Множество лишних процессов [Trojan.Win32.Inject.opsf, HEUR:Trojan.Win32.Generic ]

Printable View

22.08.2014, 00:36
AlexIneykin

Множество лишних процессов [Trojan.Win32.Inject.opsf, HEUR:Trojan.Win32.Generic ]

Множество лишних процессов, перегружающих систему
22.08.2014, 00:37
Info_bot

Уважаемый(ая) [B]AlexIneykin[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
22.08.2014, 00:59
Andrey,pro

[B]AlexIneykin[/B], здравствуйте и добро пожаловать на форум!

Запустите AVZ В меню [B]Файл--Выполнить[/B] скрипт, в окошко вставьте текст:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);

QuarantineFile('C:\Users\8523~1\AppData\Local\Temp\Adobe\Reader_sl.exe','');
QuarantineFile('C:\Users\Александр\appdata\roaming\update\msupdate.exe','');
QuarantineFile('C:\Users\8523~1\AppData\Local\Temp\bjrweywqbtf.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-411a54514\d1a15116a.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-41154514\d115116a.exe','');
QuarantineFile('C:\ProgramData\CreativeAudio\vxddmxels.exe','');

DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-41154514\d115116a.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-411a54514\d1a15116a.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','d11a16a552');
DeleteFile('C:\Users\8523~1\AppData\Local\Temp\bjrweywqbtf.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MicrosoftStCnt');
DeleteFile('C:\Users\Александр\appdata\roaming\update\msupdate.exe','32');
DeleteFile('C:\Users\8523~1\AppData\Local\Temp\Adobe\Reader_sl.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorporated');
DeleteFile('C:\ProgramData\CreativeAudio\vxddmxels.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CreativeAudio');

BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
[/CODE]И нажмите [B]Запустить[/B]. Компьютер [U]перезагрузится[/U].

После перезагрузки выполните скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end. [/CODE]
Используйте ссылку "[B]Прислать запрошенный карантин[/B]", которая находится над первым сообщением темы, чтобы прислать [B]quarantine.zip[/B].

Подготовьте новые отчеты [B]AVZ и HijackThis[/B] + подготовьте отчет [B]Malwarebytes Anti-Malware[/B] по инструкции: [URL]http://virusinfo.info/showthread.php?t=53070[/URL]
22.08.2014, 02:09
AlexIneykin

Первый лог выполняет с ошибками, при его выполнении выключал интернет, антивирус и браузер. Компьютер из за этого не вылечился. Как сделать так, чтобы лог выполнялся без ошибок?
22.08.2014, 11:04
Andrey,pro

[B]AlexIneykin[/B], какая ошибка возникает при выполнении скрипта в AVZ?
22.08.2014, 19:45
AlexIneykin

Выполнил скрипт по новой, написал "Скрипт выполнен без ошибок" и перезагрузился. Вирус никуда не исчез. Выполнил новые отчёты.
22.08.2014, 20:05
regist

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\Users\8523~1\AppData\Local\Temp\Adobe\Reader_sl.exe','');
QuarantineFile('C:\Program Files\kuaiyong2\їмУГЖ»№ыЦъКЦ.exe','');
QuarantineFile('C:\PROGRA~2\msrbwk.exe','');
DeleteFile('C:\PROGRA~2\msrbwk.exe','32');
DeleteFile('C:\Users\8523~1\AppData\Local\Temp\Adobe\Reader_sl.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','2262914343');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorporated');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU',2,2,true);
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

- сделайте свежий лог MBAM

смените все пароли, по окончанию лечения смените ещё раз.
22.08.2014, 23:46
AlexIneykin

Вирус возвращается при подключении к интернету. Вот новые логи
23.08.2014, 10:56
regist

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\Users\Александр\appdata\local\temp\adobe\reader_sl.exe','');
QuarantineFile('C:\Users\8523~1\AppData\Local\Temp\Adobe\Reader_sl.exe','');
QuarantineFile('C:\ProgramData\CreativeAudio\vxddmxels.exe','');
QuarantineFile('C:\Users\8523~1\AppData\Local\Temp\kusadtylds.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-4471715\7u3e1.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-4425671715\ej5353e1.exe','');
QuarantineFile('C:\ProgramData\CreativeAudio\iuznffnsd.exe','');
QuarantineFile('C:\Program Files\kuaiyong2\їмУГЖ»№ыЦъКЦ.exe','');
QuarantineFile('C:\PROGRA~2\msrbwk.exe','');
DeleteFile('C:\PROGRA~2\msrbwk.exe','32');
DeleteFile('C:\Program Files\kuaiyong2\їмУГЖ»№ыЦъКЦ.exe','32');
DeleteFile('C:\ProgramData\CreativeAudio\iuznffnsd.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-4425671715\ej5353e1.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-4471715\7u3e1.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Windows Update Check - 0x0E7302EC','32');
DeleteFile('C:\ProgramData\CreativeAudio\vxddmxels.exe','32');
DeleteFile('C:\Users\8523~1\AppData\Local\Temp\Adobe\Reader_sl.exe','32');
DeleteFile('c:\users\8523~1\appdata\local\temp\kusadtylds.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','2262914343');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','eej453435');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','7753435');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MicrosoftStCnt');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

[url=http://virusinfo.info/showthread.php?t=53070&p=493584&viewfull=1#post493584]Поместите в карантин МВАМ[/url] всё найденное.

