizzibro** · 21.06.2016, 10:39

У меня нет всех этих пунктов, о которых вы говорите. Есть только "запустить проверку".

2323.jpg

**mike 1** · 21.06.2016, 11:38

Тогда выбирайте "Запустить проверку"

**dizzibro** · 21.06.2016, 12:44

Проверку сделал. Лог txt загрузил.

PROVERKA.txt

**mike 1** · 21.06.2016, 18:37

Удалите в MBAM все, кроме:

Код:

Файлы: 379
HackTool.AutoKMS, C:\ProgramData\KMSAutoS\KMSAuto Net.exe, , [177f9e61128714222bcae5bf51b0ed13], 
RiskWare.CHP, C:\Users\Dmitriy\AppData\Local\Beeline Network Manager\updater\chp.exe, , [76202ed17f1a152181be0336be467d83],

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

**dizzibro** · 21.06.2016, 19:19

Все удалил. Лог прикрепил.

PROVERKA_2.txt

**mike 1** · 21.06.2016, 23:09

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**dizzibro** · 21.06.2016, 23:20

Сделано!
FRST.txt
Addition.txt

**mike 1** · 21.06.2016, 23:54

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

Временно выгрузите антивирус, файрволл и прочее защитное ПО.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\S-1-5-21-2034903801-2297556925-110631397-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://mysearch.avg.com?cid={F642132E-A5CC-407F-981B-219421CA9850}&mid=4b90934664a544d5bfb8f15a5334c569-ce8b777a1bcb2eac4fa25d5e23ccc915937625d6&lang=en&ds=xf011&coid=avgtbdisxf&cmpid=1215tb&pr=sa&d=2014-02-07 16:02:32&v=19.4.0.508&pid=safeguard&sg=0&sap=hp
HKU\S-1-5-21-2034903801-2297556925-110631397-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://yambler.net/?im
CHR HomePage: Default -> hxxp://www.search.ask.com/?gct=hp
CHR StartupUrls: Default -> "hxxps://www.google.ru/","hxxp://mysearch.avg.com?cid={F642132E-A5CC-407F-981B-219421CA9850}&mid=4b90934664a544d5bfb8f15a5334c569-ce8b777a1bcb2eac4fa25d5e23ccc915937625d6&lang=en&ds=xf011&coid=avgtbdisxf&cmpid=&pr=sa&d=2014-02-07 16:02:32&v=17.3.1.204&pid=safeguard&sg=0&sap=hp","hxxps://www.google.ru/
hxxp://mysearch.avg.com?cid={F642132E-A5CC-407F-981B-219421CA9850}&mid=4b90934664a544d5bfb8f15a5334c569-ce8b777a1bcb2eac4fa25d5e23ccc915937625d6&lang=en&ds=xf011&coid=avgtbdisxf&cmpid=&pr=sa&d=2014-02-07 16:02:32&v=18.0.5.292&pid=safeguard&sg=0&sap=hp","hxxp://mysearch.avg.com?cid={F642132E-A5CC-407F-981B-219421CA9850}&mid=4b90934664a544d5bfb8f15a5334c569-ce8b777a1bcb2eac4fa25d5e23ccc915937625d6&lang=en&ds=xf011&coid=avgtbdisxf&cmpid=&pr=sa&d=2014-02-07 16:02:32&v=18.0.5.292&pid=safeguard&sg=0&sap=hp","hxxp://mysearch.avg.com?cid={F642132E-A5CC-407F-981B-219421CA9850}&mid=4b90934664a544d5bfb8f15a5334c569-ce8b777a1bcb2eac4fa25d5e23ccc915937625d6&lang=en&ds=xf011&coid=avgtbdisxf&cmpid=&pr=sa&d=2014-02-07 16:02:32&v=18.1.0.443&pid=safeguard&sg=0&sap=hp","hxxp://mysearch.avg.com?cid={F642132E-A5CC-407F-981B-219421CA9850}&mid=4b90934664a544d5bfb8f15a5334c569-ce8b777a1bcb2eac4fa25d5e23ccc915937625d6&lang=en&ds=xf011&coid=avgtbdisxf&cmpid=&pr=sa&d=2014-02-07 16:02:32&v=18.1.5.512&pid=safeguard&sg=0&sap=hp","hxxp://mysearch.avg.com?cid={F642132E-A5CC-407F-981B-219421CA9850}&mid=4b90934664a544d5bfb8f15a5334c569-ce8b777a1bcb2eac4fa25d5e23ccc915937625d6&lang=en&ds=xf011&coid=avgtbdisxf&cmpid=&pr=sa&d=2014-02-07 16:02:32&v=18.1.7.598&pid=safeguard&sg=0&sap=hp","hxxps://mysearch.avg.com?cid={F642132E-A5CC-407F-981B-219421CA9850}&mid=4b90934664a544d5bfb8f15a5334c569-ce8b777a1bcb2eac4fa25d5e23ccc915937625d6&lang=en&ds=xf011&coid=avgtbdisxf&cmpid=&pr=sa&d=2014-02-07 16:02:32&v=18.1.9.786&pid=safeguard&sg=0&sap=hp","hxxps://mysearch.avg.com?cid={F642132E-A5CC-407F-981B-219421CA9850}&mid=4b90934664a544d5bfb8f15a5334c569-ce8b777a1bcb2eac4fa25d5e23ccc915937625d6&lang=en&ds=xf011&coid=avgtbdisxf&cmpid=&pr=sa&d=2014-02-07 16:02:32&v=18.1.9.799&pid=safeguard&sg=0&sap=hp"
CHR Extension: (Kenzo VK) - C:\Users\Dmitriy\AppData\Local\Google\Chrome\User Data\Default\Extensions\kkmoffkcnaagfmkigckpkdcodobjdfga [2016-04-01]
CHR Extension: (Video Downloader professional) - C:\Users\Dmitriy\AppData\Local\Google\Chrome\User Data\Default\Extensions\elicpjhcidhpjomhibiffojpinpmmpil [2015-01-14]
2016-05-17 23:13 - 2016-06-20 19:00 - 00000000 ____D C:\Users\Dmitriy\AppData\Roaming\WindowsUpdate
2016-05-17 23:13 - 2016-06-20 19:00 - 00000000 ____D C:\Users\Dmitriy\AppData\Roaming\Update
2016-05-17 22:16 - 2016-05-17 22:16 - 00000000 ____D C:\Users\Dmitriy\AppData\Roaming\DisplayTune
2016-05-17 22:16 - 2016-05-17 22:16 - 00000000 ____D C:\Users\Dmitriy\AppData\Local\DisplayTune
2013-08-16 11:26 - 2012-02-11 19:35 - 10096128 _____ (x264 project) C:\Program Files\x264.exe
2015-04-12 19:03 - 2015-04-12 19:03 - 0000042 _____ () C:\Users\Dmitriy\AppData\Roaming\0737A4CA02C
2015-03-26 22:14 - 2015-03-26 22:14 - 0005542 _____ () C:\Users\Dmitriy\AppData\Roaming\GKSWKV
2015-03-26 22:14 - 2015-03-26 22:14 - 0005542 _____ () C:\Users\Dmitriy\AppData\Roaming\NCPVAI
2015-03-26 22:14 - 2015-03-26 22:14 - 0004185 _____ () C:\Users\Dmitriy\AppData\Roaming\QR
2014-02-05 11:18 - 2014-02-05 11:18 - 0000006 _____ () C:\Users\Dmitriy\AppData\Roaming\smw_inst
2015-03-26 22:14 - 2015-03-26 22:14 - 0004185 _____ () C:\Users\Dmitriy\AppData\Roaming\VHZ
Task: {3B38B05C-A910-4A07-8B4E-8D9A787E7C74} - \31D3DFAx3D -> No File <==== ATTENTION
ShortcutWithArgument: C:\Users\Dmitriy\Desktop\*\КОМПУТЕР ДИМЫ\Дмитрий\Application Data\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://home.webalta.ru
ShortcutWithArgument: C:\Users\Dmitriy\Desktop\*\КОМПУТЕР ДИМЫ\Дмитрий\Application Data\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://home.webalta.ru
ShortcutWithArgument: C:\Users\Dmitriy\Desktop\*\КОМПУТЕР ДИМЫ\Дмитрий\Application Data\Microsoft\Internet Explorer\Quick Launch\Запустить обозреватель Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://home.webalta.ru
EmptyTemp:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

