NOD блокирует 2 неизвестных адреса [Backdoor.Win32.Agent.dlmu ]

[COLOR=#333333]Здравствуйте. Несколько дней всплывает окошко с блокировкой по адресу: [/COLOR]
[COLOR=#333333]IP 188.165.146.90 и [/COLOR][COLOR=#333333]wsslupdate.org IP 188.165.146.86


[/COLOR]

Уважаемый(ая) [B]Oronchik[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
SetServiceStart('BDMWrench_x64', 4);
DeleteService('BDMWrench_x64');
DeleteService('BDKVRTP');
QuarantineFile('C:\Users\Александр\AppData\Local\Microsoft\Windows\toolbar.exe','');
QuarantineFile('C:\Users\Александр\AppData\Roaming\JBYUOXF.exe','');
QuarantineFile('C:\Users\Александр\AppData\Roaming\IAHPKQU.exe','');
QuarantineFile('C:\Program Files (x86)\HDQ-1.2cV05.12\9a644297-092a-4e6a-842a-cd4ac7dfe985-5.exe','');
QuarantineFile('C:\Program Files (x86)\HDQ-1.2cV05.12\9a644297-092a-4e6a-842a-cd4ac7dfe985-4.exe','');
QuarantineFile('C:\Program Files (x86)\HDQ-1.2cV05.12\9a644297-092a-4e6a-842a-cd4ac7dfe985-3.exe','');
QuarantineFile('C:\Program Files (x86)\HDQ-1.2cV05.12\9a644297-092a-4e6a-842a-cd4ac7dfe985-2.exe','');
QuarantineFile('C:\Program Files (x86)\HDQ-1.2cV05.12\9a644297-092a-4e6a-842a-cd4ac7dfe985-11.exe','');
QuarantineFile('C:\Program Files (x86)\HDQ-1.2cV05.12\HDQ-1.2cV05.12-codedownloader.exe','');
QuarantineFile('C:\Program Files (x86)\HDQ-1.2cV05.12\81056097-9e19-416b-8e0f-f9f559abee26.exe','');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2}');
QuarantineFile('C:\Users\Александр\AppData\Local\Microsoft\Internet Explorer\Extensions\APIHelper.dll','');
QuarantineFile('C:\Users\Александр\AppData\Roaming\Browsers\exe.emorhc.bat','');
DeleteFile('C:\Users\Александр\AppData\Local\Amigo\Application\amigo.exe','32');
DeleteFile('C:\Users\Александр\AppData\Local\Amigo\Application\ok.exe','32');
DeleteFile('C:\Users\Александр\AppData\Local\Amigo\Application\vk.exe','32');
DeleteFile('C:\Users\Александр\AppData\Roaming\Browsers\exe.emorhc.bat','32');
DeleteFile('C:\Users\Александр\AppData\Local\Microsoft\Internet Explorer\Extensions\APIHelper.dll','32');
DeleteFile('C:\Program Files (x86)\HDQ-1.2cV05.12\81056097-9e19-416b-8e0f-f9f559abee26.exe','32');
DeleteFile('C:\Program Files (x86)\HDQ-1.2cV05.12\HDQ-1.2cV05.12-codedownloader.exe','32');
DeleteFile('C:\Program Files (x86)\HDQ-1.2cV05.12\9a644297-092a-4e6a-842a-cd4ac7dfe985-11.exe','32');
DeleteFile('C:\Program Files (x86)\HDQ-1.2cV05.12\9a644297-092a-4e6a-842a-cd4ac7dfe985-2.exe','32');
DeleteFile('C:\Program Files (x86)\HDQ-1.2cV05.12\9a644297-092a-4e6a-842a-cd4ac7dfe985-3.exe','32');
DeleteFile('C:\Program Files (x86)\HDQ-1.2cV05.12\9a644297-092a-4e6a-842a-cd4ac7dfe985-4.exe','32');
DeleteFile('C:\Program Files (x86)\HDQ-1.2cV05.12\9a644297-092a-4e6a-842a-cd4ac7dfe985-5.exe','32');
DeleteFile('C:\Users\Александр\AppData\Roaming\IAHPKQU.exe','32');
DeleteFile('C:\Users\Александр\AppData\Roaming\JBYUOXF.exe','32');
DeleteFile('C:\Users\Александр\AppData\Local\Microsoft\Windows\toolbar.exe','32');
DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench_x64.sys','32');
DeleteFile('C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\baidusdSvc.exe','32');
DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys','32');
DeleteFile('C:\Windows\system32\DRIVERS\BDAntiExp.sys','32');
DeleteFile('C:\Windows\system32\drivers\BDEnhanceBoost.sys','32');
DeleteFile('C:\Windows\Tasks\81056097-9e19-416b-8e0f-f9f559abee26.job','64');
DeleteFile('C:\Windows\Tasks\9a644297-092a-4e6a-842a-cd4ac7dfe985-1.job','64');
DeleteFile('C:\Windows\Tasks\9a644297-092a-4e6a-842a-cd4ac7dfe985-11.job','64');
DeleteFile('C:\Windows\Tasks\9a644297-092a-4e6a-842a-cd4ac7dfe985-2.job','64');
DeleteFile('C:\Windows\Tasks\9a644297-092a-4e6a-842a-cd4ac7dfe985-3.job','64');
DeleteFile('C:\Windows\Tasks\9a644297-092a-4e6a-842a-cd4ac7dfe985-4.job','64');
DeleteFile('C:\Windows\Tasks\9a644297-092a-4e6a-842a-cd4ac7dfe985-5.job','64');
DeleteFile('C:\Windows\Tasks\9a644297-092a-4e6a-842a-cd4ac7dfe985-5_user.job','64');
DeleteFile('C:\Windows\Tasks\IAHPKQU.job','64');
DeleteFile('C:\Windows\Tasks\JBYUOXF.job','64');
DeleteFile('C:\Windows\system32\Tasks\81056097-9e19-416b-8e0f-f9f559abee26','64');
DeleteFile('C:\Windows\system32\Tasks\9a644297-092a-4e6a-842a-cd4ac7dfe985-1','64');
DeleteFile('C:\Windows\system32\Tasks\9a644297-092a-4e6a-842a-cd4ac7dfe985-11','64');
DeleteFile('C:\Windows\system32\Tasks\9a644297-092a-4e6a-842a-cd4ac7dfe985-2','64');
DeleteFile('C:\Windows\system32\Tasks\9a644297-092a-4e6a-842a-cd4ac7dfe985-3','64');
DeleteFile('C:\Windows\system32\Tasks\9a644297-092a-4e6a-842a-cd4ac7dfe985-4','64');
DeleteFile('C:\Windows\system32\Tasks\9a644297-092a-4e6a-842a-cd4ac7dfe985-5','64');
DeleteFile('C:\Windows\system32\Tasks\SystemScript','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]
Сделайте логи [url="http://virusinfo.info/showthread.php?t=115256"]RSIT[/url]

