самоустанавливаются программы и браузер амиго [not-a-virus:RiskTool.Win32.AdvancedPcCare.a, not-a-virus:Downloader.MSIL.Agent.glm ]

**nikatka** · 08.03.2016, 01:43

Здравствуйте, уважаемые специалисты! Очень нужна ваша помощь.
Стали происходить неприятные и подозрительные вещи. Самоустанавливается Амиго и BrowserAir и еще несколько других программ. Удаляю, но через некоторе время снова вижу их на десктопе. Также постоянно висят несколько подозрительных процессов.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 08.03.2016, 01:45

Уважаемый(ая) nikatka, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**regist** · 08.03.2016, 10:03

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\program files\win32_computersystemproduct-1457333261---\knsb9c.tmpfs');
 StopService('qozuvofozbt');
 QuarantineFileF('c:\program files\spacesoundpro', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\documents and settings\администратор\local settings\application data\gmsd_ru_005010220', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\documents and settings\администратор\local settings\application data\mbot_ru_014010220', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\documents and settings\администратор\application data\7ad133b8-988e-42d9-a90a-eebb18a86286', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\documents and settings\администратор\local settings\application data\hostinstaller', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFile('c:\program files\win32_computersystemproduct-1457333261---\knsb9c.tmpfs', '');
 QuarantineFile('C:\WINDOWS\system32\365.exe', '');
 QuarantineFile('C:\WINDOWS\mcdrive32.exe', '');
 QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\setup.exe', '');
 QuarantineFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '');
 QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\un.exe', '');
 QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\gmsd_ru_005010220\upgmsd_ru_005010220.exe', '');
 QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\mbot_ru_014010220\upmbot_ru_014010220.exe', '');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\7ad133b8-988e-42d9-a90a-eebb18a86286\7ad133b8-988e-42d9-a90a-eebb18a86286.exe', '');
 QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\Hostinstaller\1956731036_installcube.exe', '');
 QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\SystemMonitor2016\1956731036.exe', '');
 QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\nsf30E.tmp\blowfish.dll', '');
 DeleteFile('c:\program files\win32_computersystemproduct-1457333261---\knsb9c.tmpfs', '32');
 DeleteFile('C:\WINDOWS\system32\365.exe', '32');
 DeleteFile('C:\WINDOWS\mcdrive32.exe', '32');
 DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\setup.exe', '32');
 DeleteFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '32');
 DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\un.exe', '32');
 DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\gmsd_ru_005010220\upgmsd_ru_005010220.exe', '32');
 DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\mbot_ru_014010220\upmbot_ru_014010220.exe', '32');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\7ad133b8-988e-42d9-a90a-eebb18a86286\7ad133b8-988e-42d9-a90a-eebb18a86286.exe', '32');
 DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\Hostinstaller\1956731036_installcube.exe', '32');
 DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\SystemMonitor2016\1956731036.exe', '32');
 DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\nsf30E.tmp\blowfish.dll', '32');
 QuarantineFile('C:\WINDOWS\system32\calc.exe','');
 QuarantineFileF('C:\Documents and Settings\Администратор\Application Data\7ad133b8-988e-42d9-a90a-eebb18a86286\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\Chromium\Application\45.0.2433.0\Installer\updater\updater.exe', '');
 QuarantineFileF('C:\Documents and Settings\Администратор\Local Settings\Application Data\SystemMonitor2016\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFileMask('C:\Documents and Settings\Администратор\Local Settings\Application Data\SystemMonitor2016\', '*', true);
 DeleteDirectory('C:\Documents and Settings\Администратор\Local Settings\Application Data\SystemMonitor2016\');
 ExecuteFile('schtasks.exe', '/delete /TN "7ad133b8-988e-42d9-a90a-eebb18a86286" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SystemMonitor2016" /F', 0, 15000, true);
 DeleteService('qozuvofozbt');
 DeleteFileMask('c:\program files\spacesoundpro', '*', true);
 DeleteFileMask('c:\documents and settings\администратор\local settings\application data\gmsd_ru_005010220', '*', true);
 DeleteFileMask('c:\documents and settings\администратор\local settings\application data\mbot_ru_014010220', '*', true);
 DeleteFileMask('c:\documents and settings\администратор\application data\7ad133b8-988e-42d9-a90a-eebb18a86286', '*', false);
 DeleteFileMask('c:\documents and settings\администратор\local settings\application data\hostinstaller', '*', true);
 DeleteDirectory('c:\program files\spacesoundpro');
 DeleteDirectory('c:\documents and settings\администратор\local settings\application data\gmsd_ru_005010220');
 DeleteDirectory('c:\documents and settings\администратор\local settings\application data\mbot_ru_014010220');
 DeleteDirectory('c:\documents and settings\администратор\local settings\application data\hostinstaller');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\365', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IconRunner', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Driver Setup', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\setup', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpaceSoundPro', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\un', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\upgmsd_ru_005010220.exe', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\upmbot_ru_014010220.exe', 'command');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

