Eset Smart Security ругается на троян JS/Kryptik.I при запуске браузеров [not-a-virus:WebToolbar.Win32.CrossRider.zzu, HEUR:Trojan-Downloader.Win32.Generic ]

[DemosDeath]

Здравствуйте, собственно проблема в том, что Eset Smart Security ругается на троян JS/Kryptik.I при запуске браузера (Mozilla Firefox и другие браузеры тоже)
И из-за этого браузер начинает перенаправлять на всякие левые страницы, и засорять экран рекламой

Почитав тему про аналогичную проблему, почистил комп с помощью утилиты AdwCleaner, но это проблему не решило. Надеюсь на Вашу помощь, заранее благодарен.

[Info_bot]

Уважаемый(ая) DemosDeath, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[regist]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.


Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\?????????\AppData\Roaming\HPCWIQ.exe', '');
 QuarantineFile('C:\Users\User\AppData\Roaming\hxA3HegO2h1OdUwwy.exe', '');
 QuarantineFile('C:\Users\?????????\AppData\Roaming\PWWQKP.exe', '');
 QuarantineFile('C:\Users\User\AppData\Roaming\usfyDTT3G3.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\OFFICEICON.vbs', '');
 DeleteFile('C:\WINDOWS\Tasks\HPCWIQ.job', '64');
 DeleteFile('C:\WINDOWS\Tasks\hxA3HegO2h1OdUwwy.job', '64');
 DeleteFile('C:\WINDOWS\Tasks\PWWQKP.job', '64');
 DeleteFile('C:\WINDOWS\Tasks\usfyDTT3G3.job', '64');
 DeleteFile('C:\WINDOWS\system32\Tasks\hxA3HegO2h1OdUwwy', '64');
 DeleteFile('C:\WINDOWS\system32\Tasks\usfyDTT3G3', '64');
 DeleteFile('C:\Users\?????????\AppData\Roaming\HPCWIQ.exe', '32');
 DeleteFile('C:\Users\User\AppData\Roaming\hxA3HegO2h1OdUwwy.exe', '32');
 DeleteFile('C:\Users\?????????\AppData\Roaming\PWWQKP.exe', '32');
 DeleteFile('C:\Users\User\AppData\Roaming\usfyDTT3G3.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon','command');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaninger\AdwCleaninger[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

[DemosDeath]

Сделал все как Вы написали, но при запуске браузера антивирус все также ругается.
Прилагаю новые логи сканирований
http://virusinfo.info/virusdetector/...7CF8696F99C466 ссылка на обработку карантина

[regist]

AdwCleaner[S0].txt - [33170 байт] - [19/04/2015 11:29:01]
AdwCleaner[S1].txt - [1373 байт] - [19/04/2015 11:45:06]

эти файлы прикрепите.

- - - - -Добавлено - - - - -

+

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files (x86)\HD-V2.1\e36b7232-ea86-4bea-ac13-8720049686b2.exe', '');
 QuarantineFile('C:\Program Files (x86)\HD-V2.1\375a3efc-4de3-4d7d-8f34-f21b5bae5974-6.exe', '');
 QuarantineFile('C:\Program Files (x86)\GoHDV05.03\13f7ad7b-77cb-496e-98c6-f414ad0f2467-7.exe', '');
 QuarantineFile('C:\Program Files (x86)\GoHDV05.03\13f7ad7b-77cb-496e-98c6-f414ad0f2467-6.exe', '');
 QuarantineFile('C:\Program Files (x86)\GoHDV05.03\13f7ad7b-77cb-496e-98c6-f414ad0f2467-4.exe', '');
 QuarantineFile('C:\Program Files (x86)\GoHDV05.03\13f7ad7b-77cb-496e-98c6-f414ad0f2467-11.exe', '');
 QuarantineFile('C:\Program Files (x86)\GoHDV05.03\13f7ad7b-77cb-496e-98c6-f414ad0f2467-1-6.exe', '');
 DeleteFile('C:\WINDOWS\system32\Tasks\13f7ad7b-77cb-496e-98c6-f414ad0f2467-1-6', '64');
 DeleteFile('C:\Program Files (x86)\GoHDV05.03\13f7ad7b-77cb-496e-98c6-f414ad0f2467-1-6.exe', '32');
 DeleteFile('C:\Program Files (x86)\GoHDV05.03\13f7ad7b-77cb-496e-98c6-f414ad0f2467-11.exe', '32');
 DeleteFile('C:\WINDOWS\system32\Tasks\13f7ad7b-77cb-496e-98c6-f414ad0f2467-11', '64');
 DeleteFile('C:\Program Files (x86)\GoHDV05.03\13f7ad7b-77cb-496e-98c6-f414ad0f2467-4.exe', '32');
 DeleteFile('C:\WINDOWS\system32\Tasks\13f7ad7b-77cb-496e-98c6-f414ad0f2467-4', '64');
 DeleteFile('C:\Program Files (x86)\GoHDV05.03\13f7ad7b-77cb-496e-98c6-f414ad0f2467-6.exe', '32');
 DeleteFile('C:\WINDOWS\system32\Tasks\13f7ad7b-77cb-496e-98c6-f414ad0f2467-6', '64');
 DeleteFile('C:\Program Files (x86)\GoHDV05.03\13f7ad7b-77cb-496e-98c6-f414ad0f2467-7.exe', '32');
 DeleteFile('C:\WINDOWS\system32\Tasks\13f7ad7b-77cb-496e-98c6-f414ad0f2467-7', '64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Qj3k4SEsvejWKW00', '64');
 DeleteFile('C:\WINDOWS\system32\Tasks\temp_13f7ad7b-77cb-496e-98c6-f414ad0f2467-1-6', '64');
 DeleteFile('C:\WINDOWS\system32\Tasks\temp_13f7ad7b-77cb-496e-98c6-f414ad0f2467-6', '64');
 DeleteFile('C:\Program Files (x86)\HD-V2.1\375a3efc-4de3-4d7d-8f34-f21b5bae5974-6.exe', '32');
 DeleteFile('C:\WINDOWS\system32\Tasks\temp_375a3efc-4de3-4d7d-8f34-f21b5bae5974-6', '64');
 DeleteFile('C:\Program Files (x86)\HD-V2.1\e36b7232-ea86-4bea-ac13-8720049686b2.exe', '32');
 DeleteFile('C:\WINDOWS\system32\Tasks\temp_e36b7232-ea86-4bea-ac13-8720049686b2', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

[DemosDeath]

Выполнил скрипт и при запуске браузера перестало выскакивать сообщение о трояне, и сразу даже рекламы не было, но через пару минут стала и реклама вылазить (только она частично блокируется ADBlock, но баннеры все равно есть, они просто серые) и еще сразу Вконтакте стал нормально работать, но потом опять перестали открываться сообщения с ошибкой "JavaScript error: data is not a function". Кроме баннеров реклама еще открывается в новых окнах браузера. Также при запуске проводника и открывания папки "загрузки" выскакивают сообщения от антивируса об Win32/InstallMonstr.D и Win32/LoadMoney.A

UPD
Файл quarantine.zip не дает загрузить, говорит что он уже был загружен (я его загружал когда первый раз просили)

[regist]

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\program files (x86)\summer games\summer_games_notification_service.exe');
 QuarantineFile('C:\Program Files (x86)\globalUpdate\Update\Install\{D7BFD459-0012-4E42-A543-A8FA5CC3A53E}\setup.exe', '');
 QuarantineFile('C:\Program Files (x86)\globalUpdate\Update\Install\{BECE85F6-D1F0-49DA-BB69-301757ECA8A0}\setup.exe', '');
 QuarantineFile('C:\Program Files (x86)\summer games\summer_games_updating_service.exe', '');
 QuarantineFile('c:\program files (x86)\summer games\summer_games_notification_service.exe', '');
 QuarantineFileF('C:\Program Files (x86)\summer games\', '*.exe, *.dll, *.sys, *.bat, *.vbs, .js', true, '', 0, 0);
 DeleteFile('C:\WINDOWS\Tasks\summer_games_notification_service.job', '64');
 DeleteFile('C:\Program Files (x86)\summer games\summer_games_notification_service.exe', '32');
 DeleteFile('C:\WINDOWS\Tasks\summer_games_updating_service.job', '64');
 DeleteFile('C:\Program Files (x86)\summer games\summer_games_updating_service.exe', '32');
 DeleteFile('C:\WINDOWS\system32\Tasks\CF0Y24hyq8rfIuhL9', '64');
 DeleteFile('C:\Program Files (x86)\globalUpdate\Update\Install\{BECE85F6-D1F0-49DA-BB69-301757ECA8A0}\setup.exe', '32');
 DeleteFile('C:\Program Files (x86)\globalUpdate\Update\Install\{D7BFD459-0012-4E42-A543-A8FA5CC3A53E}\setup.exe', '32');
 DeleteFile('C:\WINDOWS\system32\Tasks\e2NGfszF4NGILPdGWzv', '64');
 DeleteFile('C:\WINDOWS\system32\Tasks\summer_games_notification_service', '64');
 DeleteFile('C:\WINDOWS\system32\Tasks\summer_games_updating_service', '64');
 DeleteFileMask('C:\Program Files (x86)\summer games\', '*', true);
 DeleteDirectory('C:\Program Files (x86)\summer games\');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon', 'command');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