Сделал.

Поместите в карантин МВАМ всё найденное

Сделайте новый логи RSIT

Вот.

[QUOTE]C:\Users\Александр\AppData\Roaming\Browsers
C:\Users\Александр\AppData\Roaming\ICL
C:\Users\Александр\AppData\Local\Amigo
C:\Windows\system32\drivers\BDMWrench_x64.sys[/QUOTE]удалите вручную

Всё сделал.

Рядом с этим C:\Windows\system32\drivers\BDMWrench_x64.sys ещё один был подобный, от китайской "байды".

Амиго не оказалось.

Нод молчит!

Удалите МВАМ

Проблема решена?

МВАМ удалил.

Похоже, что решена, сообщений о блокировке нет.

Что бы я без Вас делал, БлагоДарю!

Сайт в закладки...

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]

Вчера лечились [url]http://virusinfo.info/showthread.php?t=173536&p=1204874#post1204874[/url]

Сегодня рецидив...

[size="1"][color="#666686"][B][I]Добавлено через 11 минут[/I][/B][/color][/size]

У меня есть музыкальная программа Adobe Audition 3.0 Так вот, вчера во время проверки, MBAT определил файл Crack.exe, как Троян. Я его не удалял. Может это он? Но без него прога работать не будет.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Сообщение переместили, а мне там вроде бы хэлпер ответил, не успел прочитать...

Список установленных расширений для браузеров напишите

В Опере расширения не установлены.

В Хроме: Google Презентации, Google Таблицы, Визуальные Закладки Mail.Ru, Документы Google, Домашняя страница Mail.Ru, Поиск Mail.Ru, это штатные. И я установил Tampermonkey, не помню точно, но по моему Нод на неё ругался.

Вот открыл Хром и через пять минут Нод заблокировал новый адрес: d3dupdate.com IP: 188.168.146.90

Есть подозрение на фолсы NOD

d3dupdate.com запакуйте с паролем virus и пришлите по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Отправил.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Отправил ещё один, т.к. не уверен, что сделал правильно.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Удалил Хром, уже больше часа никаких сообщений от Нода.

Прислали файлы нулевого размера в архиве

[QUOTE=thyrex;1205223]Прислали файлы нулевого размера в архиве[/QUOTE]

Я сделал текстовый файл с адресом и запаковал его в архив, запаролил.

Подскажите, что значит запаковать d3dupdate.com?

Ладно, проехали

Вчера после удаления Хрома всё было нормально. Сегодня решил Нодом просканировать. И вот во время сканирования Нод снова d3dupdate.com заблокировал.

Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]

Снова wadgeotrust.com/index.php IP: 188.165.146.90

Увапжаемые хэлперы, ещё есть какие нибудь варианты лечения?

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

О, не видел предыдущего сообщения, сейчас сделаю.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Готово.

Удалите вручную[QUOTE]
c:\windows\SysWow64\an.bat
c:\windows\SysWow64\sd.bat[/QUOTE]

Скопируйте текст ниже в Блокнот и сохраните как файл с названием [B]CFScript.txt[/B] [B][COLOR="#0000CD"]в корень диска С[/COLOR][/B]
[code]KillAll::

File::

Driver::
BDMWrench_x64

Folder::

Registry::

FileLook::

DirLook::[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.
[img]http://savepic.org/5315621m.gif[/img]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.

Всё сделал.

Что с проблемой?

Сейчас нет проблем, надеюсь и не появятся.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Благодарю, отличный сайт у Вас!

Запакуйте, пожалуйста, папку [B]C:\Qoobox\Quarantine[/B] с паролем [B]virus[/B] и пришлите по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

[url="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/url]

Удалить Combofix не получается, пишет: не удаётся найти Combofix.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

А что делать с папкой C:\Qoobox?

Пробуйте вариант с OTCleanIt.

Папка C:\Qoobox\BackEnv осталась.

Удаляйте ее

Меня это очень сильно удивляет, столько манипуляций и снова - wsslupdate.org IP 188.165.146.86

Самое интересное, что на какое то время сообщения пропадают, но потом возобновляются и начинают выскакивать часто.

Похоже пора сносить Винду!

[QUOTE=Oronchik;1205905]Похоже пора сносить Винду![/QUOTE]

Погодите.

Скачайте программу [URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL] и [url=http://virusinfo.info/showthread.php?t=121767]сделайте полный образ автозапуска uVS[/url].

Вчера переустановил Оперу, с удалением всех пользовательских данных. Сегодня полёт нормальный! Посмотрю пару дней. Тему пока не закрывайте пожалуйста.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Снова wsslupdate.org активизировался.

Вот полный образ автозапуска uVS.

[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url][code];uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
; C:\WINDOWS\SYSWOW64\IR16_32.DLL
addsgn 79132211B9E9317E0AA1AB596A521205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A5AA6CAC9C4616EAA283DBF8FB588E4E283DFEB17F390232FA 14 PE:Malware.XPACK!1.64D5 [Rising]
zoo C:\WINDOWS\SYSWOW64\IR16_32.DLL
regt 28
regt 29

sreg

chklst
delvir

delref %SystemRoot%\SYSWOW64\DRIVERS\BDARKIT.SYS
del %SystemRoot%\SYSWOW64\DRIVERS\BDARKIT.SYS
delref %Sys32%\D3DADAPTER.DLL
delref %Sys32%\IR16_32.DLL
delref %Sys32%\KBDMAI.DLL
delref %Sys32%\WLANMGR.DLL
delref %Sys32%\DRIVERS\BDMWRENCH_X64.SYS
delref %Sys32%\DRIVERS\BDSAFEBROWSER.SYS
delref HTTP://10KANAL.ORG/?SRC=HP2&SUBID1=DEC
delref %SystemDrive%\PROGRAMDATA\APPDATA\ROAMING\BROWSERS\EXE.EMORHC.BAT
deltmp
czoo
areg[/code]Компьютер перезагрузится.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Сделайте полный образ автозапуска uVS, загрузите на rghost.ru и дайте ссылку в теме.

Всё сделал.

Карантин отправил.

Вот ссылка на образ автозапуска в uVS: [url]http://rghost.ru/60069465[/url]

И лог выполнения скрипта:

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

С НАСТУПАЮЩИМ!:)

- сделайте лог [URL="http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk"]Check Browsers' LNK[/URL]


и ещё раз проверьте проблему.

Как проверить проблему?

Сообщения выскакивают сами по себе. NOD может пол дня или целый день молчать, а потом с интервалом в 10-20 минут выкидывать сообщения о блокировке адресов. Ещё я заметил, что это как то связано с количеством страниц, открытых в браузере.

Лог Check Browsers' LNK:

- Перетащите лог Check_Browsers_LNK.log на [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Отчёт о работе прикрепите.

[quote="Oronchik;1206629"]Ещё я заметил, что это как то связано с количеством страниц, открытых в браузере.[/quote]
может не с кол-вом, а с самими страницами ;). То есть Nod ругается на эти страницы :).

Адреса, которые Вы упоминали в первом сообщении этой темы, продолжают блокироваться? Если нет, проблема, связанная с трояном, решена. Блокировка других адресов связана с ссылками и баннерами на открываемых страницах. Если посещаете варезные и прочие сайты с не очень хорошей репутацией - так и будет.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
Прикрепите эти три файла к своему следующему сообщению.