**CyberHelper** · 22.06.2016, 00:04

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 8
В ходе лечения обнаружены вредоносные программы:
1. c:\users\dmitriy\appdata\roaming\c731200 - Worm.Win32.Ngrbot.beme
2. c:\users\dmitriy\appdata\roaming\microsoft\windows \themes\bnfufv.exe - Worm.Win32.Ngrbot.bema
3. c:\users\dmitriy\appdata\roaming\update\explorer.e xe - Worm.Win32.Ngrbot.beme
4. c:\users\dmitriy\appdata\roaming\update\update.exe - Worm.Win32.Ngrbot.beme
5. c:\users\dmitriy\appdata\roaming\windows live\iiyimuafci.exe - Trojan.Win32.Bublik.emkh
6. c:\users\dmitriy\appdata\roaming\windowsupdate\liv e.exe - Trojan.Win32.Bublik.emoe ( AVAST4: Win32:Evo-gen [Susp] )
7. c:\users\dmitriy\appdata\roaming\windowsupdate\mob sync.exe - Trojan.Win32.Buzus.xyvv
8. c:\users\dmitriy\appdata\roaming\windowsupdate\upd ater.exe - Worm.Win32.Ngrbot.beme

Множественные процессы calc.exe в ДЗ [Trojan.Win32.Buzus.xyvv, Trojan.Win32.Bublik.emkh, Worm.Win32.Ngrbot.beme ] (заявка № 201506)

Опции темы