• Пожалуйста, запустите adwCleaninger.exe
• Нажмите Uninstall (Удалить).
• Подтвердите удаление нажав кнопку: Да.

[DemosDeath]

Скрипт выполнил, но ничего не поменялось. Файл карантина и новые логи прикрепил.

[regist]

AVZ вы правой кнопкой от имени админа запускаете? Антивирус отключали?
Выполните скрипт ещё раз запустив от имени админа и прикрепите свежие логи.

[DemosDeath]

Анитивирус отключал, и AVZ запускал от имени администратора
Скрипт, который Вы написали он должен помочь и от вирусов Win32/InstallMonstr.D и Win32/LoadMoney.A и от рекламы которая выскакивает в браузерах?
Попробую повторно запустить скрипт как вернусь с работы, но так как я делал все по инструкции и он не помог, мне кажется повторное его использование не решит проблему.

[regist]

Ещё тогда свежий лог сканирования AdwCleaner (by Xplode) сделайте.

[DemosDeath]

Не помогает скрипт, и антивирус все также ругается и реклама прет из всех щелей

[regist]

Выполните скрипт в AVZ

Код:

begin
 DelBHO('{e7e8ed77-2fba-4ec6-bc07-65de4de6709f}');
end.

- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

Уточните в каких именно браузерах проблема кроме Мозиллы?

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

[DemosDeath]

Реклама вроде пропала, проверил в Mozilla, Chrome и Opera.
Остались только крики антивируса при запуске проводника и открывания папки "загрузки" об угрозах Win32/InstallMonstr.D и Win32/LoadMoney.A

[regist]

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Код:

start
CreateRestorePoint:
ShellIconOverlayIdentifiers: [SugarSyncBackedUp] -> {0C4A258A-3F3B-4FFF-80A7-9B3BEC139472} =>  No File
ShellIconOverlayIdentifiers: [SugarSyncPending] -> {62CCD8E3-9C21-41E1-B55E-1E26DFC68511} =>  No File
ShellIconOverlayIdentifiers: [SugarSyncRoot] -> {A759AFF6-5851-457D-A540-F4ECED148351} =>  No File
ShellIconOverlayIdentifiers: [SugarSyncShared] -> {1574C9EF-7D58-488F-B358-8B78C1538F51} =>  No File
Toolbar: HKU\S-1-5-21-1062953563-1278923135-1977957049-1002 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
CHR Extension: (Chrome Hotword Shared Module) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-04-18]
CHR Extension: (HD-V2.1) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\pldeppocfnbnopadlkalkhefdhglkijd [2014-09-15]
2015-03-31 11:14 - 2015-03-31 11:14 - 00005655 _____ () C:\Users\User\AppData\Roaming\hxA3HegO2h1OdUwwy
2015-03-31 11:14 - 2015-03-31 11:14 - 00004387 _____ () C:\Users\User\AppData\Roaming\usfyDTT3G3
2015-04-23 07:44 - 2014-05-25 21:42 - 00000000 ____D () C:\Users\Александр\AppData\Roaming\newSI_2
2015-04-23 07:44 - 2014-05-25 21:42 - 00000000 ____D () C:\Users\Александр\AppData\Roaming\newSI_10
2015-04-23 07:44 - 2013-10-01 00:21 - 00000000 ____D () C:\Users\Александр\AppData\Roaming\smwdgt
Folder:C:\ProgramData\d9ce53a2-5b0a-4d8e-9021-3efb72b12cd5
Folder:C:\Users\Все пользователи\d9ce53a2-5b0a-4d8e-9021-3efb72b12cd5
Task: {11E40746-B135-4BF7-9974-9DE4C12DCE91} - \usfyDTT3G3 No Task File <==== ATTENTION
Task: {1459219B-3FE2-4DC7-8829-0C3351BFD94E} - \temp_13f7ad7b-77cb-496e-98c6-f414ad0f2467-6 No Task File <==== ATTENTION
Task: {32D3211A-0FAE-45CD-8144-8D858A14F12F} - \e2NGfszF4NGILPdGWzv No Task File <==== ATTENTION
Task: {35070805-518D-44F3-A1DD-9FFFA9625964} - \13f7ad7b-77cb-496e-98c6-f414ad0f2467-11 No Task File <==== ATTENTION
Task: {352D3A2F-EC41-452C-9286-707E2264C5C1} - \13f7ad7b-77cb-496e-98c6-f414ad0f2467-1-6 No Task File <==== ATTENTION
Task: {391E2EDF-3DA8-4FE6-9BAC-734837245FD3} - \Qj3k4SEsvejWKW00 No Task File <==== ATTENTION
Task: {46B7D931-4AC2-4065-BE11-937E74007057} - \temp_e36b7232-ea86-4bea-ac13-8720049686b2 No Task File <==== ATTENTION
Task: {79788494-0FFE-4686-9B34-C8023EBF2770} - \13f7ad7b-77cb-496e-98c6-f414ad0f2467-6 No Task File <==== ATTENTION
Task: {7DC08F74-F762-4F68-B55A-39A4860BEE01} - \13f7ad7b-77cb-496e-98c6-f414ad0f2467-7 No Task File <==== ATTENTION
Task: {B90E9D25-0D56-4C96-8C25-39603FC183EB} - \CF0Y24hyq8rfIuhL9 No Task File <==== ATTENTION
Task: {DFB20D6A-C334-4FC5-AE28-0B790F8C58A9} - \temp_375a3efc-4de3-4d7d-8f34-f21b5bae5974-6 No Task File <==== ATTENTION
Task: {E277051D-078A-4B96-AE41-0C0EB54244C3} - \13f7ad7b-77cb-496e-98c6-f414ad0f2467-4 No Task File <==== ATTENTION
Task: {F8F528B0-2172-4E8F-93D6-AB500FE1643F} - \hxA3HegO2h1OdUwwy No Task File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\Temp:07BF512B
AlternateDataStreams: C:\ProgramData\Temp:373E1720
AlternateDataStreams: C:\Users\User\Downloads\Fwd[6]_Папка_презентация.eml:OECustomProperty
AlternateDataStreams: C:\Users\User\Downloads\Fw_Fwd[3]_как_выращивать_Лидер.eml:OECustomProperty
AlternateDataStreams: C:\Users\Александр\OneDrive:ms-properties
AlternateDataStreams: C:\Users\Все пользователи\Temp:07BF512B
AlternateDataStreams: C:\Users\Все пользователи\Temp:373E1720
MSCONFIG\startupreg: mobilegeni daemon => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe
HKLM\...\StartupApproved\Run32: => "mobilegeni daemon"
HKLM\...\StartupApproved\Run32: => "ZaxarLoader"
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

[DemosDeath]

Сделал, но не помогло, все также антивирус кричит при запуске проводника и открывания папки "загрузки" об угрозах Win32/InstallMonstr.D и Win32/LoadMoney.A

[regist]

Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. [url=http://data.mbamupdates.com/tools/mbam-rules.exe]Загрузить обно

[DemosDeath]

Просканировал, лог прикрепляю

[regist]

- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

лог удаления до сих пор не прикрепили. Жду его.

+ сделайте свежий лог сканирования.
+ Амиго используете?

[DemosDeath]

Логи прикрепляю, Амиго не использую