Самовосстанавливающийся вирус. Помогите. [Trojan.Win32.Agentb.isqc ]

[erik51711]

Здравствуйте, у меня такая же проблема как и тут:
https://virusinfo.info/showthread.php?t=211090
Вот картинка вируса: http://prntscr.com/hj72js
Создает ярлыки файлов которые я скидываю туда.
А сами файлы, скрывает на флешке.
Антивирус находит данный вирус, удаляет. Но когда подключаю флешку он опять появляется.
Сделал скрипт AVZ как написано по этой ссылке.

И дальше появилась вот это вот папка:
Что делать дальше?

[Info_bot]

Уважаемый(ая) erik51711, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[erik51711]

Я сейчас сделал autologger и сделал AVZ скрипт с другого компа. Где нету этого вируса. Но когда подключаю эту флешку вот на эту свою ПК то тот вирус там есть и удалить его также нельзя. Но на другом ПК есть и этот же вирус который есть на флешке (в папке Roaming). И там его также невозможно удалить. Я оттуда не смог сделать Auto logger так как компьютер не могу включить, зарядный устройства сломался.

Вот прикреплю логи зараженного компьютера:

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\RECYCLER\S-1-0-87-1210341083-8705727176-107883546-3224\BGsnUwJP.cpl', '');
 QuarantineFile('C:\RECYCLER\S-1-0-87-1210341083-8705727176-107883546-3224\xvRJReUr.cpl', '');
 QuarantineFile('d:\users\зерде\appdata\roaming\{ae8f9646-805b-0e8f-03f0-ed4450053f6d}\033046d9.exe', '');
 DeleteFile('C:\RECYCLER\S-1-0-87-1210341083-8705727176-107883546-3224\BGsnUwJP.cpl', '32');
 DeleteFile('C:\RECYCLER\S-1-0-87-1210341083-8705727176-107883546-3224\xvRJReUr.cpl', '32');
 DeleteFile('d:\users\зерде\appdata\roaming\{ae8f9646-805b-0e8f-03f0-ed4450053f6d}\033046d9.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "{0721175F-296D-4FFF-AED3-97C446A978F9}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{329FBE76-A86B-929F-03F0-ED4450053F6D}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{D30CB1C3-9D4E-46F4-82CB-4DCAFB730016}" /F', 0, 15000, true);
 DeleteService('aswSP');
 DeleteFileMask('d:\users\зерде\appdata\roaming\{ae8f9646-805b-0e8f-03f0-ed4450053f6d}', '*', true);
 DeleteFileMask('D:\Users\зерде\AppData\Roaming\{C8B31A8B-2E70-A150-AC0A-1C536A661D8D}', '*', true);
 DeleteDirectory('d:\users\зерде\appdata\roaming\{ae8f9646-805b-0e8f-03f0-ed4450053f6d}');
 DeleteDirectory('D:\Users\зерде\AppData\Roaming\{C8B31A8B-2E70-A150-AC0A-1C536A661D8D}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\{329FBE76-A86B-929F-03F0-ED4450053F6D}', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\{505E65FE-C063-4C0A-B2B5-4991FD0457F6}', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\amigo', 'command');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Удалите следующие программы:

Elements Browser
Амиго
Кнопка "Яндекс" на панели задач
Менеджер браузеров
Служба автоматического обновления программ
Служба маркировки и обновления компонентов

Сделайте новый лог такой версией Autologger.

Сделайте лог Malwarebytes AdwCleaner.

[erik51711]

Сделал все как вы сказали и вот логи и карантин:

[Vvvyg]

Не нужно полностью цитировать сообщения хелпера, это ухудшает читаемость темы, и сообщения попадают на премодерацию.
Просто пишите в окне "Быстрый ответ".
И не нужно крепить карантин сообщению, если он не загружается, куда положено, значит, он пуст, следовательно не нужен.

