Dropper-gen и куча троянов

[Dorozha]

Здравствуйте! Недавно столкнулся с такой проблемой: Avast начал "ловить" Dropper-gen, примерно раз в 2-3 часа. Все началось, когда установил себе Wow: Legion и накачал туда аддонов. Чистил комп Авастом и Malwarebytes Anti-Malware (Оба нашли кучу троянов с последующим их удалением). Чистил кэш у всех трех браузеров (Опера,Хром и стандартный Explorer).
P.S. Интернет подключен через роутер, не знаю, важно это или нет.
P.P.S. Пытался раньше эту тему создать, простите если сделал дубль.
Безымянный.jpg

[Info_bot]

Уважаемый(ая) Dorozha, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[trueCrypt]

1. Выполните скрипт AVZ:

Код:

begin

 QuarantineFile('c:\windows\debug\ok.dat','');
 QuarantineFile('c:\windows\help\lsmosee.exe','');
 QuarantineFile('c:\windows\debug\item.dat','');
 QuarantineFile('C:\Users\AlekseyDorozhny\AppData\Roaming\Leadertech\Java\jusched.exe','');
 QuarantineFile('C:\Users\AlekseyDorozhny\AppData\Local\Google\WECUTIL\wecutil.exe','');
 QuarantineFile('C:\Windows\UpdReg.EXE','');

 DeleteFile('C:\Users\AlekseyDorozhny\AppData\Local\Google\WECUTIL\wecutil.exe','32');
 DeleteFile('C:\Users\AlekseyDorozhny\AppData\Roaming\Leadertech\Java\jusched.exe','32');
 DeleteFile('c:\windows\debug\item.dat','32');
 DeleteFile('c:\windows\help\lsmosee.exe','32');
 DeleteFile('c:\windows\debug\ok.dat','32');

 ExecuteFile('schtasks.exe', '/delete /TN "Mysa1" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Mysa2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Mysa3" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "ok" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Java Update Schedule" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Event Collector Command Line Utility" /F', 0, 15000, true);
 
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина - quarantine.zip. Прикрепите его по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

2. Пофиксить в HijackThis следующие строчки:

Код:

O4 - HKLM\..\Run: [UpdReg] C:\Windows\UpdReg.EXE

3. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Dorozha]

Сделал все по инструкции!

[trueCrypt]

Проблема еще наблюдается?

[Dorozha]

Пока что все хорошо
Спасибо за помощь!!
Если будут проблемы, я отпишусь)

[trueCrypt]

В завершение:

Рекомендую выполнить скрипт AVZ для поиска уязвимостей:
Внимение! Скрипт необходимо выполнять при наличие доступа в интернет.

Код:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

По завершению его работы, если будут обнаружены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.


Советы и рекомендации после лечения компьютера.

[mike 1]

Дополнительно:

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
   
   Код:

   CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
   CreateRestorePoint:
   CloseProcesses:
   virustotal: C:\Windows\notpad.exe
   HKU\S-1-5-21-4208172282-4038440268-1291874469-1000\...\Policies\Explorer: [] 
   HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{36f093d0-4064-4970-a93a-641de77bf5d6} <==== ATTENTION (Restriction - IP)
   WMI_ActiveScriptEventConsumer_fuckyoumm2_consumer: <==== ATTENTION

3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
4. Обратите внимание, что компьютер будет перезагружен.
5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму