AdAntiHS.exe

[userr09]

Здравствуйте.
Предыстория - Win7 x86, KIS2013, скачали и запустили какой-то exe-самораспаковщик с якобы нужной книгой, он что-то рапаковал, KIS заверещал и написал "борьба с активным заражением". Какое-то время он что-то пытался удалить, параллельно установился и запустился какой-то китайский USBrowser с иероглифами.
Каспер предложил перезагрузиться, после загрузки ничего не изменилось - левый браузер на месте, все яростно тормозит, каспер не может начать проверку.
Благо второй системой стоит Win_XP, загрузился в нее, скачал CureIt! и запустил оттуда проверку. Нашло много всего. Загружаюсь в
Win7 - вроде все ок. Браузера нет, тормозов нет. Правда стало появляться окно с ошибкой файла подкачки:

c1d04f93d898c2fe08e1bdd30ebeb4d9.jpg


Проверил каспером полной проверкой, все ок, угроз нет. После пары перезагрузок система вдруг стала очень долго загружаться - перед окном приветствия минут по мять черного экрана с курсором.
Опять из под Win_XP той же утилитой проверяю - находит два дубля одного файла AdAntiHS.exe в разных местах:

K:\Users\user\AppData\Roaming\AdAnti
K:\Documents and Settings\user\AppData\Roaming\AdAnti

Удаляет, захожу в семерку нормально, вроде все хорошо, но через одну-две минуты на тех же самых местах появляются те же самые файлы (это я уже опытным путем выяснил).
Скачиваю Live-CD с Вэбом, гружусь с него и полночи тотальной проверки. Вроде что-то нашел, много левого (типа кейгенам к старым прогам, которые лежат у меня уже лет пять).
Гружу Win7 и все опять по кругу. Каспер в упор не видит эти AdAnti.
Снес каспера поставил Аваст, опять полная проверка перед загрузкой на всю ночь, тоже что-то находит, но загружаемся и файлы на месте:

5d2c29fa75bc40191c2e45b2264856ac.jpg


Убираю Аваст, ставлю ДрВэб с триалом на три месяца. Также проверка тотальная на ночь, но по окончании я увидел темный экран с курсором, перезагрузка резетом. В логе всего три записи - два Adantihs и один почищенный файл host. Хост был дописан мною также лет пять назад (там добавлены серверы проверки лицензий ФШ и т.п.). Он не при делах был. Т.к. и с чистым хостом все точно так же - после перезагрузки файлы восстанавливаются.

С Вэбом дальше так, после тотальной проверки и и загрузки он выдал такое предупреждение:

f900214169f336cb621fc624a1a72bf1.jpg


Ок, создали правило. Теперь такое больше не вылезает. Но продолжается следующее- перезагружаемся, проходит пара минут, доктор обнаруживает заразу и предлагает лечить с перезагрузкой:

091e55f9654486c361217f7b49b63cf6.jpg

И так по кругу - загружаемся, находит adantish, удаляет, перезагружаемся и опять по кругу.
Позже стало так - грузим винду, файлы появляются (поиском по диску сразу нахожу), а Dr.Web молчит. Когда ему их выделяешь (или разделы указываешь) он да, угроза, лечим/перезагружаем. А сам почему-то перестал находить.
После перезагрузки - дубликаты AdAntisHS.exe на своих местах, Вэб молчит. И так можно бесконечно делать.

Подскажите, пожалуйста, как избавиться от сей гадости?

Если что, этот самый AdAntiHS.exe лежит в архиве, могу предоставить.

