2inf.net/goinf.ru + Opera [Trojan.Win32.Agent.idxa, not-a-virus:WebToolbar.Win32.Agent.bgn ]

Printable View

18.01.2015, 02:19
D3athStar

Вложений: 2

2inf.net/goinf.ru + Opera [Trojan.Win32.Agent.idxa, not-a-virus:WebToolbar.Win32.Agent.bgn ]

Здравствуйте, проблема при запуске и перезагрузке Оперы вылетают страницы сайтов из заголовка темы.
18.01.2015, 02:20
Info_bot

Уважаемый(ая) [B]D3athStar[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
18.01.2015, 11:08
thyrex

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\DeathStar\AppData\Local\SystemDir\nethost.exe','');
DelBHO('{7CE987D5-11B3-44FC-9C3D-03069360D462}');
DelBHO('{3C6CF3C0-D800-4B4D-A3D8-8ADE406523B6}');
DelBHO('{1FE48F08-A2AC-44AC-A21C-0556D91C50DA}');
DelBHO('{0916584a-ee96-4386-bdbf-b66197b080e4}');
QuarantineFile('C:\Program Files (x86)\NetCrawl\NetCrawlbho.dll','');
QuarantineFile('C:\Program Files (x86)\VK Downloader\Toolbar32.dll','');
QuarantineFile('C:\Program Files (x86)\advPlugin\Toolbar32.dll','');
QuarantineFile('C:\Users\DeathStar\AppData\Local\Kometa\kometaup.exe','');
QuarantineFile('C:\Users\DeathStar\AppData\Local\Kometa\Application\kometa.exe','');
QuarantineFile('C:\Users\DEATHS~1\AppData\Local\Temp\NETE9B~1.EXE','');
QuarantineFile('C:\Users\DEATHS~1\AppData\Local\Temp\netE9B1.tmp.exe','');
SetServiceStart('Update Service for VK Downloader', 4);
DeleteService('Update Service for VK Downloader');
SetServiceStart('Update Service for advPlugin', 4);
DeleteService('Update Service for advPlugin');
TerminateProcessByName('c:\users\deaths~1\appdata\local\temp\nete9b1.tmp.exe');
QuarantineFile('c:\users\deaths~1\appdata\local\temp\nete9b1.tmp.exe','');
TerminateProcessByName('c:\program files (x86)\vk downloader\basement\extensionupdaterservice.exe');
QuarantineFile('c:\program files (x86)\vk downloader\basement\extensionupdaterservice.exe','');
TerminateProcessByName('c:\program files (x86)\advplugin\basement\extensionupdaterservice.exe');
QuarantineFile('c:\program files (x86)\advplugin\basement\extensionupdaterservice.exe','');
TerminateProcessByName('c:\users\deathstar\appdata\roaming\etranslator\etranslator.exe');
QuarantineFile('c:\users\deathstar\appdata\roaming\etranslator\etranslator.exe','');
DeleteFile('c:\users\deathstar\appdata\roaming\etranslator\etranslator.exe','32');
DeleteFile('c:\program files (x86)\advplugin\basement\extensionupdaterservice.exe','32');
DeleteFile('c:\program files (x86)\vk downloader\basement\extensionupdaterservice.exe','32');
DeleteFile('c:\users\deaths~1\appdata\local\temp\nete9b1.tmp.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','GoSearchRemoveAppiexplore');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','GoSearch_startsetsearch_opera');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\amigo','command');
DeleteFile('C:\Users\DeathStar\AppData\Local\Amigo\Application\ok.exe','32');
DeleteFile('C:\Users\DeathStar\AppData\Local\Amigo\Application\vk.exe','32');
DeleteFile('C:\Users\DEATHS~1\AppData\Local\Temp\netE9B1.tmp.exe','32');
DeleteFile('C:\Users\DEATHS~1\AppData\Local\Temp\NETE9B~1.EXE','32');
DeleteFile('C:\Users\DeathStar\AppData\Local\Kometa\Application\kometa.exe','32');
DeleteFile('C:\Users\DeathStar\AppData\Local\Kometa\kometaup.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','eTranslator Update');
DeleteFile('C:\Program Files (x86)\advPlugin\Toolbar32.dll','32');
DeleteFile('C:\Program Files (x86)\VK Downloader\Toolbar32.dll','32');
DeleteFile('C:\Program Files (x86)\NetCrawl\NetCrawlbho.dll','32');
DeleteFile('C:\Users\DeathStar\AppData\Local\SystemDir\nethost.exe','32');
DeleteFile('C:\Windows\system32\Tasks\nethost task','64');
QuarantineFileF('C:\Users\DeathStar\AppData\Local\SystemDir', '*.*', true,'', 0, 0, '', '');
DeleteFileMask('C:\Users\DeathStar\AppData\Local\SystemDir', '*', true);
DeleteDirectory('C:\Users\DeathStar\AppData\Local\SystemDir');
DeleteFileMask('C:\Program Files (x86)\VK Downloader', '*', true);
DeleteDirectory('C:\Program Files (x86)\VK Downloader');
DeleteFileMask('C:\Program Files (x86)\advPlugin', '*', true);
DeleteDirectory('C:\Program Files (x86)\advPlugin');
DeleteFileMask('c:\users\deathstar\appdata\roaming\etranslator', '*', true);
DeleteDirectory('c:\users\deathstar\appdata\roaming\etranslator');
DeleteFileMask('C:\Users\DeathStar\AppData\Local\Kometa', '*', true);
DeleteDirectory('C:\Users\DeathStar\AppData\Local\Kometa');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Обновите базы AVZ