**nikatka** · 08.03.2016, 20:28

Все скрипты сделала. Логи прилагаю. Файл с карантином послала.
ПРи первом включении компьютера (перед тем, как выполнить скрипты) снова появились программы Universal Driver Updater и Advanced PC Care на десктопе и в процессах, и в автозагрузке.

**regist** · 08.03.2016, 22:12

1) Логи сделаны версией 4.43. Скачайте актуальную версию AVZ: 4.45, обновите базы и переделайте логи.

2)

Сообщение от regist

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

где ссылка?

**nikatka** · 08.03.2016, 23:36

Если я все правильно поняла, то ссылка вот. http://virusinfo.info/virusdetector/...ADB907F1FEBB89
сейчас сделаю обновление программы и переделаю логи.

- - - - -Добавлено - - - - -

Логи с новой версией АВЗ и карантин с ней: http://virusinfo.info/virusdetector/...ACABBA100F3BC7

**regist** · 09.03.2016, 08:50

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\documents and settings\all users\application data\appverifier\appverifierservice.exe');
 TerminateProcessByName('c:\documents and settings\Администратор\local settings\application data\searchmodule\dblaunch.exe');
 SetServiceStart('AppVerifier', 4);
 StopService('AppVerifier');
 QuarantineFile('C:\Program Files\Advanced PC Care\advancedpccare.exe', '');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Appverifier\AppVerifierService.exe', '');
 QuarantineFile('c:\documents and settings\Администратор\local settings\application data\searchmodule\dblaunch.exe', '');
 QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\Chromium\Application\45.0.2433.0\Installer\updater\updater.exe', '');
 QuarantineFileF('C:\Documents and Settings\Администратор\Local Settings\Application Data\Chromium\Application\45.0.2433.0\Installer\updater\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\documents and settings\Администратор\local settings\application data\searchmodule\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\documents and settings\all users\application data\appverifier', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Advanced PC Care\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\program files\wnetworken\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFile('c:\program files\wnetworken\b1a84dcb8edd332f70709069b522703d.exe', '');
 QuarantineFile('c:\program files\wnetworken\WNetworkEnlibs\ioffhj.dll', '');
 DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Application Data\Chromium\Application\45.0.2433.0\Installer\updater\updater.exe', '32');
 DeleteFile('C:\WINDOWS\Tasks\Internet Quick Access Updater.job', '32');
 DeleteFile('c:\documents and settings\Администратор\local settings\application data\searchmodule\dblaunch.exe', '32');
 DeleteFile('c:\documents and settings\all users\application data\appverifier\appverifierservice.exe', '32');
 DeleteFile('C:\Program Files\Advanced PC Care\advancedpccare.exe', '32');
 DeleteFile('c:\program files\wnetworken\b1a84dcb8edd332f70709069b522703d.exe');
 DeleteFile('c:\program files\wnetworken\WNetworkEnlibs\ioffhj.dll');
 DeleteFile('C:\WINDOWS\Tasks\IQA.job', '32');
 DeleteService('AppVerifier');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SearchModule');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Advanced PC Care_Logon', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\amigo', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ccApp', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Device Detector', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KabAuth', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MailRuUpdater', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MTview', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Praetorian', 'command');
 ClearHostsFile;
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
Прикрепите отчет к своему следующему сообщению.