Выполните скрипт в AVZ:

Код:

begin
 QuarantineFile('d:\users\зерде\appdata\roaming\{ae8f9646-805b-0e8f-03f0-ed4450053f6d}\033046d9.exe', '');
 DeleteFile('d:\users\зерде\appdata\roaming\{ae8f9646-805b-0e8f-03f0-ed4450053f6d}\033046d9.exe', '32');
 DeleteFileMask('d:\users\зерде\appdata\roaming\{ae8f9646-805b-0e8f-03f0-ed4450053f6d}', '*', true);
 DeleteDirectory('d:\users\зерде\appdata\roaming\{ae8f9646-805b-0e8f-03f0-ed4450053f6d}');
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

[erik51711]

Вот новые логи и прислал также карантин

- - - - -Добавлено - - - - -

И да кстати, этот же вирус есть и на втором флешке. А пока я делаю все эти логи подключив один из флешек.

[Vvvyg]

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
cexec tools\CreateRestorePoint.exe BeforeCure
OFFSGNSAVE
zoo %SystemDrive%\USERS\ЗЕРДЕ\APPDATA\ROAMING\{AE8F9646-805B-0E8F-03F0-ED4450053F6D}\033046D9.EXE
addsgn 1ACD2D9A55835A8CF42B16F1C38C12C6848A84B0897FDF2EEFD79BC9576E714E231728510593E04EA046279F3E504990798F00B10FDAB0A9ED2EFD8C3B616473 8 Trojan.Win32.Agentb.isqc [Kaspersky] 7

zoo C:\{5FCF3DFF-3875-EDBF-1545-9A436FBC45C7}\C30F80A0-E4B2-915E-2B55-1E58E72A395E.EXE
addsgn A7679BF0AA021C2C4AD4C6D14B891261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95C263C9EE82BD6D734856C775BACCA8E8B32 8 New.USB.Trj 7

chklst
delvir

;------------------------autoscript---------------------------
hide %SystemRoot%.OLD.000\USERS\ЯУКВУ4\DOWNLOADS\OPERA.EXE
deldir %SystemRoot%.OLD.000\USERS\ЯУКВУ4\APPDATA\LOCAL\XPOM
deldir %SystemRoot%.OLD.000\USERS\ЯУКВУ4\APPDATA\LOCAL\MAIL.RU
deldir %SystemRoot%.OLD.000\PROGRAMDATA\GUARD.MAIL.RU

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDLJKKMGHDKCKHAOGAEMGBGDFOPHKFCO%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLGDNILODCPLJOMELBBNPGDOGDBMCLBNI%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\ЗЕРДЕ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ODIJCGAFKHPOBJLNFDGIACPDENPMBGME\11.0.4_1\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
delref %SystemDrive%\USERS\ЗЕРДЕ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PHKDCINMMLJBLPNKOHLIPAIODLONPINF\11.0.3_1\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\ЗЕРДЕ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PMPOAAHLECCAIBBHFJFIMIGEPMFMMBBK\2.21.9_0\ПУЛЬТ
delref %SystemDrive%\USERS\ЗЕРДЕ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\BOFBPDMKBMLANCFIHDNCIKCIGPOKMDDA\0.420\QUICK SEARCHER
delref %SystemDrive%\USERS\ЗЕРДЕ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\40.0.2214.3645\RESOURCES\GENERATED_TABLEAU\TABLEAU
delref %SystemDrive%\USERS\ЗЕРДЕ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\40.0.2214.3645\RESOURCES\TABLEAUDER\SRC\TABLEAUDER
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPMPOAAHLECCAIBBHFJFIMIGEPMFMMBBK%26INSTALLSOURCE%3DONDEMAND%26UC
zoo %SystemDrive%\SUPERMEGABEST\SETUP.DLL
delall %SystemDrive%\SUPERMEGABEST\SETUP.DLL
deldir %SystemDrive%\SUPERMEGABEST
delref %SystemDrive%\USERS\ЗЕРДЕ\APPDATA\ROAMING\{C8B31A8B-2E70-A150-AC0A-1C536A661D8D}\650CCA14.EXE
delref %SystemDrive%\USERS\ЗЕРДЕ\APPDATA\LOCAL\YANDEX\BROWSERMANAGER\MBLAUNCHER.EXE
delref HTTP:\\WWW.MAIL.RU
regt 5
apply

;-------------------------------------------------------------

deltmp
czoo
restart

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Выполните такой скрипт в UVS, только вместо X подставьте букву своего флэш-диска.

