троян kbdmai.dll [not-a-virus:AdWare.Win32.BHO.beqy ]

Здравствуйте!
При загрузке компьютера антивирус находит троян и удаляет его.
Полное сканирование тоже что-то находит и удаляет, но всё это только до следующей загрузки системы.
OS Win 7 x64
Антивирус AVG (бесплатная версия)

Спасибо!

Уважаемый(ая) [B]ultras[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте!

У вас тут набор разной заразы ;).

- Проведите [url=http://virusinfo.info/content.php?r=290-virus-detector][b]эту[/b][/url] процедуру. Полученную ссылку после загрузки карантина [b]virusinfo_auto_имя_вашего_ПК.zip[/b] через [url=http://virusinfo.info/virusdetector/uploadform.php][b]данную форму[/b][/url] напишите в своём в сообщении здесь.



WindowsMangerProtect - деинсталируйте.

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFileF('C:\Users\Home\appdata\roaming\newsi_10\', '*.exe, *.dll, *.sys, *.bat, *.vbs', true, '', 0, 0);
QuarantineFileF('C:\Users\Home\appdata\roaming\newsi_2\', '*.exe, *.dll, *.sys, *.bat, *.vbs', true, '', 0, 0);
QuarantineFile('C:\Users\Home\AppData\Local\Yandex\browser.bat', '');
QuarantineFile('C:\shutd.cmd', '');
QuarantineFile('C:\Users\Home\appdata\roaming\newsi_10\s_inst.exe', '');
QuarantineFile('C:\Users\Home\appdata\roaming\newsi_2\s_inst.exe', '');
QuarantineFile('C:\Windows\System32\KBDMAI.dll', '');
QuarantineFile('C:\Windows\c1.exe', '');
QuarantineFile('C:\Windows\syswow64\hfpapi.dll', '');
QuarantineFile('C:\Windows\system32\ir16_32.dll', '');
QuarantineFile('C:\Windows\system32\hfpapi.dll', '');
QuarantineFile('C:\Users\Home\AppData\Roaming\Steam\Reversed\steam.exe', '');
QuarantineFile('C:\Users\Home\AppData\Roaming\Adobe\Flash Player\AFCache\googleupd.exe', '');
DeleteFile('C:\Users\Home\AppData\Local\Yandex\browser.bat', '32');
DeleteFile('C:\Users\Home\appdata\roaming\newsi_10\s_inst.exe', '32');
DeleteFile('C:\Users\Home\appdata\roaming\newsi_2\s_inst.exe', '32');
DeleteFile('C:\Windows\system32\Tasks\GoogleUpdateTaskUserS-1-5-21-1970835742GUI', '64');
DeleteFile('C:\Users\Home\AppData\Roaming\Adobe\Flash Player\AFCache\googleupd.exe', '32');
DeleteFile('C:\Windows\system32\Tasks\RegClean Pro', '64');
DeleteFile('C:\Windows\system32\Tasks\RegClean Pro_DEFAULT', '64');
DeleteFile('C:\Users\Home\AppData\Roaming\Steam\Reversed\steam.exe', '32');
DeleteFile('C:\Windows\system32\Tasks\Steam-S-1-8-22-9865GUI', '64');
DeleteFile('C:\Windows\system32\hfpapi.dll', '32');
DeleteFile('C:\Windows\system32\ir16_32.dll', '32');
DeleteFile('C:\Windows\syswow64\hfpapi.dll', '32');
DeleteFile('C:\Windows\c1.exe', '32');
DeleteFile('C:\Windows\System32\KBDMAI.dll', '32');
DeleteFileMask('C:\Users\Home\appdata\roaming\newsi_10\', '*', true);
DeleteFileMask('C:\Users\Home\appdata\roaming\newsi_2\', '*', true);
DeleteDirectory('C:\Users\Home\appdata\roaming\newsi_10\');
DeleteDirectory('C:\Users\Home\appdata\roaming\newsi_2\');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]) и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

ссылка на карантин
[url]http://virusinfo.info/virusdetector/report.php?md5=6A12A3B0B61F810F84D43335533038D8[/url]

повторные логи и отчет Adw прикрепил

Спасибо!

- [url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.