**nikatka** · 09.03.2016, 20:00

карантин прислала, логи чуть позднее

- - - - -Добавлено - - - - -

новые логи

**regist** · 09.03.2016, 20:38

Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
В меню Настройки отметьте:
- Сброс политик IE
- Сброс политик Chrome
- Сброс настроек Proxy
Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

**nikatka** · 10.03.2016, 07:08

после перезагрузки автоматически открылся еще один отчет. на всякий случай, его тоже прикладываю под именем AdwCleaner(C1)1111

- - - - -Добавлено - - - - -

Universal driver updater все еще остался на компьютере, но в автозагрузке и в процессах нет (видимо, потому что в нем самом в настройках убрала галочку запуска вместе со стартом системы)

**regist** · 10.03.2016, 09:17

Сделайте свежий лог AdwCleaner-а.

+

Сообщение от regist

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

- - - - -Добавлено - - - - -

Сообщение от nikatka

Universal driver updater все еще остался на компьютере,

Удалите его через установку и удаление программ.

**nikatka** · 10.03.2016, 11:52

сделала

- - - - -Добавлено - - - - -

AdwCleaner написал, что ничего не нашел

**regist** · 10.03.2016, 12:22

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
ExecuteRepair(22);
 ExecuteWizard('SCU', 2, 3, true);
 RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

**nikatka** · 10.03.2016, 13:25

скрипт выполнен, новые логи

**regist** · 10.03.2016, 14:46

что с проблемой?

+ смените пароли.

**nikatka** · 10.03.2016, 18:35

внешних явных проявлений больше нет. в процессах ничего не проявляется неизвестного.
сменить пароли где?

**regist** · 10.03.2016, 23:30

Сообщение от nikatka

сменить пароли где?

Рекомендую все, но в первую очередь от интернет сервисов. Все они могли быть перехвачены злоумышленником.

Пожалуйста, запустите adwcleaner.exe
Нажмите Uninstall (Деинсталлировать).
Подтвердите удаление нажав кнопку: Да.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Советы и рекомендации после лечения компьютера

**nikatka** · 12.03.2016, 16:15

Спасибо большое!

**CyberHelper** · 12.03.2016, 16:25

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 73
В ходе лечения обнаружены вредоносные программы:
1. c:\documents and settings\all users\application data\appverifier\appverifierservice.exe - not-a-virus:AdWare.MSIL.Eorezo.bm
2. c:\documents and settings\администратор\local settings\application data\chromium\application\45.0.2433.0\installer\up dater\updater.exe - not-a-virus:Downloader.MSIL.Agent.glm
3. c:\documents and settings\администратор\local settings\application data\hostinstaller\1956731036_installcube.exe - not-a-virus:HEUR:Downloader.Win32.AdLoad.gen
4. c:\documents and settings\администратор\local settings\application data\searchmodule\dblaunch.exe - not-a-virus:Downloader.Win32.AdLoad.ufcz
5. c:\documents and settings\администратор\local settings\application data\systemmonitor2016\1956731036.exe - not-a-virus:RiskTool.Win32.SystemTweaker.ad
6. c:\program files\advanced pc care\advancedpccare.exe - not-a-virus:RiskTool.Win32.AdvancedPcCare.a ( DrWEB: Program.Unwanted.965 )
7. c:\program files\advanced pc care\interop.iwshruntimelibrary.dll - not-a-virus:RiskTool.Win32.AdvancedPcCare.a ( DrWEB: Program.Unwanted.965 )
8. c:\program files\advanced pc care\taskscheduler.dll - not-a-virus:RiskTool.Win32.AdvancedPcCare.a ( DrWEB: Program.Unwanted.965 )
9. c:\program files\advanced pc care\unins000.exe - not-a-virus:RiskTool.Win32.AdvancedPcCare.a ( DrWEB: Program.Unwanted.965 )
10. c:\program files\wnetworken\b1a84dcb8edd332f70709069b522703d. exe - not-a-virus:Downloader.Win32.Wajam.ead
11. c:\program files\wnetworken\wnetworkenlibs\olbktl.dll - not-a-virus:HEUR:Downloader.Win32.Wajam.gen

самоустанавливаются программы и браузер амиго [not-a-virus:RiskTool.Win32.AdvancedPcCare.a, not-a-virus:Downloader.MSIL.Agent.glm ] (заявка № 197988)

Опции темы