AdAntiHS [Trojan-Downloader.Win32.Stantinko.bct ]

**Ratmand** · 15.01.2017, 22:56

Здравствуйте.
Никак не получается избавиться от AdAntiHS. После попытки его удаления при перезагрузке компа снова появляется ...AppData\Roaming\AdAnti\AdAntiHS.dll и дальше начинают появятся другие гадости.
Пожалуйста помогите избавиться от этого восстанавливающегося вируса!
+ При попытке проиграть звуковые файлы через MediaPlayer вылетает "При воспроизведении файла проигрывателем Windows Media произошла ошибка"
+ Еще, пока пытался убить AdAntiHS, Windows перестал отображать Aero и включить его не получается (серое и не нажимается).

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 15.01.2017, 22:58

Уважаемый(ая) Ratmand, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 17.01.2017, 07:15

Запустите HijackThis, находящийся в папке Autologger и пофиксите в HijackThis (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

O4 - MSConfig\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^AdAntiHS.exe - C:\Windows\pss\AdAntiHS.exe.CommonStartup (2016/10/11) (file missing)
O4 - MSConfig\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Zaxar Games Browser.lnk - C:\Windows\pss\Zaxar Games Browser.lnk.CommonStartup (2016/10/11)
O4 - MSConfig\startupfolder: C:^Users^Distoz^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^produpd.lnk - C:\Windows\pss\produpd.lnk.Startup (2016/10/11)
O4 - MSConfig\startupreg:  [7TA53U0UEO] "C:\Users\Distoz\AppData\Local\Temp\KFBDLJLT6\KFBDLJLT6.exe" (2016/11/04)
O4 - MSConfig\startupreg:  [CE4ELGREAT] "C:\Program Files (x86)\DPower\LZI5IN1R10.exe" (2016/11/04)
O4 - MSConfig\startupreg:  [EVZ3XSVYCJ] "C:\Program Files\052EEUSU8A\052EEUSU8.exe" (2016/11/04)
O4 - MSConfig\startupreg:  [FWRE8OOESH] "C:\Users\Distoz\AppData\Local\Temp\T0XGHJVG9\T0XGHJVG9.exe" (2016/11/04)
O4 - MSConfig\startupreg:  [H56ZF8K4ZO] "C:\Users\Distoz\AppData\Local\Temp\WR0XPNBEA\WR0XPNBEA.exe" (2016/11/04)
O4 - MSConfig\startupreg:  [IconRunner] "C:\Program Files (x86)\IconRunner\MoneyBot.exe" http://54.148.148.252/icon/tds.php (2016/10/11)
O4 - MSConfig\startupreg:  [TH35P820N7] "C:\Program Files\GTXZ2ICNZU\GTXZ2ICNZ.exe" (2016/11/04)
O4 - MSConfig\startupreg:  [VCO7B9C824] "C:\Users\Distoz\AppData\Local\Temp\SB478JATFY.exe" (2016/11/04)
O4 - MSConfig\startupreg:  [VGY99RX4RK] "C:\Users\Distoz\AppData\Local\Temp\F5N3RJEND\F5N3RJEND.exe" (2016/11/04)
O4 - MSConfig\startupreg:  [WINCOM2J5] "C:\Program Files (x86)\sunnyday\wincom_2J5.exe" (2016/10/11)
O4 - MSConfig\startupreg:  [WINCOM4NC] "C:\Program Files (x86)\sunnyday\wincom_4NC.exe" (2016/10/11)
O4 - MSConfig\startupreg:  [WINCOMFTG] "C:\Program Files (x86)\sunnyday\wincom_FTG.exe" (2016/10/11)
O4 - MSConfig\startupreg:  [WINCOMIEY] "C:\Program Files (x86)\sunnyday\wincom_IEY.exe" (2016/10/11)
O4 - MSConfig\startupreg:  [WINCOMKZ5] "C:\Program Files (x86)\sunnyday\wincom_KZ5.exe" (2016/10/11)
O4 - MSConfig\startupreg:  [WINCOMM58] "C:\Program Files (x86)\sunnyday\wincom_M58.exe" (2016/10/11)
O4 - MSConfig\startupreg:  [WINCOMMOQ] "C:\Program Files (x86)\sunnyday\wincom_MOQ.exe" (2016/10/11)
O4 - MSConfig\startupreg:  [WINCOMUG1] "C:\Program Files (x86)\sunnyday\wincom_UG1.exe" (2016/10/11)
O4 - MSConfig\startupreg:  [WINCOMWZX] "C:\Program Files (x86)\sunnyday\wincom_WZX.exe" (2016/10/11)
O4 - MSConfig\startupreg:  [WINCOMX12] "C:\Program Files (x86)\sunnyday\wincom_X12.exe" (2016/10/11)
O4 - MSConfig\startupreg:  [WINCOMXLZ] "C:\Program Files (x86)\sunnyday\wincom_XLZ.exe" (2016/10/11)
O4 - MSConfig\startupreg:  [hdtask] "C:\ProgramData\hdtask\hdtask.exe" (2016/11/04)
O4 - MSConfig\startupreg:  [mailruhomesearch] "C:\Users\Distoz\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe" --pr_deferred (2016/11/04)

