AdAntiHS.exe

Здравствуйте.
Предыстория - Win7 x86, KIS2013, скачали и запустили какой-то exe-самораспаковщик с якобы нужной книгой, он что-то рапаковал, KIS заверещал и написал "борьба с активным заражением". Какое-то время он что-то пытался удалить, параллельно установился и запустился какой-то китайский USBrowser с иероглифами.
Каспер предложил перезагрузиться, после загрузки ничего не изменилось - левый браузер на месте, все яростно тормозит, каспер не может начать проверку.
Благо второй системой стоит Win_XP, загрузился в нее, скачал [B][URL="http://www.freedrweb.com/cureit/"]CureIt![/URL] [/B]и запустил оттуда проверку. Нашло много всего. Загружаюсь в
Win7 - вроде все ок. Браузера нет, тормозов нет. Правда стало появляться окно с ошибкой файла подкачки:

[ATTACH=CONFIG]643131[/ATTACH]


Проверил каспером полной проверкой, все ок, угроз нет. После пары перезагрузок система вдруг стала очень долго загружаться - перед окном приветствия минут по мять черного экрана с курсором.
Опять из под Win_XP той же утилитой проверяю - находит два дубля одного файла [B]AdAntiHS.exe[/B] в разных местах:

[B]K:\Users\user\AppData\Roaming\AdAnti
K:\Documents and Settings\user\AppData\Roaming\AdAnti[/B]

Удаляет, захожу в семерку нормально, вроде все хорошо, но через одну-две минуты на тех же самых местах появляются те же самые файлы (это я уже опытным путем выяснил).
Скачиваю Live-CD с Вэбом, гружусь с него и полночи тотальной проверки. Вроде что-то нашел, много левого (типа кейгенам к старым прогам, которые лежат у меня уже лет пять).
Гружу Win7 и все опять по кругу. Каспер в упор не видит эти AdAnti.
Снес каспера поставил Аваст, опять полная проверка перед загрузкой на всю ночь, тоже что-то находит, но загружаемся и файлы на месте:

[ATTACH=CONFIG]643132[/ATTACH]


Убираю Аваст, ставлю ДрВэб с триалом на три месяца. Также проверка тотальная на ночь, но по окончании я увидел темный экран с курсором, перезагрузка резетом. В логе всего три записи - два Adantihs и один почищенный файл host. Хост был дописан мною также лет пять назад (там добавлены серверы проверки лицензий ФШ и т.п.). Он не при делах был. Т.к. и с чистым хостом все точно так же - после перезагрузки файлы восстанавливаются.

С Вэбом дальше так, после тотальной проверки и и загрузки он выдал такое предупреждение:

[ATTACH=CONFIG]643133[/ATTACH]


Ок, создали правило. Теперь такое больше не вылезает. Но продолжается следующее- перезагружаемся, проходит пара минут, доктор обнаруживает заразу и предлагает лечить с перезагрузкой:

[ATTACH=CONFIG]643134[/ATTACH]

И так по кругу - загружаемся, находит adantish, удаляет, перезагружаемся и опять по кругу.
Позже стало так - грузим винду, файлы появляются (поиском по диску сразу нахожу), а Dr.Web молчит. Когда ему их выделяешь (или разделы указываешь) он да, угроза, лечим/перезагружаем. А сам почему-то перестал находить.
После перезагрузки - дубликаты AdAntisHS.exe на своих местах, Вэб молчит. И так можно бесконечно делать.

Подскажите, пожалуйста, как избавиться от сей гадости?

Если что, этот самый AdAntiHS.exe лежит в архиве, могу предоставить.

Уважаемый(ая) [B]userr09[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('RTDKDXAZ');
QuarantineFileF('K:\Users\user\AppData\Roaming\AdAnti', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*', true, '', 0 , 0);
QuarantineFile('K:\Windows\system32\Drivers\RTDKDXAZ.sys', '');
QuarantineFile('K:\Users\user\AppData\Local\Hostinstaller\3696233432_monster.exe', '');
DeleteFile('K:\Windows\system32\Drivers\RTDKDXAZ.sys', '32');
DeleteFile('K:\Users\user\AppData\Local\Hostinstaller\3696233432_monster.exe', '32');
DeleteService('RTDKDXAZ');
DeleteFileMask('k:\users\user\appdata\local\hostinstaller', '*', true);
DeleteFileMask('K:\Users\user\AppData\Roaming\AdAnti', '*', true);
DeleteDirectory('k:\users\user\appdata\local\hostinstaller');
DeleteDirectory('K:\Users\user\AppData\Roaming\AdAnti');
ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

[url=http://virusinfo.info/showthread.php?t=121767]Сделайте полный образ автозапуска uVS[/url].

Карантин отправил. Образ автозапуска в аттаче.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Во, щас вроде пропало и с системного диска и из реестра. Уже несколько раз перезагрузился. Все чисто.

Что перед этим было. Выполнив скрипт, комп перезагрузился. Пока готовил отправку папки с карантином, Др.Вэб снова показал окно об безвреживании угроз с перезагрузкой. Отправив карантин, перезагрузился.
Зашел в реестр и снес две ветки с упоминанием AdAntiHS (они всегда в одном месте появлялись). Проверил системный диск поиском - нашлось лишь две пустых папки из-под AdAntiHS. Удалил и их. Перезагрузился. Еще раз проверил - все, нет ни AdAntiHS, ни его папок. В реестре тоже стало чисто.
Несколько раз перезагрузился, пока все по прежнему - больше AdAntiHS не появляется ни в системном разделе, ни в реестре.
Буду смотреть дальше.

Пока есть зараза.

[B][COLOR="#FF0000"]Отключите до перезагрузки антивирус.[/COLOR][/B]
[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url][code];uVS v3.87.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
OFFSGNSAVE
; K:\USERS\USER\APPDATA\ROAMING\ADANTI\ADANTIHS.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\ADANTI\ADANTIHS.EXE
addsgn A7679BF0AA02C4354BD4C62752881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CCE3F9FE82BD6D750816D775BACCAE28F33 8 Trojan.Click3.22139 [DrWeb]
cexec tools\CreateRestorePoint.exe BeforeCure
;------------------------autoscript---------------------------

chklst
delvir

delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ADANTIHS.EXE
deldir K:\USERS\USER\APPDATA\ROAMING\ADANTI
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\CCFIFBOJENKENPKMNBNNDEADPFDIFFOF\11.0.26_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\OELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ\7.0.30_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU
;-------------------------------------------------------------
deltmp
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\PINNACLE\STUDIO 14\PROGRAMS\BLUESHELLEXT.DLL
delref {280CFDE1-1354-4431-92F3-03073BA593FB}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {B1883831-F0D8-4453-8245-EEAAD866DD6E}\[CLSID]
delref {DD230880-495A-11D1-B064-008048EC2FC5}\[CLSID]
delref {DB83BC37-4AC3-49D9-B397-2E46D166B6D0}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\JAVA\JRE1.8.0_51\BIN\JP2IEXP.DLL
czoo
restart[/code]Компьютер перезагрузится.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Вот что пишет при попытке запуска скрипта:

[IMG]http://i84.fastpic.ru/big/2016/1005/06/bf5ebe12300913cc5817df51188afd06.jpg[/IMG]

Скачайте отсюда [URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL] и выполните в нём.

В папке uVS после выполнения скрипта и перезагрузки, архива ZIP с именем, начинающимся с ZOO_ не появилось. Есть лишь пустая папка с именем ZOO. Лог в аттаче.

Значит, Dr. Web таки добил.

Решена проблема?

Видимо да. Уже всяко-разно перегружался, потыкал проги, что есть - все чисто.

Спасибо Вам огромное за помощь! Тем более такую оперативную и профессиональную. :good:
Благодарю! )

Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]