Сделайте новые логи

Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]
Сделайте логи [url="http://virusinfo.info/showthread.php?t=115256"]RSIT[/url]
Сделайте [url="http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk"]лог CheckBrowserLnk[/url]
18.01.2015, 17:50
D3athStar

Вложений: 6

Проблема пока осталась.

(Карантин)
Результат загрузки

Файл сохранён как 150118_174303_virus_54bbb8672e4af.zip
Размер файла 4160407
MD5 74160bf86ff61a0e0951060fddc24f04
Файл закачан, спасибо!
18.01.2015, 19:18
thyrex

[list][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на Рабочем столе.[*]Распакуйте архив с утилитой в отдельную папку.[*]Перенесите [B]Check_Browsers_LNK.log[/B] на ClearLNK как показано на рисунке

[img]http://dragokas.com/tools/move.gif[/img]
[*]Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке [b]LOG[/b].[*]Прикрепите этот отчет к своему следующему сообщению.[/list]

Поместите в карантин МВАМ всё, [B]кроме[/B]
[CODE]Trojan.PWS.OnlineGames, C:\Games\La2\Start TheMega.ru.exe, , [4f02d225a9e0989e438eff117b86e719], [/CODE]

Пофиксите в HiJack
[CODE]R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8555;https=127.0.0.1:8555
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)[/CODE]

Удалите вручную
[QUOTE]C:\Users\DeathStar\AppData\Roaming\VK Downloader
C:\Users\DeathStar\AppData\Roaming\advPlugin[/QUOTE]
18.01.2015, 19:33
D3athStar

Вложений: 1

Сделал.
18.01.2015, 19:41
thyrex

Что с проблемой?
18.01.2015, 22:19
D3athStar

[QUOTE=thyrex;1215131]Что с проблемой?[/QUOTE]

Всё ещё открывает..
18.01.2015, 22:40
thyrex

Очистите куки и кэш браузеров
18.01.2015, 22:51
D3athStar

[QUOTE=thyrex;1215236]Очистите куки и кэш браузеров[/QUOTE]

Всё по-старому, не отпускает он оперу..
18.01.2015, 23:01
thyrex

Список установленных расширений для Опера напишите
18.01.2015, 23:05
D3athStar

Вложений: 1

[QUOTE=thyrex;1215252]Список установленных расширений для Опера напишите[/QUOTE]

[ATTACH=CONFIG]526225[/ATTACH]
18.01.2015, 23:08
thyrex

Три последних удалите
18.01.2015, 23:13
D3athStar

[QUOTE=thyrex;1215263]Три последних удалите[/QUOTE]
Помогло, вроде пропало. Спасибо огромное.
Единственный вопрос, по поводу карантина в MBAM можно ли из него удалить те файлы, которые я в него помещал? Возможно просто удалю его с ПК или ещё что-нибудь и они получается останутся, если не удалить.
18.01.2015, 23:23
thyrex

Удалите МВАМ и его карантин
19.01.2015, 09:49
D3athStar

[QUOTE=thyrex;1215271]Удалите МВАМ и его карантин[/QUOTE]

При рестарте пк опять обнаружил 2inf, уже нет перенаправления на goinf.ru но есть стартовая загрузка 2inf...