после этого сделайте свежие
[quote="regist;1208603"]- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)[/quote] дочистим что останется.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

+
- выполните такой скрипт в AVZ
[code]
begin
ClearQuarantineEx(true);
QuarantineFileF('C:\Users\Home\AppData\Roaming\Mozilla\Firefox\Profiles\evjjc0qy.default-1402913755661\extensions\{2A4702A6-63E6-46E4-BEF3-E2769B6774A0}\', '*', true, '', 0, 0);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/code]

- Файл [b][color=Red]quarantine.zip[/color][/b] из папки AVZ загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы.

adw ничего не предложил удалить
отчет прилагаю
и повторные логи

avz в этот раз не перезагрузил систему
я приаттачил карантин
но потом вспомнил, что забыл отключить антивирус и повторил процедуру
результат был таким же
но новый карантин на всякий случай перезалил

[quote="ultras;1208715"]adw ничего не предложил удалить[/quote]
вы видно в предыдущий раз удалили всё, об этом свидельствует лог AdwCleaner[S0].txt ;)


Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\Users\Home\appdata\local\google\chrome\user data\default\extensions\bdigkpjbmbdepgpkjeabfghlchdmphke\3.2_0\plg\npapihelper.dll', '');
QuarantineFile('C:\Users\Home\appdata\roaming\opera software\opera stable\extensions\bdigkpjbmbdepgpkjeabfghlchdmphke\3.2_0\plg\npapihelper.dll', '');
QuarantineFile('C:\Users\Home\AppData\Roaming\webssearches\UninstallManager.exe', '');
QuarantineFile('C:\Users\Home\AppData\Roaming\newnext.me\nengine.dll', '');
DeleteFile('C:\Users\Home\AppData\Roaming\newnext.me\nengine.dll', '32');
DeleteFile('C:\Windows\system32\Tasks\{11EDE3D6-B71B-4983-93C3-5E4028198076}', '64');
DeleteFile('C:\Users\Home\AppData\Roaming\webssearches\UninstallManager.exe', '32');
DeleteFile('C:\Users\Home\appdata\roaming\opera software\opera stable\extensions\bdigkpjbmbdepgpkjeabfghlchdmphke\3.2_0\plg\npapihelper.dll', '32');
DeleteFile('C:\Users\Home\appdata\local\google\chrome\user data\default\extensions\bdigkpjbmbdepgpkjeabfghlchdmphke\3.2_0\plg\npapihelper.dll', '32');
DeleteFileMask('C:\Users\Home\appdata\roaming\opera software\opera stable\extensions\bdigkpjbmbdepgpkjeabfghlchdmphke\', '*', true);
DeleteFileMask('C:\Users\Home\appdata\local\google\chrome\user data\default\extensions\bdigkpjbmbdepgpkjeabfghlchdmphke\3', '*', true);
DeleteDirectory('C:\Users\Home\appdata\roaming\opera software\opera stable\extensions\bdigkpjbmbdepgpkjeabfghlchdmphke\');
DeleteDirectory('C:\Users\Home\appdata\local\google\chrome\user data\default\extensions\bdigkpjbmbdepgpkjeabfghlchdmphke\3');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NextLive', 'command');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

+ отпишитесь, что с проблемой?

прошу прощения
человек, которому мы лечим компьютер, неожиданно уехал на 3 дня
(я выступаю посредником в этом процессе, потому что у него трудности в общении, по инвалидности)
как вернется, мы выполним все рекомендации и обязательно отпишемся в теме

огромное спасибо еще раз!

здравствуйте!
пострадавший только вышел на связь и мы выполнили последние рекомендации.
карантин и логи прилагаю

спасибо!

[QUOTE][B][COLOR=Navy]Внимание !!![/COLOR][/B] База поcледний раз обновлялась 06.01.2015 [B]необходимо обновить базы[/B] при помощи автоматического обновления (Файл/Обновление баз). Протокол антивирусной утилиты AVZ версии 4.43.[/QUOTE]
Пожалуйста, обновите базы и сделайте новые логи.


+
[quote="regist;1208743"]отпишитесь, что с проблемой?[/quote]

обновил базу
высылаю логи

проблема вроде не появлялась с тех пор
похоже что всё в порядке?