Код:

adddir X:
crimg

Будет создан новый новый полный образ автозапуска uVS, загрузите его в доступное облачное хранилище или на файлообменник (rghost.ru, например) и дайте ссылку.

[erik51711]

Карантин прислал логи вот:
И ссылка:
http://rgho.st/private/7fMHchLJv/8a5...41c500909133b5
http://rgho.st/65Q45Mkvn

Надеюсь все правильно сделал?

[Vvvyg]

Не всё верно.

Код:

adddir C:

Неужели буква диска флэшки - С: Не верю. Мы флэшку должны зачистить.

Пробуем так, чтобы вы не путались.

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------
sreg
addsgn 1ACD2D9A55835A8CF42B16F1C38C12C6848A84B0897FDF2EEFD79BC9576E714E231728510593E04EA046279F3E504990798F00B10FDAB0A9ED2EFD8C3B616473 8 Trojan.Win32.Agentb.isqc [Kaspersky] 7
addsgn A7679BF0AA021C2C4AD4C6D14B891261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95C263C9EE82BD6D734856C775BACCA8E8B32 8 New.USB.Trj 7
chklst
delvir
delref %SystemDrive%\USERS\ЗЕРДЕ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PHKDCINMMLJBLPNKOHLIPAIODLONPINF\11.0.3_1\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\ЗЕРДЕ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PKEDCJKDEFGPDELPBCMBMEOMCJBEEMFM\6317.1002.0.5_0\CHROME MEDIA ROUTER
delref %SystemDrive%\USERS\ЗЕРДЕ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PMPOAAHLECCAIBBHFJFIMIGEPMFMMBBK\2.21.9_0\ПУЛЬТ
delref %SystemDrive%\USERS\ЗЕРДЕ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\40.0.2214.3645\RESOURCES\GENERATED_TABLEAU\TABLEAU
delref %SystemDrive%\USERS\ЗЕРДЕ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\40.0.2214.3645\RESOURCES\TABLEAUDER\SRC\TABLEAUDER
delref %Sys32%\DRIVERS\VDE2ODQX.SYS
delref H:\WINDOWS\AUTORUN.EXE
delref H:\AUTORUN.EXE
apply
areg

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

Лог выполнения скрипта, самый свежий, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Уточните букву флэш диска.

[erik51711]

Вот новый лог:
И да флеш диск да: С

[Vvvyg]

Ну, тогда всё в порядке должно быть.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[erik51711]

Готово, вот файлы

[Vvvyg]

