Восстановление после массированной атаки вредоносного ПО

10 февраля мой пк подвергся массированной атаке вредоносного ПО, преимущественно китайского, после запуска некоего дистрибутива. Видимую активность вроде устранил (в том числе запретил запуск неизвестных программ в Касперском), но осталось много неприятных следов. В контекстном меню остались графы с иероглифами от удаленного ПО. Некоторые службы имеют автозапуск по тригеру с входом с сетевой учетной записи (?), некоторые с запуском вручную, но с активацией запуска ( -k netsvcs). Не припоминаю ранее подобного. В сертификатах IE присутствует подозрительный (по моему мнению) сертификат Root Agency (целостность сертификата не гарантирована, возможно поврежден или изменен), который нельзя удалить.

На данный момент Касперский и ДрВеб_утилита не обнаруживают ничего.
Система 64бит, поэтому лога только два.

Уважаемый(ая) [B]tam_odin[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Peskov\AppData\Roaming\Micron\mtop.exe','');
QuarantineFile('C:\Users\Peskov\AppData\Local\Hostinstaller\2096723329_monster.exe','');
QuarantineFile('C:\Program Files\SpaceSoundPro\idscservice.exe','');
SetServiceStart('TAOAccelerator', 4);
SetServiceStart('TAOKernelDriver', 4);
DeleteService('TS888x64');
DeleteService('TAOKernelDriver');
DeleteService('TAOAccelerator');
DeleteService('huzeqyhuzbt');
DeleteFile('C:\Windows\system32\Drivers\TAOAccelerator64.sys','32');
DeleteFile('C:\Windows\System32\Drivers\TAOKernel64.sys','32');
DeleteFile('C:\Program Files (x86)\00000000-1455108788-0000-0000-448A5B265DAA\knso4CA0.tmp','32');
DeleteFile('C:\Program Files (x86)\ppt\ppt.exe','32');
DeleteFile('C:\Program Files (x86)\ppt\Uninst.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','pcmgr');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','apphide');
DeleteFile('C:\Program Files\SpaceSoundPro\idscservice.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','IDSCPRODUCT');
DeleteFile('C:\Users\Peskov\AppData\Local\PPTAssist\notify.exe','32');
DeleteFile('C:\Users\Peskov\AppData\Local\PPTAssist\assistupdate.exe','32');
DeleteFile('C:\Windows\Tasks\PPTAssistantUpdateTask_Peskov.job','32');
DeleteFile('C:\Windows\Tasks\PPTAssistantNotifyTask_Peskov.job','32');
DeleteFile('C:\Windows\system32\Tasks\PPTAssistantNotifyTask_Peskov','64');
DeleteFile('C:\Windows\system32\Tasks\PPTAssistantUpdateTask_Peskov','64');
DeleteFile('C:\Users\Peskov\AppData\Local\Hostinstaller\2096723329_monster.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Soft installer','64');
DeleteFile('C:\Users\Peskov\AppData\Roaming\Micron\mtop.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Windows Media Sharing','64');
DeleteFile('C:\Windows\system32\Tasks\{71922F60-9CAD-4A8A-B96F-57F909D1F438}','64');
DeleteFile('C:\Windows\system32\Tasks\{F78A1D7B-01F1-4405-8324-59D6EB4602AC}','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] в Вашей теме.

[B][COLOR="Red"]Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи[/COLOR][/B]

я создавал только одно задание планировщика "E:\robocopy foto.bat"

Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]

Готово

Удалите в МВАМ все, кроме[CODE]PUP.Optional.OpenCandy, C:\Users\Peskov\AppData\Roaming\BitTorrent\updates\7.9.3_40209.exe, , [f6a3dd83f6a344f2acca669f4ab67a86],
PUP.Optional.OpenCandy, C:\Users\Peskov\Downloads\BitTorrent.exe, , [b1e88ed223763ff74b2b8c79c63ab050],
RiskWare.FilePatcher, C:\Program Files\Sony\Vegas Pro 13.0\vegas.pro.13.0.(64-bit)-patch.exe, , [fc9df56b1f7a3204abc4ec8d7e83e020],
Trojan.Agent, E:\3D Cad\SW\SolidWorks Corp\SolidWorks Explorer\SolidWorks Explorer 2010\swexplorer2pdmworks_crk.exe, , [4c4d0c54e2b73afcd777848a3fc33ec2],
Trojan.Agent, E:\3D Cad\SW\SW2010_SP0.0\sw2k10sp0.0_cracks.rar, , [3a5f8bd54f4a0d29eb63a16d917147b9],
HackTool.Agent, E:\3D Cad\Компас\KOMPAS-3D_V12\KOMPAS-3D_V12SP1_antiHASP_v1.1.exe, , [f3a6d38d9bfe56e01a49bc4ad12f9769],
HackTool.Agent, E:\3D Cad\Компас\KOMPAS-3D_V12\KOMPAS-3D_V12SP1_antiHASP_v1.1.rar, , [1e7bef71e4b541f5184bc24434cce21e],
HackTool.Agent, E:\3D Cad\Компас\KOMPAS-3D_V12\KOMPAS_3D_V12_antiHASP_v1.0.exe, , [9bfe62fe9ffa5dd9ff648c7abe4229d7],
HackTool.Agent, E:\3D Cad\Компас\KOMPAS-3D_V12\KOMPAS_3D_V12_antiHASP_v1.0.rar, , [72277ce474252c0a164d9c6acc347987],
RiskWare.Tool.HCK, E:\Foto\adobe lightroom\Adobe Photoshop Lightroom CC 2015 v6.1 Final Ml_Rus\Universal Adobe Patcher v1.5 by PainteR\adobe.snr.patch-painter.exe, , [a8f1362af2a7ae8852faa073837e649c],
RiskWare.FilePatcher, E:\Foto\adobe lightroom\Sony_Vegas_Pro_13.0_Build_310\Patch KHG\vegas.pro.13.0.(64-bit)-patch.exe, , [425781df3c5d79bd79f65d1ce21fd62a],
RiskWare.Tool.HCK, E:\Foto\adobe lightroom\Sony_Vegas_Pro_13.0_Build_310\Sony.Products.Multikeygen.v2.5.Keygen.and.Patch.Only-DI\Keygen.exe, , [3b5ec799386103334679d828ff0248b8],
PUP.Optional.DownloadHelper, E:\OneDrive\microsoft-office-2010-sp1-vl-rus-eng-x86-x64-aio\microsoft-office-2010-sp1-vl-rus-eng-x86-x64-aio.exe, , [7524baa6debb3303ae7149a0e71afe02],
PUP.Optional.IntroKeygen, E:\soft\Lightroom\CORE10k.EXE, , [63361947d2c757df52944279ef154cb4],
Trojan.Agent.Generic, E:\soft\FL\Celemony\Melodyne Plugin v1.0.3.3\[k]\Keygen.exe, , [564362fe1f7a1125636c97cb837e05fb],
Trojan.Agent.Generic, E:\soft\FL\Celemony\Melodyne Studio v3.2.2.2\[k]\Keygen.exe, , [efaa0060b1e846f0d7f870f2719030d0],
RiskWare.Tool.HCK, E:\soft\FL\Image-Line FL Studio Producer Edition 12.2 Build 3 Incl.Keygen\R2R\ImageLine_Keygen.exe, , [1f7a8dd3fb9e8caac758e9e00df4ae52],
RiskWare.Tool.HCK, G:\foto\adobe lightroom\Adobe Photoshop Lightroom CC 2015 v6.1 Final Ml_Rus\Universal Adobe Patcher v1.5 by PainteR\adobe.snr.patch-painter.exe, , [a0f9da86fd9c63d3202ce92a7a87a45c],
RiskWare.FilePatcher, G:\foto\adobe lightroom\Sony_Vegas_Pro_13.0_Build_310\Patch KHG\vegas.pro.13.0.(64-bit)-patch.exe, , [1e7b66faeaaf7bbb313ec1b8ba4734cc],
RiskWare.Tool.HCK, G:\foto\adobe lightroom\Sony_Vegas_Pro_13.0_Build_310\Sony.Products.Multikeygen.v2.5.Keygen.and.Patch.Only-DI\Keygen.exe, , [b9e03f21fd9c78be7b4405fbd9285ea2],
Trojan.PasswordStealer.GM, G:\games\Watch_Dogs\bin\3dmGameDll.dll, , [73261e42b6e3b6800f06a1b0aa58a45c],
Trojan.PasswordStealer.GM, G:\shareman\Watch Dogs Gold Edition v1.5 (2014-RUS) [L]\Crack\bin\3dmGameDll.dll, , [a8f1d888019870c68a8b173aa85a48b8],
[/CODE]

Удалил

Проблема не решена. Осталось по, которое не фиксится хайджеком и сидит в службах винды.

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Полученные в пп. 4 и 5 логи заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.

Еще в IE на домашней странице hao123. Сброс настроек IE и изменение начальной страницы на другую не помогает. При сбросе начальная страница сначала меняется на msn, а потом опять на hao123

1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy-x32: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-3311952691-1992784576-3884842476-1001\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> C:\Program Files (x86)\IObit\IObit Uninstaller\UninstallExplorer64.dll => No File
FF HKLM\...\Firefox\Extensions: [jid1-n5ARdBzHkUEdAA@jetpack] - C:\Users\Peskov\AppData\Roaming\Mozilla\Extensions\jid1-n5ARdBzHkUEdAA@jetpack
FF Extension: SuperMegaBest.com - C:\Users\Peskov\AppData\Roaming\Mozilla\Extensions\jid1-n5ARdBzHkUEdAA@jetpack [2015-05-06] [not signed]
FF HKLM-x32\...\Firefox\Extensions: [jid1-n5ARdBzHkUEdAA@jetpack] - C:\Users\Peskov\AppData\Roaming\Mozilla\Extensions\jid1-n5ARdBzHkUEdAA@jetpack
CHR HKLM-x32\...\Chrome\Extension: [aeembeejekghkopiabadonpmfpigojok] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - hxxps://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho
CHR HKLM-x32\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm] - hxxps://clients2.google.com/service/update2/crx
OPR Extension: (Anti-obscene) - C:\Users\Peskov\AppData\Roaming\Opera Software\Opera Stable\Extensions\dojgfgknadakhfnaogaipdbdamepeffe [2016-02-16]
2016-02-10 16:51 - 2016-02-13 21:20 - 00000000 ____D C:\Users\Peskov\AppData\Roaming\Micron
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service"
Task: {A7893F5D-EFE3-412D-9FAC-993D9FC3CF9B} - \Обновление Браузера Яндекс -> No File <==== ATTENTION
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении!
[list][*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]

готово

Что теперь с проблемой?

Вот

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]