[Info_bot]

Уважаемый(ая) userr09, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 StopService('RTDKDXAZ');
 QuarantineFileF('K:\Users\user\AppData\Roaming\AdAnti', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*', true, '', 0 , 0);
 QuarantineFile('K:\Windows\system32\Drivers\RTDKDXAZ.sys', '');
 QuarantineFile('K:\Users\user\AppData\Local\Hostinstaller\3696233432_monster.exe', '');
 DeleteFile('K:\Windows\system32\Drivers\RTDKDXAZ.sys', '32');
 DeleteFile('K:\Users\user\AppData\Local\Hostinstaller\3696233432_monster.exe', '32');
 DeleteService('RTDKDXAZ');
 DeleteFileMask('k:\users\user\appdata\local\hostinstaller', '*', true);
 DeleteFileMask('K:\Users\user\AppData\Roaming\AdAnti', '*', true);
 DeleteDirectory('k:\users\user\appdata\local\hostinstaller');
 DeleteDirectory('K:\Users\user\AppData\Roaming\AdAnti');
 ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте полный образ автозапуска uVS.

[userr09]

Карантин отправил. Образ автозапуска в аттаче.

- - - - -Добавлено - - - - -

Во, щас вроде пропало и с системного диска и из реестра. Уже несколько раз перезагрузился. Все чисто.

Что перед этим было. Выполнив скрипт, комп перезагрузился. Пока готовил отправку папки с карантином, Др.Вэб снова показал окно об безвреживании угроз с перезагрузкой. Отправив карантин, перезагрузился.
Зашел в реестр и снес две ветки с упоминанием AdAntiHS (они всегда в одном месте появлялись). Проверил системный диск поиском - нашлось лишь две пустых папки из-под AdAntiHS. Удалил и их. Перезагрузился. Еще раз проверил - все, нет ни AdAntiHS, ни его папок. В реестре тоже стало чисто.
Несколько раз перезагрузился, пока все по прежнему - больше AdAntiHS не появляется ни в системном разделе, ни в реестре.
Буду смотреть дальше.

[Vvvyg]

Пока есть зараза.

Отключите до перезагрузки антивирус.
Выполните скрипт в uVS:

Код:

;uVS v3.87.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
OFFSGNSAVE
; K:\USERS\USER\APPDATA\ROAMING\ADANTI\ADANTIHS.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\ADANTI\ADANTIHS.EXE
addsgn A7679BF0AA02C4354BD4C62752881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CCE3F9FE82BD6D750816D775BACCAE28F33 8 Trojan.Click3.22139 [DrWeb]
cexec tools\CreateRestorePoint.exe BeforeCure
;------------------------autoscript---------------------------

chklst
delvir

delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ADANTIHS.EXE
deldir K:\USERS\USER\APPDATA\ROAMING\ADANTI
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\CCFIFBOJENKENPKMNBNNDEADPFDIFFOF\11.0.26_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\OELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ\7.0.30_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU
;-------------------------------------------------------------
deltmp
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\PINNACLE\STUDIO 14\PROGRAMS\BLUESHELLEXT.DLL
delref {280CFDE1-1354-4431-92F3-03073BA593FB}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {B1883831-F0D8-4453-8245-EEAAD866DD6E}\[CLSID]
delref {DD230880-495A-11D1-B064-008048EC2FC5}\[CLSID]
delref {DB83BC37-4AC3-49D9-B397-2E46D166B6D0}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\JAVA\JRE1.8.0_51\BIN\JP2IEXP.DLL
czoo
restart

Компьютер перезагрузится.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

[userr09]

Вот что пишет при попытке запуска скрипта:

[Vvvyg]

Скачайте отсюда Universal Virus Sniffer и выполните в нём.

[userr09]

В папке uVS после выполнения скрипта и перезагрузки, архива ZIP с именем, начинающимся с ZOO_ не появилось. Есть лишь пустая папка с именем ZOO. Лог в аттаче.

[Vvvyg]

Значит, Dr. Web таки добил.

Решена проблема?

[userr09]

Видимо да. Уже всяко-разно перегружался, потыкал проги, что есть - все чисто.

Спасибо Вам огромное за помощь! Тем более такую оперативную и профессиональную.
Благодарю! )

[Vvvyg]

Выполните рекомендации после лечения.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 6
• В ходе лечения вредоносные программы в карантинах не обнаружены