С браузерами что-то не так [Trojan.MSIL.Agent.fedb ]

Заметил сейчас, что начальная страница браузера Mozilla Firefox изменена без моего участия, и как я понял в реестре. Также открылся сайт, но его заблокировал Adguard что-то там с баблом. Логи прилагаю.

Уважаемый(ая) [B]Yuri2510[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Windows\fullhd.exe','');
QuarantineFile('C:\Windows\wsm.lnk','');
DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32');
DeleteFile('C:\Users\User\AppData\Local\Yandex\browser.bat','32');
DeleteFile('C:\Windows\fullhd.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\linux','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ipadlo','command');
DeleteFile('C:\iexplore.bat','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Сделайте [url="http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk"]такой лог[/url]

Еще такой вопрос. После включения ноута, справа снизу на стрелку нажимаешь там потом флажок будет, который сделан для решения проблем, так вот нажимаю на него и написано Включить службу обеспечения безопасности Windiws (важное), я нажимаю и потом так же просит включить антивирус Аваст, но он включен. Мне кажется, что так не должно быть. Логи возможно не прикрепились, потому что раньше влезало окно, а сейчас новая вкладка и неудобная.

1) - Проведите [url=http://virusinfo.info/content.php?r=290-virus-detector][b]эту[/b][/url] процедуру. Полученную ссылку после загрузки карантина [b]virusinfo_auto_имя_вашего_ПК.zip[/b] через [url=http://virusinfo.info/virusdetector/uploadform.php][b]данную форму[/b][/url] напишите в своём в сообщении здесь.


2) Выполните скрипт в AVZ

[CODE]
begin
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk','');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Яндекс\Элементы Яндекса\Страница Элементов Яндекса для Internet Explorer.lnk','');
QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk','');
QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk','');
QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex.lnk','');
QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk','');
QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk','');
QuarantineFile('C:\Program Files (x86)\Google\chrome.bat','');
QuarantineFile('C:\ProgramData\help.bat','');
QuarantineFile('C:\iexplore.bat','');
QuarantineFile('C:\Users\User\AppData\Local\Yandex\browser.bat','');
DeleteFile('C:\Program Files (x86)\Google\chrome.bat','');
DeleteFile('C:\ProgramData\help.bat','');
DeleteFile('C:\iexplore.bat','');
DeleteFile('C:\Users\User\AppData\Local\Yandex\browser.bat','');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.[/CODE]

- Файл [b][color=Red]quarantine.zip[/color][/b] из папки AVZ загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы.

- Исправьте с помощью [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиты ClearLNK[/url] следующие ярлыки:

[CODE]C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk [C:\Program Files (x86)\Google\chrome.bat "http://helper365.ru" (File not found)]
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\Яндекс\Элементы Яндекса\Страница Элементов Яндекса для Internet Explorer.lnk [C:\ProgramData\help.bat "http://helper365.ru" (File not found)]
C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk [C:\Program Files (x86)\Google\chrome.bat "http://helper365.ru" (File not found)]
C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk [C:\iexplore.bat "http://helper365.ru" (File not found)]
C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex.lnk [C:\Users\User\AppData\Local\Yandex\browser.bat "http://helper365.ru" (File not found)]
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk [C:\iexplore.bat "http://helper365.ru" (File not found)]
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk [C:\Users\User\AppData\Local\Yandex\browser.bat "http://helper365.ru" (File not found)]
C:\Users\Все пользователи\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk [C:\Program Files (x86)\Google\chrome.bat "http://helper365.ru" (File not found)]
C:\Users\Все пользователи\Microsoft\Windows\Start Menu\Programs\Яндекс\Элементы Яндекса\Страница Элементов Яндекса для Internet Explorer.lnk [C:\ProgramData\help.bat "http://helper365.ru" (File not found)]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk [C:\Program Files (x86)\Google\chrome.bat "http://helper365.ru" (File not found)]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Яндекс\Элементы Яндекса\Страница Элементов Яндекса для Internet Explorer.lnk [C:\ProgramData\help.bat "http://helper365.ru" (File not found)][/CODE]

отчёт о работе прикрепите.

В авз скрипт сделал, в лнк тоже сделал, но скрипт 8 я немного позже сделаю, компьютер занят

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

MD5 карантина: 8A9D1E8D223F52F942787D461E4C49F5
http://virusinfo.info/virusdetector/report.php?md5=8A9D1E8D223F52F942787D461E4C49F5

[quote="regist;1170291"]отчёт о работе прикрепите.[/quote]
где отчёт ClearLNK ?

от него нет отчетов

Рядом с утилитой в паке лог должен был создаться отчёт.
И что с проблемой?

Все, понял))

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

В браузере мозила стартовая страница mygames . com . ua хотя должна быть стартовая Яндекса. Вручную в настройках браузера ставил, но все равно поменялось.