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

[QUOTE=D3athStar;1215369]При рестарте пк опять обнаружил 2inf, уже нет перенаправления на goinf.ru но есть стартовая загрузка 2inf...[/QUOTE]
Такое ощущение что когда включаю пк и загружаю раб. стол вылетает скрипт(может батник какой-то) т.к. заметно буквально секунду с командой строкой потом сразу же открывает оперу и этот 2inf, когда потом оперу в работе пк переоткрываю 2infa уже нет. Т.е. проблема где-то при старте системы.
19.01.2015, 15:39
thyrex

Выполните скрипт в AVZ
[code]begin
RegSearch('HKLM', '', '2inf');
SaveLog('c:\avz00.log');
RegSearch('HKCU', '', '2inf');
SaveLog('c:\avz01.log');
end. [/code]Файлы [B]c:\avz00.log[/B] и [B]c:\avz01.log[/B] прикрепите к сообщению
19.01.2015, 19:54
D3athStar

Вложений: 2

[QUOTE=thyrex;1215523]Выполните скрипт в AVZ
[code]begin
RegSearch('HKLM', '', '2inf');
SaveLog('c:\avz00.log');
RegSearch('HKCU', '', '2inf');
SaveLog('c:\avz01.log');
end. [/code]Файлы [B]c:\avz00.log[/B] и [B]c:\avz01.log[/B] прикрепите к сообщению[/QUOTE]

Сделал.
19.01.2015, 20:52
thyrex

Выполните скрипт в AVZ
[code]begin
RegKeyDel('HKCU', 'Software\Microsoft\favorites\2inf_favorites');
RegKeyDel('HKCU', 'Software\Microsoft\pinnedtabs\2inf_pinnedtabs');
RegKeyDel('HKCU', 'Software\Microsoft\shortcutmaker\2inf_icon');
RegKeyDel('HKCU', 'Software\Microsoft\shortcutmaker\2inf_launch');
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Выполните скрипт в AVZ
[code]begin
RegSearch('HKCU', '', '2inf');
SaveLog('c:\avz01.log');
end. [/code]Файл [B]c:\avz01.log[/B] прикрепите к сообщению
20.01.2015, 00:03
D3athStar

[QUOTE=thyrex;1215757]Выполните скрипт в AVZ
[code]begin
RegKeyDel('HKCU', 'Software\Microsoft\favorites\2inf_favorites');
RegKeyDel('HKCU', 'Software\Microsoft\pinnedtabs\2inf_pinnedtabs');
RegKeyDel('HKCU', 'Software\Microsoft\shortcutmaker\2inf_icon');
RegKeyDel('HKCU', 'Software\Microsoft\shortcutmaker\2inf_launch');
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Выполните скрипт в AVZ
[code]begin
RegSearch('HKCU', '', '2inf');
SaveLog('c:\avz01.log');
end. [/code]Файл [B]c:\avz01.log[/B] прикрепите к сообщению[/QUOTE]

После перезагрузи проблема осталась, сразу же открыло оперу. А этот файл пустой почему-то, поэтому не могу его прикрепить даже.
20.01.2015, 00:13
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files (x86)\advplugin\toolbar32.dll - [B]not-a-virus:WebToolbar.Win32.Agent.bgn[/B][*] c:\program files (x86)\netcrawl\netcrawlbho.dll - [B]not-a-virus:AdWare.Win32.SwiftBrowse.o[/B] ( DrWEB: Trojan.BPlug.28, BitDefender: Adware.SwiftBrowse.AQ )[*] c:\program files (x86)\vk downloader\toolbar32.dll - [B]not-a-virus:WebToolbar.Win32.Agent.bgn[/B][*] c:\users\deathstar\appdata\local\systemdir\nethost.exe - [B]Trojan-Dropper.Win32.Agent.olpl[/B] ( DrWEB: Trojan.DownLoader11.55611, AVAST4: Win32:Dropper-gen [Drp] )[*] c:\users\deathstar\appdata\local\systemdir\setsearchm.exe - [B]Trojan.Win32.Agent.idxa[/B][/LIST][/LIST]