Выполните скрипт в AVZ:

Код:

begin
 StopService('qdkukl');
 QuarantineFile('C:\ProgramData\datax\X.dll', '');
 QuarantineFile('C:\Users\Distoz\AppData\Roaming\AdAnti\AdAntiHS.dll', '');
 QuarantineFile('c:\program files (x86)\jinent\zapingdreqisserver.dll', '');
 QuarantineFile('qdkukl.sys', '');
 QuarantineFile('C:\Users\Distoz\AppData\Local\Temp\KFBDLJLT6\KFBDLJLT6.exe', '');
 QuarantineFile('C:\Users\Distoz\AppData\Local\Temp\T0XGHJVG9\T0XGHJVG9.exe', '');
 QuarantineFile('C:\Users\Distoz\AppData\Local\Temp\WR0XPNBEA\WR0XPNBEA.exe', '');
 QuarantineFile('C:\ProgramData\hdtask\hdtask.exe', '');
 QuarantineFile('C:\Users\Distoz\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe', '');
 QuarantineFile('C:\Program Files\GTXZ2ICNZU\GTXZ2ICNZ.exe', '');
 QuarantineFile('C:\Users\Distoz\AppData\Local\Temp\SB478JATFY.exe', '');
 QuarantineFile('C:\Users\Distoz\AppData\Local\Temp\F5N3RJEND\F5N3RJEND.exe', '');
 QuarantineFile('C:\Program Files (x86)\sunnyday\wincom_2J5.exe', '');
 QuarantineFile('C:\Program Files (x86)\sunnyday\wincom_4NC.exe', '');
 QuarantineFile('C:\Program Files (x86)\sunnyday\wincom_FTG.exe', '');
 QuarantineFile('C:\Program Files (x86)\sunnyday\wincom_IEY.exe', '');
 QuarantineFile('C:\Program Files (x86)\sunnyday\wincom_KZ5.exe', '');
 QuarantineFile('C:\Program Files (x86)\sunnyday\wincom_M58.exe', '');
 QuarantineFile('C:\Program Files (x86)\sunnyday\wincom_MOQ.exe', '');
 QuarantineFile('C:\Program Files (x86)\sunnyday\wincom_UG1.exe', '');
 QuarantineFile('C:\Program Files (x86)\sunnyday\wincom_WZX.exe', '');
 QuarantineFile('C:\Program Files (x86)\sunnyday\wincom_X12.exe', '');
 QuarantineFile('C:\Program Files (x86)\sunnyday\wincom_XLZ.exe', '');
 QuarantineFile('C:\ProgramData\datax\B.dll', '');
 QuarantineFile('C:\Program Files (x86)\UCBrowser\Application\update_task.exe', '');
 QuarantineFile('C:\Users\Distoz\AppData\Roaming\MyDesktop\linkme.exe', '');
 QuarantineFile('C:\Users\Distoz\AppData\Local\MailruSetup\MailruSetup.exe', '');
 QuarantineFile('C:\Users\Distoz\Desktop\[Current]GensPlusREWiND\gensrw.exe', '');
 QuarantineFile('C:\Program Files (x86)\UCBrowser\Application\5.6.14087.902\Installer\chrmstp.exe', '');
 QuarantineFile('C:\Program Files\їмс№\x86\kuaizipupdatechecker.dll', '');
 DeleteFile('C:\Windows\Tasks\UCBrowserUpdater.job', '64');
 DeleteFile('C:\Windows\Tasks\Windows desktop installer.job', '64');
 DeleteFile('C:\ProgramData\datax\X.dll', '32');
 DeleteFile('C:\Users\Distoz\AppData\Roaming\AdAnti\AdAntiHS.dll', '32');
 DeleteFile('c:\program files (x86)\jinent\zapingdreqisserver.dll', '32');
 DeleteFile('qdkukl.sys', '32');
 DeleteFile('C:\Users\Distoz\AppData\Local\Temp\KFBDLJLT6\KFBDLJLT6.exe', '32');
 DeleteFile('C:\Users\Distoz\AppData\Local\Temp\T0XGHJVG9\T0XGHJVG9.exe', '32');
 DeleteFile('C:\Users\Distoz\AppData\Local\Temp\WR0XPNBEA\WR0XPNBEA.exe', '32');
 DeleteFile('C:\ProgramData\hdtask\hdtask.exe', '32');
 DeleteFile('C:\Users\Distoz\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe', '32');
 DeleteFile('C:\Program Files\GTXZ2ICNZU\GTXZ2ICNZ.exe', '32');
 DeleteFile('C:\Users\Distoz\AppData\Local\Temp\SB478JATFY.exe', '32');
 DeleteFile('C:\Users\Distoz\AppData\Local\Temp\F5N3RJEND\F5N3RJEND.exe', '32');
 DeleteFile('C:\Program Files (x86)\sunnyday\wincom_2J5.exe', '32');
 DeleteFile('C:\Program Files (x86)\sunnyday\wincom_4NC.exe', '32');
 DeleteFile('C:\Program Files (x86)\sunnyday\wincom_FTG.exe', '32');
 DeleteFile('C:\Program Files (x86)\sunnyday\wincom_IEY.exe', '32');
 DeleteFile('C:\Program Files (x86)\sunnyday\wincom_KZ5.exe', '32');
 DeleteFile('C:\Program Files (x86)\sunnyday\wincom_M58.exe', '32');
 DeleteFile('C:\Program Files (x86)\sunnyday\wincom_MOQ.exe', '32');
 DeleteFile('C:\Program Files (x86)\sunnyday\wincom_UG1.exe', '32');
 DeleteFile('C:\Program Files (x86)\sunnyday\wincom_WZX.exe', '32');
 DeleteFile('C:\Program Files (x86)\sunnyday\wincom_X12.exe', '32');
 DeleteFile('C:\Program Files (x86)\sunnyday\wincom_XLZ.exe', '32');
 DeleteFile('C:\ProgramData\datax\B.dll', '32');
 DeleteFile('C:\Program Files (x86)\UCBrowser\Application\update_task.exe', '32');
 DeleteFile('C:\Users\Distoz\AppData\Roaming\MyDesktop\linkme.exe', '32');
 DeleteFile('C:\Users\Distoz\AppData\Local\MailruSetup\MailruSetup.exe', '32');
 DeleteFile('C:\Users\Distoz\Desktop\[Current]GensPlusREWiND\gensrw.exe', '32');
 DeleteFile('C:\Program Files (x86)\UCBrowser\Application\5.6.14087.902\Installer\chrmstp.exe', '32');
 DeleteFile('C:\Program Files\їмс№\x86\kuaizipupdatechecker.dll', '32');
 DeleteService('qdkukl');
 DeleteFileMask('c:\programdata\datax', '*', true);
 DeleteFileMask('c:\users\distoz\appdata\roaming\adanti', '*', true);
 DeleteFileMask('c:\program files (x86)\jinent', '*', true);
 DeleteFileMask('c:\programdata\hdtask', '*', true);
 DeleteFileMask('c:\users\distoz\appdata\local\mail.ru', '*', true);
 DeleteFileMask('c:\program files\gtxz2icnzu', '*', true);
 DeleteFileMask('c:\program files (x86)\sunnyday', '*', true);
 DeleteFileMask('c:\program files (x86)\ucbrowser', '*', true);
 DeleteFileMask('c:\users\distoz\appdata\roaming\mydesktop', '*', true);
 DeleteFileMask('c:\users\distoz\appdata\local\mailrusetup', '*', true);
 DeleteFileMask('c:\users\distoz\desktop\[current]gensplusrewind', '*', true);
 DeleteFileMask('c:\program files\їмс№', '*', true);
 DeleteDirectory('c:\programdata\datax');
 DeleteDirectory('c:\users\distoz\appdata\roaming\adanti');
 DeleteDirectory('c:\program files (x86)\jinent');
 DeleteDirectory('c:\programdata\hdtask');
 DeleteDirectory('c:\users\distoz\appdata\local\mail.ru');
 DeleteDirectory('c:\program files\gtxz2icnzu');
 DeleteDirectory('c:\program files (x86)\sunnyday');
 DeleteDirectory('c:\program files (x86)\ucbrowser');
 DeleteDirectory('c:\users\distoz\appdata\roaming\mydesktop');
 DeleteDirectory('c:\users\distoz\appdata\local\mailrusetup');
 DeleteDirectory('c:\users\distoz\desktop\[current]gensplusrewind');
 DeleteDirectory('c:\program files\їмс№');
 DelBHO('{6AD64584-4F41-4626-8C0E-674A90C0D338}');
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Multimedia\MailruSetup" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "UCBrowserUpdater" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{A2783CDE-E13C-4135-A18C-0BCD13568379}" /F', 0, 15000, true);
 DelCLSID('{65122CB0-EA0F-47DF-A953-017170ED12F9}');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(9);
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте новый лог Autologger.

Сделайте лог Malwarebytes AdwCleaner.

**Ratmand** · 17.01.2017, 13:09

Сделал как вы и сказали.
1)Пофиксил через HijackThis.
1.5)Перезагрузился как написано в инструкции.
2)Выполнил скрипт в AVZ
2.5)Компьютер перезагрузился.
3)quarantine.zip отправил вам через "Прислать запрошенный карантин"
4)сделал новый лог Autologger (Прикрепил к посту)
5)Сделал лог (только его, без очистки) Malwarebytes AdwCleaner. (прикрепил к посту)
В AdwCleaner картина не изменилась. Может быть выполнять скрипты нужно было в безопасном режиме? Или с отключенным интернетом?
Надеюсь на вашу помощь.

**Vvvyg** · 17.01.2017, 18:52

Синхронизация учётной записи Google Chrome включена?

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

**Ratmand** · 17.01.2017, 19:05

Сообщение от Vvvyg

Синхронизация учётной записи Google Chrome включена?

Без малейшего понятия, т.к. в системе не установлен Google Chrome. (скорее всего нет, т.к. используется браузер FireFox)

Прилагаю требуемые файлы отчётов в архиве.

Небольшая заметка: Файл ...AppData\Roaming\AdAnti\AdAntiHS.dll судя по свойствам был "изменён" конкретно при включении компьютера.

**Vvvyg** · 17.01.2017, 19:27

DNS Servers: 188.120.241.135 - 8.8.8.8

188.120.241.135 как DNS сервер сами прописывали? Знаете, что за адрес?

**Ratmand** · 17.01.2017, 19:33

Сообщение от Vvvyg

188.120.241.135 как DNS сервер сами прописывали? Знаете, что за адрес?

Хм... Нет. DNS не прописывал. Что за адрес - не знаю.
Полагаю следует изменить на 192.168.1.1 ?

**Vvvyg** · 17.01.2017, 19:42

Сообщение от Ratmand

Полагаю следует изменить на 192.168.1.1 ?

Да, сделайте это.

