Adobe dtm switch 1.0 [Trojan.Win32.Agent.idxa, Trojan-Dropper.Win32.Agent.olpl ]

Printable View

10.01.2015, 19:51
Bogdan TSAR

Adobe dtm switch 1.0 [Trojan.Win32.Agent.idxa, Trojan-Dropper.Win32.Agent.olpl ]

Adobe dtm switch баннеры во всех браузерах. Помогите.
10.01.2015, 19:52
Info_bot

Уважаемый(ая) [B]Bogdan TSAR[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
10.01.2015, 20:07
mike 1

[url]http://virusinfo.info/pravila.html[/url]
10.01.2015, 20:37
Bogdan TSAR

Вложений: 3

Вот.
10.01.2015, 21:18
mike 1

[B][COLOR="#FF0000"]Внимание![/COLOR][/B] Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе [url=http://virusinfo.info/forumdisplay.php?f=46]Лечение компьютерных вирусов[/url] и выполните [url=http://virusinfo.info/content.php?r=136-pravila]Правила оформления запроса о помощи[/url].

Здравствуйте!

Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].

[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):

[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\Users\ADMIN\appdata\local\systemdir\setsearchm.exe','');
QuarantineFile('C:\Users\ADMIN\AppData\Local\Microsoft\Windows\system.exe','');
QuarantineFile('C:\Users\ADMIN\AppData\Local\SystemDir\nethost.exe','');
DeleteFile('C:\Windows\system32\Tasks\nethost task','64');
DeleteFile('C:\Windows\system32\Tasks\SystemScript','64');
DeleteFile('C:\Users\ADMIN\AppData\Local\Microsoft\Windows\system.exe','32');
DeleteFile('C:\Users\ADMIN\appdata\local\systemdir\nethost.exe','32');
DeleteFile('C:\Users\ADMIN\appdata\local\systemdir\setsearchm.exe','32');
DeleteFileMask('C:\Users\ADMIN\AppData\Local\SystemDir', '*', true, ' ');
DeleteDirectory('C:\Users\ADMIN\AppData\Local\SystemDir');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

[/CODE]

[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы

[URL="http://virusinfo.info/showthread.php?t=165835"]Пофиксите[/URL] следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

[CODE]
R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)
O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=7c3254ff9fe68ff7a7c7e72e1746b479&text=

[/CODE]

Ваш прокси?

[QUOTE]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 107.150.224.29:3128
[/QUOTE]

Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://www.dropbox.com/s/fv5udu0pse3a82g/FRST_canned.png?dl=1[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что под окном [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].[*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
[img]https://www.dropbox.com/s/bw0sjh213n7646i/FRST.png?dl=1[/img]

[LIST=1][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk]CheckBrowserLnk[/url] и сохраните архив с утилитой на [b]Рабочем столе[/b][*]Распакуйте архив с утилитой в отдельную папку[*]Запустите [b]checkbrowserlnk.exe[/b][INDENT][SIZE="1"][B]Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [b]Windows XP[/b] так и есть. В [b]Windows Vista[/b] и [b]Windows 7[/b] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [b]Запуск от имени Администратора[/b], при необходимости укажите пароль администратора и нажмите [b]Да[/b][/SIZE][/INDENT][*]После окончания работы программы на рабочем столе будет сохранен отчет [b]CheckBrowserLnk.log[/b][*]Прикрепите этот отчет в вашей теме.[/LIST]
10.01.2015, 22:41
Bogdan TSAR

Вложений: 5

Вроде все сделал, прокси вроде не мой.

Архив с карантином скинул на другой хостинг ибо он слишком большой.
11.01.2015, 01:33
mike 1

Карантин загружайте по красной ссылке вверху темы.

[list][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на рабочем столе.[*]Распакуйте архив с утилитой в отдельную папку.[*]Перенесите [B]Check_Browsers_LNK.log[/B] на ClearLNK как показано на рисунке

[img]http://dragokas.com/tools/move.gif[/img]
[*]Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке [b]LOG[/b].[*]Прикрепите этот отчет к своему следующему сообщению.[/list]

[list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
HKU\S-1-5-21-3217528790-3326211290-456025325-1000\...\RunOnce: [GoSearchRemoveAppchrome] => C:\Users\ADMIN\AppData\Local\Temp\NET6BC~1.EXE [2606560 2015-01-09] () <===== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-3217528790-3326211290-456025325-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
ProxyServer: [S-1-5-21-3217528790-3326211290-456025325-1000] => 107.150.224.29:3128
SearchScopes: HKU\S-1-5-21-3217528790-3326211290-456025325-1000 -> DefaultScope {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = http://go-search.ru/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-3217528790-3326211290-456025325-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=7c3254ff9fe68ff7a7c7e72e1746b479&text={searchTerms}
SearchScopes: HKU\S-1-5-21-3217528790-3326211290-456025325-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=7c3254ff9fe68ff7a7c7e72e1746b479&text=
SearchScopes: HKU\S-1-5-21-3217528790-3326211290-456025325-1000 -> {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = http://go-search.ru/search?q={searchTerms}
FF DefaultSearchEngine: GoSearch
FF SelectedSearchEngine: GoSearch
FF SearchPlugin: C:\Users\ADMIN\AppData\Roaming\Mozilla\Firefox\Profiles\rw715ax3.default\searchplugins\GoSearch.xml
FF Extension: Info Enhancer for Firefox - C:\Users\ADMIN\AppData\Roaming\Mozilla\Firefox\Profiles\rw715ax3.default\Extensions\[email protected] [2014-11-11]
FF Extension: Adobe Flash Player - C:\Users\ADMIN\AppData\Roaming\Mozilla\Firefox\Profiles\rw715ax3.default\Extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24782}.xpi [2015-01-09]
CHR Extension: (Info Enhancer for Chrome) - C:\Users\ADMIN\AppData\Local\Google\Chrome\User Data\Default\Extensions\dldcbakcjliccckkmfjcblhciilpdcil [2014-11-11]
CHR HKLM-x32\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] - No Path
CHR HKLM-x32\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - No Path
CHR HKLM-x32\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - No Path
CHR HKLM-x32\...\Chrome\Extension: [pganlglbhgfjfgopijbhemcpbehjnpia] - No Path
2015-01-09 22:14 - 2015-01-09 22:14 - 00000000 ____D () C:\Users\ADMIN\AppData\Local\Поиcк в Интeрнете
Task: {C37B82D3-09B6-4010-ABE1-A56B78AB78D4} - \SystemScript No Task File <==== ATTENTION
Task: {E661BBF8-C1D9-4F96-AC68-B36FD8909AF6} - \nethost task No Task File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:D8999815
AlternateDataStreams: C:\Users\Все пользователи\TEMP:D8999815
EmptyTemp:
Reboot:
[/code][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
11.01.2015, 02:11
Bogdan TSAR

Вложений: 2

Все, вроде реклама убралась, спасибо.
11.01.2015, 02:34
mike 1

[LIST=1][*]Скачайте [url=https://toolslib.net/downloads/finish/2/]DelFix[/url] и сохраните утилиту на [b]Рабочем столе[/b][*]Запустите [b]DelFix[/b][INDENT][SIZE="1"][B]Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [b]Windows XP[/b] так и есть. В [b]Windows Vista[/b] и [b]Windows 7[/b] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [b]Запуск от имени Администратора[/b], при необходимости укажите пароль администратора и нажмите [b]Да[/b][/SIZE][/INDENT][*]В открывшемся окне программы поставьте галочки напротив пунктов [B]Remove desinfection tools[/B] и [B]Create registry backup[/B][*]Нажмите на кнопку [B]Run[/B][*]После окончания работы программы автоматически откроется блокнот с отчетом [B]delfix.txt[/B][*]Прикрепите этот отчет в вашей теме.[/LIST]

[LIST][*]Загрузите [B]SecurityCheck by glax24[/B] [URL="http://virusinfo.info/soft/tool.php?tool=SecurityCheck"]отсюда[/URL] и сохраните утилиту на [I]Рабочем столе[/I][*]Запустите двойным щелчком мыши (если Вы используете [I]Windows XP[/I]) или из меню по щелчку правой кнопки мыши [I]Запустить от имени администратора[/I] (если Вы используете [I]Windows Vista/7[/I])[*]Если увидите [U]предупреждение от вашего фаервола[/U] относительно программы SecurityCheck, не блокируйте ее работу.[*]Дождитесь окончания сканирования, откроется лог в блокноте с именем [B]SecurityCheck.txt[/B];[*]Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем [I]SecurityCheck[/I], например [I][COLOR="Blue"]C:\SecurityCheck\SecurityCheck.txt[/COLOR][/I][*][/LIST]
11.01.2015, 13:07
Bogdan TSAR

Вложений: 2

Вот.
11.01.2015, 15:55
mike 1

Internet Explorer 8.0.7601.17514 [color=red][b]Внимание! [url=http://windows.microsoft.com/ru-ru/internet-explorer/ie-11-worldwide-languages]Скачать обновления[/url][/b][/color]
[color=red][b]Контроль учётных записей пользователя отключен[/b][/color]
[color=blue][b]^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^[/b][/color]
Запрос на повышение прав для администраторов [color=red][b]отключен[/b][/color]

Java 7 Update 71 (64-bit) v.7.0.710 [color=red][b]Внимание! [url=http://www.oracle.com/technetwork/java/javase/downloads/1880261]Скачать обновления[/url][/b][/color]
[color=blue][b]^Скачайте jre-7u72-windows-x64.exe^[/b][/color]
Java SE Development Kit 7 Update 71 (64-bit) v.1.7.0.710 [color=red][b]Внимание! [url=http://www.oracle.com/technetwork/java/javase/downloads/jdk7-downloads-1880260.html]Скачать обновления[/url][/b][/color]
[color=blue][b]^Удалите старую версию и установите новую (jdk-7u72-windows-x64.exe)^[/b][/color]
Java 7 Update 67 v.7.0.670 [color=red][b]Внимание! [url=http://www.oracle.com/technetwork/java/javase/downloads/1880261]Скачать обновления[/url][/b][/color]
[color=blue][b]^Скачайте jre-7u72-windows-i586.exe^[/b][/color]
Java(TM) SE Runtime Environment 6 Update 1 v.1.6.0.10
Java Auto Updater v.2.1.67.1
Visual Studio Extensions for Windows Library for JavaScript v.2.1.30723.00
-------------AdobeProduction----------------------
Adobe Flash Player 14 ActiveX v.14.0.0.145 [color=red][b]Внимание! [url=http://download.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_16_active_x.exe]Скачать обновления[/url][/b][/color]
Adobe Flash Player 15 Plugin v.15.0.0.239 [color=red][b]Внимание! [url=http://download.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_16_plugin.exe]Скачать обновления[/url][/b][/color]

[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]
11.01.2015, 16:05
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\users\admin\appdata\local\systemdir\nethost.exe - [B]Trojan-Dropper.Win32.Agent.olpl[/B] ( DrWEB: Trojan.DownLoader11.55611, AVAST4: Win32:Dropper-gen [Drp] )[*] c:\users\admin\appdata\local\systemdir\setsearchm.exe - [B]Trojan.Win32.Agent.idxa[/B][/LIST][/LIST]