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\Windows\system32\ir16_32.dll', '');
DeleteFile('C:\Windows\system32\ir16_32.dll', '32');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])


Сделайте свежий лог сканирования AdwCleaner (by Xplode)

+ Скачайте [url="http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.75.0.1300.exe"]Malwarebytes' Anti-Malware[/url]. Установите (во время установки откажитесь от использования [B]бесплатного тестового периода[/B]), обновите базы ([U][COLOR="blue"]во время обновления откажитесь от загрузки и установки новой версии[/COLOR][/U]), выберите "[B]Perform Full Scan[/B]" ("[B]Полное сканирование[/B]"), нажмите "[B]Scan[/B]" ("[B]Сканирование[/B]"), после сканирования - [B]Ok - Show Results[/B] ("[B]Показать результаты[/B]") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
[B][COLOR="Red"]Самостоятельно ничего не удаляйте!!![/COLOR][/B]
Если лог не открылся, то найти его можно в следующей папке:
[CODE]%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs[/CODE] Файл требующегося лога имеет имя [U]mbam-log-[data] (time).txt[/U], например: [I]MBAM-log-2014-10-14 (12-18-10).txt[/I]
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. [url=http://data.mbamupdates.com/tools/mbam-rules.exe]Загрузить обновление [B]MBAM[/B][/URL].

Здравствуйте
скрипт выполнил
высылаю логи

1) - [url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

2) [LIST][*]Пожалуйста, запустите adwcleaner.exe[*]Нажмите [B]Uninstall[/B] ([B]Удалить[/B]).[*]Подтвердите удаление нажав кнопку: Да.[/LIST]

3) [url=http://virusinfo.info/showthread.php?t=53070&p=493584&viewfull=1#post493584]Поместите в карантин MBAM[/url] всё кроме

[CODE]E:\Games\В тылу врага 2 - Штурм\rld.dll (PUP.Hacktool.crk) -> Действие не было предпринято.
[/CODE]

4) сделайте новый лог сканирования MBAM.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]5[/B][*]Обработано файлов: [B]27[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\users\home\appdata\local\google\chrome\user data\default\extensions\bdigkpjbmbdepgpkjeabfghlchdmphke\3.2_0\plg\npapihelper.dll - [B]not-a-virus:AdWare.Win32.BHO.beqy[/B][*] c:\users\home\appdata\local\yandex\browser.bat - [B]not-a-virus:AdWare.BAT.Clicker.m[/B][*] c:\users\home\appdata\roaming\mozilla\firefox\profiles\evjjc0qy.default-1402913755661\extensions\{2a4702a6-63e6-46e4-bef3-e2769b6774a0}\plugins\npapihelper.dll - [B]not-a-virus:AdWare.Win32.BHO.beqy[/B][*] c:\users\home\appdata\roaming\newsi_10\s_inst.exe - [B]not-a-virus:AdWare.Win32.MMag.k[/B] ( DrWEB: Adware.Plugin.248, BitDefender: Adware.Generic.1036930 )[*] c:\users\home\appdata\roaming\newsi_2\s_inst.exe - [B]not-a-virus:AdWare.Win32.MMag.k[/B] ( DrWEB: Adware.Downware.4998, AVAST4: Win32:Adware-gen [Adw] )[*] c:\users\home\appdata\roaming\opera software\opera stable\extensions\bdigkpjbmbdepgpkjeabfghlchdmphke\3.2_0\plg\npapihelper.dll - [B]not-a-virus:AdWare.Win32.BHO.beqy[/B][*] c:\windows\c1.exe - [B]not-a-virus:RiskTool.Win32.BitCoinMiner.msg[/B] ( DrWEB: Tool.BtcMine.277, BitDefender: Gen:Variant.Kazy.350301 )[*] c:\windows\system32\hfpapi.dll - [B]not-a-virus:HEUR:RiskTool.Win32.NetFilter.heur[/B] ( DrWEB: Trojan.DownLoader11.19934, BitDefender: Gen:Variant.Adware.Netfilter.2 )[*] c:\windows\syswow64\hfpapi.dll - [B]not-a-virus:HEUR:RiskTool.Win32.NetFilter.heur[/B] ( DrWEB: Trojan.DownLoader11.19934, BitDefender: Gen:Variant.Adware.Netfilter.2 )[/LIST][/LIST]