Затем откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
HKLM-x32\...\Run: [win_en_77] => [X]
HKLM\...\Providers\5oadvi9m: D:\Program Files\Undp\Undp6\\local64spl.dll
HKLM\...\Providers\6pci1ezf: D:\1Downloads_\local64spl.dll
HKLM\...\Providers\7f0e4vtr: D:\2Walapers_\local64spl.dll
HKLM\...\Providers\c6t1za5c: D:\Program Files\Undp\Undp5\\local64spl.dll
HKLM\...\Providers\cl5pmfku: D:\Program Files (x86)_\local64spl.dll
HKLM\...\Providers\dcpogilq: D:\2Walapers\\local64spl.dll
HKLM\...\Providers\gns6l6p8: D:\РУСИФИК\\local64spl.dll
HKLM\...\Providers\gpzayzcv: D:\РУСИФИК_\local64spl.dll
HKLM\...\Providers\hw9n8saq: D:\Program Files\Undp\Undp5_\local64spl.dll
HKLM\...\Providers\kfsveflw: D:\Program Files\Undp\Undp4\\local64spl.dll
HKLM\...\Providers\lap1uhcq: C:\\local64spl.dll
HKLM\...\Providers\ogf32msh: D:\1Downloads\\local64spl.dll
HKLM\...\Providers\ptsachc5: C:\_\local64spl.dll
HKLM\...\Providers\teog1oeo: D:\Program Files\Undp\Undp6_\local64spl.dll
HKLM\...\Providers\xr8jvmmx: D:\Program Files\Undp\Undp4_\local64spl.dll
HKLM\...\Providers\y984nl0a: D:\Program Files (x86)\\local64spl.dll
ShellExecuteHooks: No Name - {83922134-9CE0-11E6-9D68-64006A5CFC23} -  -> No File
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
ShellIconOverlayIdentifiers: [CoMyOverlayIcon] -> {EEB5E0ED-7BEF-45A3-BC38-F5574C0FE1D4} => C:\ProgramData\datax\X64.dll -> No File
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\їмС№\X64\KZipShell.dll -> No File
ShellIconOverlayIdentifiers: [KzShlobj2] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F3} =>  -> No File
ShellIconOverlayIdentifiers-x32: [CoMyOverlayIcon] -> {EEB5E0ED-7BEF-45A3-BC38-F5574C0FE1D4} => C:\ProgramData\datax\X.dll -> No File
SearchScopes: HKU\S-1-5-21-3743143392-2691447605-67123587-1000 -> {9FFEE954-DB75-492A-B1CA-BA23C9B83007} URL = hxxp://www.searchpage.com/index.php?v=d9.75.1.48&os_mj=6&os_mn=1&os_bitness=64&mid=d38470075104735a0380f6474efac3d7&uid=C7F84907A1F457BF69648983135E4159&aid=4020&aid2=none&ts=1477754704&ts2=&f=oJKf752nbc76&keywords={searchTerms}
SearchScopes: HKU\S-1-5-21-3743143392-2691447605-67123587-1000 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = 
BHO: BHOAssist -> {6AD64584-4F41-4626-8C0E-674A90C0D338} -> C:\ProgramData\datax\B64.dll => No File
Toolbar: HKU\S-1-5-21-3743143392-2691447605-67123587-1000 -> No Name - {B12785F5-D8D0-4530-A3EA-5C4263B85BEF} -  No File
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\79w7vzkq.default -> luck
FF SearchEngineOrder.1: Mozilla\Firefox\Profiles\79w7vzkq.default -> luck
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\79w7vzkq.default -> luck
FF Keyword.URL: Mozilla\Firefox\Profiles\79w7vzkq.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B01A0146D-4AEA-4560-83FD-8B6408C4A76A%7D&gp=789455
FF SearchPlugin: C:\Users\Distoz\AppData\Roaming\Mozilla\Firefox\Profiles\79w7vzkq.default\searchplugins\luck.xml [2016-12-27]
FF SearchPlugin: C:\Users\Distoz\AppData\Roaming\Mozilla\Firefox\Profiles\79w7vzkq.default\searchplugins\uthvkzv5.xml [2016-11-02]
FF Extension: (FF Adr) - C:\Users\Distoz\AppData\Roaming\Firefox\Firefox\Profiles\79w7vzkq.default\Extensions\@H99KV4DO-UCCF-9PFO-9ZLK-8RRP4FVOKD9O.xpi [2016-11-11] [not signed]
FF SearchPlugin: C:\Users\Distoz\AppData\Roaming\Firefox\Firefox\Profiles\79w7vzkq.default\searchplugins\amisites.xml [2016-11-11]
FF SearchPlugin: C:\Users\Distoz\AppData\Roaming\Firefox\Firefox\Profiles\79w7vzkq.default\searchplugins\gs65z1aq.xml [2016-09-20]
FF SearchPlugin: C:\Users\Distoz\AppData\Roaming\Firefox\Firefox\Profiles\79w7vzkq.default\searchplugins\mailru.xml [2016-09-19]