Мда, трудновыводимая гадость.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CloseProcesses:
HKU\S-1-5-21-844884140-4176702358-3930692641-1000\...\Run: [{329FBE76-A86B-929F-03F0-ED4450053F6D}] => d:\users\зерде\appdata\roaming\{ae8f9646-805b-0e8f-03f0-ed4450053f6d}\033046d9.exe [319488 2017-12-10] (The reader is the leader)
Task: {166B97F7-11A9-45C5-ACA0-DBFB7BDB6B54} - System32\Tasks\{329FBE76-A86B-929F-03F0-ED4450053F6D} => d:\users\зерде\appdata\roaming\{ae8f9646-805b-0e8f-03f0-ed4450053f6d}\033046d9.exe [2017-12-10] (The reader is the leader) <==== ATTENTION
Folder: 2017-12-05 16:03 - 2017-12-10 10:06 - 000000000 ____D D:\Users\зерде\AppData\Roaming\{ae8f9646-805b-0e8f-03f0-ed4450053f6d}
Folder: D:\Users\зерде\AppData\Roaming\{C8B31A8B-2E70-A150-AC0A-1C536A661D8D}
2017-12-05 17:17 - 2017-12-08 17:13 - 000000000 ____D D:\Users\зерде\AppData\Roaming\{C8B31A8B-2E70-A150-AC0A-1C536A661D8D}
2017-12-05 16:03 - 2017-12-10 10:06 - 000000000 ____D D:\Users\зерде\AppData\Roaming\{ae8f9646-805b-0e8f-03f0-ed4450053f6d}
FF Extension: (Домашняя страница Mail.Ru) - D:\Users\зерде\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2017-03-12] [Lagacy]
FF Extension: (Поиск@Mail.Ru) - D:\Users\зерде\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2017-03-12] [Lagacy]
CHR Extension: (Chrome Media Router) - D:\Users\зерде\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2017-12-09]
CHR HKU\S-1-5-21-844884140-4176702358-3930692641-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ddadgcdmddljmpkpinkalnepdepplpkj] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-844884140-4176702358-3930692641-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gkcfopbmpihfnphgamgibhkdhdgnplfp] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-844884140-4176702358-3930692641-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ledkfmfckejkemlmpckiaoaldhldfmbe] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-844884140-4176702358-3930692641-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-844884140-4176702358-3930692641-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hpcghcdjnehpkdecaflpedhklimnejia] - hxxp://clients2.google.com/service/update2/crx
2017-12-05 07:36 - 2017-12-05 16:46 - 000013312 _____ D:\Windows\SysWOW64\Drivers\vde2odqx.sys
2017-12-03 17:03 - 2017-12-04 19:48 - 000000000 __SHD D:\$360Section
2017-12-03 16:58 - 2017-12-03 16:58 - 000000000 ____D D:\Windows\Tasks\360Disabled
2017-12-03 16:55 - 2017-10-25 15:46 - 000086248 _____ (360.cn) D:\Windows\SysWOW64\Drivers\360AvFlt.sys
2017-12-03 16:54 - 2017-12-04 19:50 - 000000000 ____D D:\Program Files (x86)\360
Task: {8C8B6641-B66B-4843-B3D9-1ECC2B361206} - \{54A332BB-0640-3D40-AC0A-1C536A661D8D} -> No File <==== ATTENTION
Task: {D25745CC-8264-41D4-A228-9BEB62ABF441} - System32\Tasks\Games\UpdateCheck_S-1-5-21-844884140-4176702358-3930692641-1000
MSCONFIG\startupreg: {329FBE76-A86B-929F-03F0-ED4450053F6D} => d:\users\зерде\appdata\roaming\{ae8f9646-805b-0e8f-03f0-ed4450053f6d}\033046d9.exe
MSCONFIG\startupreg: {505E65FE-C063-4C0A-B2B5-4991FD0457F6} => d:\users\зерде\appdata\roaming\{CC4E4DCE-E853-D01A-B2B5-4991FD0457F6}\61f19d51.exe
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!

Загрузите систему в безопасном режиме

В FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению после перезагрузки.

Сделайте лог сканирования МВАМ.

[erik51711]

готово, и второй залил на ФО так как памяти тут не хватило:
http://rgho.st/private/6NXhj4kNF/ca3...008f1c15779d05

[Vvvyg]

Удалите в MBAM всё найденное.

Сделайте новый полный образ автозапуска uVS.

[erik51711]

Готово. Залил на ФО:
http://rgho.st/7LbhhdDK9

[Vvvyg]

Побороли, MBAM справился.

[erik51711]

Нет, вирус все также стоит в флешке.

[Vvvyg]

Активного нет, а флэшку дочистим, главное, не запускайте с неё ничего.

Такой fixlist.txt скормите FRST при подключённой флэшке:

Код:

Folder: C:\

И fixlog.txt - в студию.