[url=http://virusinfo.info/showthread.php?t=121767][b]Сделайте полный образ автозапуска uVS[/b][/url] только программу скачайте [url=https://yadi.sk/d/6A65LkI1WEuqC]отсюда[/url]

Вот

[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS[/url]

[CODE];uVS v3.83.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v383c
BREG
del %SystemDrive%\WOTLAUNCHER.BAT
del %SystemDrive%\LAUNCHER.BAT
regt 1
regt 2
regt 28
regt 29
restart[/CODE]

сделайте новый образ автозапуска

что с проблемой?

Сейчас образ делается. Зашел в мозилу, поменял еще раз стартовую страницу и теперь нормально работает. Там базовая была типа relinker и что-то там дальше. Но меня все же смущает, что меня просит включить аваст, я заскринил пару моментов, увидите. Я так понял /nogui это типо выключить защиту. Во вложения не помещается.
[url]https://yadi.sk/i/2Btp4KVdbvNB6[/url]
[url]https://yadi.sk/i/Gq-_V0kkbvN9s[/url]
[url]https://yadi.sk/i/t85OabGGbvNBW[/url]

Аваст переустановите.

проблема решена?

Только что включил яндекс браузер и высветилось сообщение от Aggurd'a что заблокирован фишинговый сайт

а в яндексе стартовую страницу исправили? Если да, то пробуйте ещё отключить расширения браузеров.

Да вроде нет ничего такого, стартовая нормальная, расширения я сам ставил

Всё равно пробуйте все отключить и проверьте проблему.

Сейчас не вылазит пока

Включайте по одному расширению и смотрите из-за какого проблема. Название проблемного напишите здесь.

Нет, все таки вылазит. Попробую расширения поотключать

Оно не всегда вылазит. Даже бзе расширений. Допустим я играю в игру какую-нибудь, ну там часа 2, потом выключаю игру и сразу включаю браузер, и вот выскакивает сообщение.

список расширений всё равно напишите.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

+ [URL="http://www.opera-usb.com/ru/"]скачайте отсюда Оперу[/URL] и проверьте проблему в ней.

аваст онлайн секьюрити, вебмани адвисор, едит зис куки, эдгард, веб оф траст, блокировка флеш-баннеров и видео, яндесю.погода почта пробки, Поиск самых дешевых товаров, Подсказка самой низкой цены, отложенный просмотр, синхронизация и резервное копирование, менеджер паролей и автозаполнение форм, сохранение информации в евернот, турбо, комфортный просмотр видео, скриншоты. Вот и все. Сам я ставил аваст, вебмани, куки, wot, adguard, лайтшот и комфортный просмотр видео.

[quote="Yuri2510;1173112"], Поиск самых дешевых товаров, Подсказка самой низкой цены,[/quote]
удалите эти, если не поможет, то отключите все остальные и проверьте, что с проблемой?

Они встроены и я не могу их удалить. Все расширения отключены

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

может вам еще какие логи сделать?

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Вот что вылазит https://yadi.sk/i/Bnd3WDIZc3JSw

[quote="Yuri2510;1173224"]Они встроены и я не могу их удалить. Все расширения отключены[/quote]
куда встроены? Попробуйте удалить браузер с удалением профиля.

+ [URL="http://www.opera-usb.com/ru/"]скачайте отсюда Оперу[/URL] и проверьте проблему в ней.

В диспетчере задач опять увидел те же процессы, что и в моей первой теме: [URL]http://virusinfo.info/showthread.php?t=167671#post1166441[/URL]
Я выгрузил процессы перед проверкой хайджеком, надо было наверное после проверки.

[quote="regist;1173277"]куда встроены? Попробуйте удалить браузер с удалением профиля.

+ скачайте отсюда Оперу и проверьте проблему в ней.[/quote]
не ответили на эти вопросы.

[COLOR="#FF0000"]virusinfo_autoquarantine.zip[/COLOR] загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы.

+ [url=http://virusinfo.info/showthread.php?t=121767][b]Сделайте полный образ автозапуска uVS[/b][/url] только программу скачайте [url=https://yadi.sk/d/6A65LkI1WEuqC]отсюда[/url]

Встроены в сам браузер.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Сейчас уже не наблюдается эта реклама, но возможно из-за того что закончилась лицензия на Adguard. В опере замечено не было.

какой у вас браузер?

+ ещё раз повторю
[quote="regist;1173277"]Попробуйте удалить браузер с удалением профиля.

+ скачайте отсюда Оперу и проверьте проблему в ней.[/quote]

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

[quote="Yuri2510;1176138"]В опере замечено не было.[/quote]
значит проблема в расширениях - удаляйте отключайте их.

Проблема решена?

Сейчас уже не наблюдается эта реклама, но возможно из-за того что закончилась лицензия на Adguard. В опере замечено не было. Браузер Яндекс. Уже удалял через юнинстал тул, и заного установил.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Я заметил что процесс WmiPrvSE.exe нагружает процессор на 20%. Когда я позавершал процессы, которые трояны(хостменеджер32, сусконфиг, офискомпилер и т.д.), то уже не нагружает. Там вроде есть в образе автозапуска ювс эти проги. И причем я даже не знаю как они на комп попали.