FF SearchPlugin: C:\Users\Distoz\AppData\Roaming\Firefox\Firefox\Profiles\79w7vzkq.default\searchplugins\searchinme.xml [2016-10-08]
FF SearchPlugin: C:\Users\Distoz\AppData\Roaming\Firefox\Firefox\Profiles\79w7vzkq.default\searchplugins\uthvkzv5.xml [2016-11-02]
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [clnaanfmjbkkkgkoeblihgbmcgekacpc] - C:\Users\Distoz\AppData\Local\Temp\clnaanfmjbkkkgkoeblihgbmcgekacpc.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
OPR Extension: (No Name) - C:\Users\Distoz\AppData\Roaming\Opera Software\Opera Stable\Extensions\gohcbcdgeolhcoaieahgkdhklhlciimk [2017-01-15]
OPR Extension: (The Safe Surfing) - C:\Users\Distoz\AppData\Roaming\Opera Software\Opera Stable\Extensions\kcknbenjnkkjknphmnidanjifbgphjke [2016-09-29]
S2 BerlletherserleServer; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
S2 BerlletherserleServer; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
S2 Coalerly; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
S2 Coalerly; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
R1 QEJWIM; C:\Windows\System32\Drivers\QEJWIM.sys [364688 2008-12-09] (Windows (R) Win 7 DDK provider)
U0 aswVmm; no ImagePath
2017-01-17 12:49 - 2016-10-29 18:32 - 00000000 ____D C:\Program Files (x86)\Jinent
2017-01-17 12:49 - 2016-09-19 17:24 - 00000000 ____D C:\Users\Все пользователи\datax
2017-01-17 12:49 - 2016-09-19 17:24 - 00000000 ____D C:\ProgramData\datax
2017-01-17 12:48 - 2016-10-09 18:32 - 00000000 ____D C:\Program Files\їмС№
2017-01-15 18:10 - 2016-09-19 17:24 - 00000093 _____ C:\Users\Distoz\AppData\LocalLow\ext.ini
2016-09-20 18:27 - 2016-09-20 18:27 - 7158784 _____ () C:\Users\Distoz\AppData\Roaming\agent.dat
2016-09-20 18:27 - 2016-09-20 18:27 - 0054272 _____ () C:\Users\Distoz\AppData\Roaming\ApplicationHosting.dat
2016-09-20 18:27 - 2016-09-20 18:27 - 0070704 _____ () C:\Users\Distoz\AppData\Roaming\Config.xml
2016-09-20 18:26 - 2016-09-20 18:26 - 0021264 _____ () C:\Users\Distoz\AppData\Roaming\InstallationConfiguration.xml
2016-09-20 18:26 - 2016-09-20 18:26 - 0140288 _____ () C:\Users\Distoz\AppData\Roaming\Installer.dat
2016-09-20 18:27 - 2016-09-20 18:27 - 0126464 _____ () C:\Users\Distoz\AppData\Roaming\lobby.dat
2016-09-20 18:27 - 2016-09-20 18:27 - 0005568 _____ () C:\Users\Distoz\AppData\Roaming\md.xml
2016-09-20 18:27 - 2016-09-20 18:27 - 0126464 _____ () C:\Users\Distoz\AppData\Roaming\noah.dat
2016-09-20 18:27 - 2016-09-20 18:26 - 2148864 _____ () C:\Users\Distoz\AppData\Roaming\Sanit.exe
2016-09-20 18:27 - 2016-09-20 18:27 - 0072705 _____ () C:\Users\Distoz\AppData\Roaming\Sanit.tst
2016-09-20 18:27 - 2016-09-20 18:26 - 2148864 _____ () C:\Users\Distoz\AppData\Roaming\Top-Dex.exe
2016-09-20 18:27 - 2016-09-20 18:27 - 1920029 _____ () C:\Users\Distoz\AppData\Roaming\Top-Dex.tst
2016-09-20 18:29 - 2016-09-20 18:29 - 0001150 _____ () C:\Users\Distoz\AppData\Roaming\uninstall_temp.ico
2016-09-19 17:24 - 2016-09-19 17:24 - 0013902 _____ () C:\Users\Distoz\AppData\Local\modern-install.ico
2016-08-10 23:00 - 2016-08-10 23:00 - 0000016 _____ () C:\ProgramData\mntemp
Task: {0EE563C6-C485-4761-874C-BB32DDD317CD} - \83e152111fd6b517f518a125eb81ca37 -> No File <==== ATTENTION
Task: {4E51C189-35D1-499B-BACB-4EFA146753D2} - \Jujasy Core -> No File <==== ATTENTION
Task: {9E42FA91-518C-408F-BD03-E89D4DA077DE} - \Microsoft\Windows\Multimedia\ProShopper -> No File <==== ATTENTION
Task: {B2855D51-791A-4554-A3A3-C68C1375C8D9} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-12-18] (AVAST Software)
CMD: ipconfig /flushdns
EmptyTemp:
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой.

**Ratmand** · 17.01.2017, 19:59

Скрипт выполнен. Прилагаю Fixlog.txt .

Сообщение от Vvvyg

Сообщите, что с проблемой.

Ну...
После перезагрузки:
-DNS не изменился.
-Файл ...AppData\Roaming\AdAnti\AdAntiHS.dll на месте
---
-При попытке удалить его с помощью Malwarebytes AdwCleaner он появляется снова. + 2 ключа в реестре (всё в точности как в приложенных скриншотах в первом сообщении).

П.С. Скорее всего эта зараза на пораженном компьютере уже давно (больше 3-х месяцев).

**Vvvyg** · 17.01.2017, 20:36

Удалите этот файл, он уже отсутствует в автозагрузке.

Выполните скрипт в AVZ:

Код:

begin
ExecuteRepair(21);
ExecuteFile('ipconfig.exe', '/flushdns', 0, 15000, true);
ExecuteWizard('SCU',2,2,true);
RebootWindows(false);
end.

Сообщите результат.

**Ratmand** · 17.01.2017, 20:43

Папка с файлом удаляется. Однако спустя примерно 15 секунд она создаётся автоматически снова. (Заметил момент появления)
После этого как папка, так и сам файл становятся недоступны для удаления.
---UPD---
Удалил только файл AdAntiHS.dll
Прошло 2 минуты но файл не восстанавливается
---UPD---
Перезагрузил компьютер с удалённым dll но с нетронутой папкой AdAnti.
Спустя примерно 40 секунд файл AdAntiHS.dll снова появился. При этом удалить его не выходит.
---UPD---
Перезагрузил компьютер с нетронутой папкой AdAnti и файлом AdAntiHS.dll.
Спустя 2 минуты файл не поддаётся удалению.
Перезагрузил компьютер. Быстро удалил только AdAntiHS.dll . Спустя минуту AdAntiHS.dll снова появился.
---UPD---
В диспетчере задач заметил, что появление файла AdAntiHS.dll совпадает с появлением процессов "rundll32.exe" и "rundll32.exe *32"
"rundll32.exe" расположен в C:\Windows\System32
"rundll32.exe *32" расположен в C:\Windows\SysWOW64

**Vvvyg** · 17.01.2017, 21:11

Интересно...
Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

**Ratmand** · 17.01.2017, 21:32

Скачал программу Universal Virus Sniffer и сделал полный образ автозапуска uVS.
Прилагаю составленный файл отчёта. (надеюсь всё правильно, т.к. пункты программы немного отличаются от тех, что на скриншоте в инструкции).

**Vvvyg** · 17.01.2017, 22:21

Надеюсь, сейчас добьём.

Выполните скрипт в uVS:

Код:

;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
OFFSGNSAVE
cexec tools\CreateRestorePoint.exe BeforeCure
; C:\WINDOWS\SYSTEM32\DRIVERS\QFIYGN.SYS
zoo %Sys32%\DRIVERS\QFIYGN.SYS
addsgn BA6F9BB219E18E3E801D46249B37ED4CAE5AB57D40B29CBCAD2ABB39AA29BD8093A7C6573E559D492B80849F08AA4CFA7D3FEA7255DAB02C2D77A42FC7062273 28 variant of Win64/Adware.AdAnti.A [ESET]

; C:\WINDOWS\SYSTEM32\DRIVERS\QDKUKL.SYS
zoo %Sys32%\DRIVERS\QDKUKL.SYS
; C:\WINDOWS\SYSWOW64\IHCTRL32.DLL
zoo %SystemRoot%\SYSWOW64\IHCTRL32.DLL
addsgn 79132211B9E9317E0AA1AB5997A11205DAFFF47DC4EA942D892B2942AF292811E11BC3EFAE749E59E82124E445061F9069816DB220DD082C2F77A4C4C13DE40E 14 TrojanDownloader.Stantinko.Related1