- Откройте файл [url=http://df.ru/~kad/ScanVuln.txt][B]ScanVuln.txt[/B][/url]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

повторите последний комплект логов.
25.08.2014, 01:49
AlexIneykin

Уязвимости не обнаружены. Вирус возвращается
25.08.2014, 11:11
regist

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
ClearQuarantineEx(true);
QuarantineFile('C:\ProgramData\CreativeAudio\ntibcpsaq.exe','');
QuarantineFile('C:\PROGRA~2\msrbwk.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862308-114412\73dqq35q.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862308-14412\738735q.exe','');
QuarantineFile('C:\Users\8523~1\AppData\Local\Temp\Adobe\Reader_sl.exe','');
QuarantineFile('C:\Users\8523~1\AppData\Local\Temp\kusadtylds.exe','');
DeleteFile('C:\PROGRA~2\msrbwk.exe','32');
DeleteFile('C:\ProgramData\CreativeAudio\ntibcpsaq.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862308-114412\73dqq35q.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862308-14412\738735q.exe','32');
DeleteFile('C:\Users\8523~1\AppData\Local\Temp\Adobe\Reader_sl.exe','32');
DeleteFile('C:\Users\8523~1\AppData\Local\Temp\kusadtylds.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Windows Update Check - 0x0E7302EC','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862308-114412\73dqq35q.exe', '32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781862308-14412\738735q.exe', '32');
DeleteFile('C:\Users\8523~1\AppData\Local\Temp\Adobe\Reader_sl.exe', '32');
DeleteFile('C:\Users\8523~1\AppData\Local\Temp\kusadtylds.exe', '32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','2262914343');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CreativeAudio');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','70489734');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','798355');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorporated');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MicrosoftStCnt');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

- Лог MBAM нужен в текстовом формате.

[url=http://virusinfo.info/showthread.php?t=121767][b]Сделайте полный образ автозапуска uVS[/b][/url] только программу скачайте [url=https://yadi.sk/d/6A65LkI1WEuqC]отсюда[/url]
26.08.2014, 11:26
AlexIneykin

Новые логи

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Свежий лог
26.08.2014, 11:38
regist

[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS[/url] и пришлите карантин

[CODE];uVS v3.83 BETA 22 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

BREG
delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862308-1184412\73D835Q.EXE
delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781862308-11844127\773D835Q.EXE
delall %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\ROAMING\IDENTITIES\NZDADN.EXE
zoo %SystemDrive%\XXXL\КНИГИ\GEO009\НОВАЯ ПАПКА\DOWNLOADS\BOTOVOD-LITE (1)\VIKING.RUNTIME.DLL
deltmp
czoo
restart[/CODE]

сделайте новый образ автозапуска

- Сделайте свежий лог [url=http://virusinfo.info/showpost.php?p=457118&postcount=1]полного сканирования МВАМ.[/url]
Если MBAM снова найдёт эти файлы удалите (поместите в карантин).
26.08.2014, 11:48
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]45[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\programdata\creativeaudio\iuznffnsd.exe - [B]Trojan.Win32.Inject.opsf[/B] ( BitDefender: Trojan.GenericKD.1817472, AVAST4: Win32:Dropper-gen [Drp] )[*] c:\programdata\creativeaudio\vxddmxels.exe - [B]Trojan.Win32.Yakes.fpla[/B] ( BitDefender: Gen:Variant.Symmi.45314, AVAST4: Win32:Malware-gen )[*] c:\progra~2\msrbwk.exe - [B]Backdoor.Win32.Androm.ettn[/B] ( BitDefender: Trojan.GenericKD.1817762, AVAST4: Win32:Malware-gen )[*] c:\progra~2\msrbwk.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( BitDefender: Trojan.GenericKD.1820172, AVAST4: Win32:Injector-BZC [Trj] )[*] c:\users\александр\appdata\roaming\update\msupdate.exe - [B]Trojan-Downloader.Win32.Agent.heth[/B] ( BitDefender: Trojan.GenericKD.1799689, AVAST4: Win32:Inject-BJC [Trj] )[*] c:\users\8523~1\appdata\local\temp\adobe\reader_sl.exe - [B]Worm.Win32.Ngrbot.afzh[/B] ( BitDefender: Trojan.GenericKD.1767089, AVAST4: Win32:Malware-gen )[*] c:\users\8523~1\appdata\local\temp\adobe\reader_sl.exe - [B]Worm.Win32.Ngrbot.agud[/B] ( AVAST4: Win32:Malware-gen )[/LIST][/LIST]