[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS[/url] и пришлите карантин

[CODE];uVS v3.84 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v384c
BREG
zoo %SystemDrive%\PROGRAMDATA\HOST32MANAGER\HOST32MANAGER.EXE
bl 4613D7C5AB2129AE88F69C8D904BF732 24576
delall %SystemDrive%\PROGRAMDATA\HOST32MANAGER\HOST32MANAGER.EXE
zoo %SystemDrive%\USERS\DEFAULT\APPDATA\LOCAL\MICROSOFT\WINDOWS\OFFICECOMPILER\OFFICECOMPILER.EXE
delall %SystemDrive%\USERS\DEFAULT\APPDATA\LOCAL\MICROSOFT\WINDOWS\OFFICECOMPILER\OFFICECOMPILER.EXE
zoo %SystemDrive%\USERS\DEFAULT\APPDATA\ROAMING\MICROSOFT\WINDOWS\MICROSOAP FILE MANAGER\MICROSOAPFILEMANAGER.EXE
delall %SystemDrive%\USERS\DEFAULT\APPDATA\ROAMING\MICROSOFT\WINDOWS\MICROSOAP FILE MANAGER\MICROSOAPFILEMANAGER.EXE
zoo %SystemDrive%\USERS\DEFAULT\APPDATA\ROAMING\MICROSOFT\WINDOWS\LOADMNGE32\LOADMNGE32.EXE
delall %SystemDrive%\USERS\DEFAULT\APPDATA\ROAMING\MICROSOFT\WINDOWS\LOADMNGE32\LOADMNGE32.EXE
zoo %SystemDrive%\USERS\DEFAULT\APPDATA\LOCAL\MICROSOFT\WINDOWS\DEFAULT SETTINGS PROTECTOR\DSP.EXE
delall %SystemDrive%\USERS\DEFAULT\APPDATA\LOCAL\MICROSOFT\WINDOWS\DEFAULT SETTINGS PROTECTOR\DSP.EXE
zoo %SystemDrive%\PROGRAMDATA\DISK ANALYSIS\DISKANALYSIS.EXE
delall %SystemDrive%\PROGRAMDATA\DISK ANALYSIS\DISKANALYSIS.EXE
zoo %SystemDrive%\PROGRAMDATA\FIREWALL INTEGRITY CHECKER\FIREWALLINTEGRITYCHECKER.EXE
delall %SystemDrive%\PROGRAMDATA\FIREWALL INTEGRITY CHECKER\FIREWALLINTEGRITYCHECKER.EXE
czoo
restart[/CODE]

сделайте новый образ автозапуска.

+ Скачайте [url="http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.75.0.1300.exe"]Malwarebytes' Anti-Malware[/url]. Установите (во время установки откажитесь от использования [B]бесплатного тестового периода[/B]), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "[B]Perform Full Scan[/B]" ("[B]Полное сканирование[/B]"), нажмите "[B]Scan[/B]" ("[B]Сканирование[/B]"), после сканирования - [B]Ok - Show Results[/B] ("[B]Показать результаты[/B]") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
[B][COLOR="Red"]Самостоятельно ничего не удаляйте!!![/COLOR][/B]
Если лог не открылся, то найти его можно в следующей папке:
[CODE]%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs[/CODE] Файл требующегося лога имеет имя [U]mbam-log-[data] (time).txt[/U], например: [I]MBAM-log-2014-10-14 (12-18-10).txt[/I]
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. [url=http://data.mbamupdates.com/tools/mbam-rules.exe]Загрузить обновление [B]MBAM[/B][/URL].

Ошибка скрипта [url]https://yadi.sk/i/kd3tja4Zc9siJ[/url]

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Лог мбам

Попройте выполнить [URL="http://rghost.ru/58624166"]скрипт uVS из файла.[/URL]
потом пришлите карантин и свежий образ.

[CODE]C:\Program Files (x86)\SmarThru 4\GwHH.exe
C:\Program Files (x86)\WarThunder\Screenshots\DarkComet Rat v.5.3.1\DarkComet Rat v.5.3.1.exe [/CODE]
проверьте на [url]https://www.virustotal.com/[/url]

Из файла тоже самое [url]https://yadi.sk/i/kmdcgwOYcApfD[/url]

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

GwHH.exe https://www.virustotal.com/ru/file/4d3aeac9edb00cb3307ca0aa7a48140117059514ff9c08167975b07a84f58fd1/analysis/1413868743/
DarkComet Rat v.5.3.1.exe https://www.virustotal.com/ru/file/21ca06b18698d14154a45822aaae1e3837d168cc7630bcd3ec3d8c68aaa959e6/analysis/1413868824/

[quote="Yuri2510;1176664"]Из файла тоже самое[/quote]
вы копируете или открываете файл через uVS ? Надо открывать файл, в скрипте ошибок нет и он отрабатывает, только что скачал по ссылке и проверил.

Ссылки на VT битые.
ЗЫ. и скачайте uVS заново, ваша версия уже устарела.

Да, я из uVS запускал

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Открываю файл

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Щас новую скачаю

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Я в ювс нажал на проверить скрипт и показало что ошибка в 3 строке

[quote="Yuri2510;1176735"]Щас новую скачаю[/quote]
ждём.