;------------------------autoscript---------------------------

chklst
delvir

deldir %SystemDrive%\USERS\DISTOZ\APPDATA\ROAMING\ADANTI
;-------------------------------------------------------------

delref HTTPS://MAIL.RU/CNT/11956636?RCIGUC__PARAM__
delref %Sys32%\IHCTRL32.DLL
delref %Sys32%\WSAUDIO.DLL
delref %SystemDrive%\USERS\DISTOZ\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\STARTMENU\MOZILLA FIREFOX.LNK
delref %SystemDrive%\PROGRAM FILES\ЇМС№\X64\KZIPSHELL.DLL
delref %SystemDrive%\PROGRAMDATA\DATAX\B.DLL
delref %SystemDrive%\PROGRAMDATA\DATAX\B64.DLL
delref %SystemDrive%\PROGRAMDATA\DATAX\X.DLL
delref %SystemDrive%\PROGRAMDATA\DATAX\X64.DLL
czoo
restart

Компьютер перезагрузится.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Удалите Java(TM) 8 Update 51, это устаревшая версия со множеством критических уязвимостей.
Если Java вообще нужна для каких- либо приложений, игр (и Вы точно знаете, для каких именно) - установите Java 8 Update 111.

Сообщите, что с проблемой.

**Ratmand** · 17.01.2017, 22:32

Во время выполнения скрипта появилось окно "Удаление службы" с просьбой удалить ссылку. Всё подтверждать?

П.С: у вас ссылка "Выполните скрипт в uVS:" ведет в пустоту.

---UPD---
Подтвердил. 2-е просьбы.

полученный ZOO_ отправил через ""Прислать запрошенный карантин"".

AdAntiHS.Dll всё равно появляется... Однако теперь его можно удалить даже после появления. Попробую перезагрузить и посмотреть, восстановиться ли он.
---UPD---
После перезагрузки файл и папка восстанавливаются во время появления "rundll32.exe" и "rundll32.exe *32" в диспетчере задач. Пока они там, удалить папку с файлом нельзя. Однако спустя некоторое время "rundll32.exe" и "rundll32.exe *32" исчезают из Диспетчера задач. И после этого файл и папку можно удалить. После этого Вроде как ни папка ни файл не создаются. (по крайней мере 5 минут без них).
---UPD---
Добавил лог выполнения скрипта. Сейчас буду делать "полный образ автозапуска uVS" (Прошу прощения, что забыл про него)

**Vvvyg** · 17.01.2017, 22:55

Прикрепите лог выполнения скрипта, как я просил.

Сделайте полный образ автозапуска uVS, загрузите на облачное хранилище или файлообменник, например, rghost.ru, и дайте ссылку в теме.

**Ratmand** · 17.01.2017, 23:12

Прикрепляю забытый мною лог (Так же добавил в предыдущее сообщение)

полный образ автозапуска uVS

П.С: За всё это время после удаления файл не восстановился.
Java удалена.

**Vvvyg** · 17.01.2017, 23:20

Надо ещё один зловредный драйвер дочистить, выполните такой скрипт в UVS:

Код:

;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
cexec tools\CreateRestorePoint.exe BeforeCure
OFFSGNSAVE
; C:\WINDOWS\SYSTEM32\DRIVERS\QGHYEO.SYS
addsgn BA6F9BB219E18E3E801D46249B37ED4CAE5AB57D40B29CBCAD2ABB39AA29BD8093A7C6573E559D492B80849F08AA4CFA7D3FEA7255DAB02C2D77A42FC7062273 28 variant of Win64/Adware.AdAnti.A [ESET]

;------------------------autoscript---------------------------

sreg

chklst
delvir

delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\UNINSTALER_SKIPUAC.EXE

areg
;-------------------------------------------------------------

И свежий лог выполнения скрипта прикрепите.

**Ratmand** · 18.01.2017, 04:02

Прикрепляю свежий лог выполнения скрипта.
Вот теперь, после выполнения скрипта, ни "rundll32.exe" и "rundll32.exe *32" в диспетчере не появляются после загрузки компа, ни AdAntiHS.dll не создаётся. Как же эта штука глубоко залезла то. Ужас.
---UPD---
Странно, DNS в какой-то момент сменился на 8.8.8.8 без моего ведома... Вернул 192.168.1.1 . Послежу изменится ли снова или нет.

- - - - -Добавлено - - - - -

После всевозможных длительных манипуляций никаких следов вируса и смены DNS обнаружено не было.
Огромное спасибо за помощь! Закинул немного на киви, дабы хоть как нибудь отблагодарить.
Еще раз спасибо!

AdAntiHS [Trojan-Downloader.Win32.Stantinko.bct ] (заявка № 208137)

Опции темы