Много вирусов на ноутбуке. Куча неизвестных служб, вылетает Проводник [not-a-virus:AdWare.Win32.Tirrip.bor, not-a-virus:AdWare.Win32.Amonetize.faj ]

[marvak]

На моем ноутбуке при работе в Интернете брат подхватил откуда то целую кучу вирусов.
Постоянно вылетает Проводник, появилось много непонятных служб, при этом часть не стартует, в событиях сообщения типа таких

Сбой при запуске службы "PirritDesktop" из-за ошибки
Не удается найти указанный файл.

Сбой при запуске службы "dosmshtmlx64.exe" из-за ошибки
Не удается найти указанный файл.

Сбой при запуске службы "dosjreBckp.exe" из-за ошибки
Не удается найти указанный файл.

В корне системного диска постоянно появляются файлы с расширением tmp.

CureIt обнаружил и судя по его отчету обезвредил часть из них, но что то видимо осталось.

Вот прилагаю файлы.

[Info_bot]

Уважаемый(ая) marvak, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

procedure DeleteDirectoryF(N: String);
begin
 DeleteFileMask(N, '*', true);
 DeleteDirectory(N);
end;

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\125\AppData\Local\18401\Updater.exe','');
 QuarantineFile('C:\Users\Home\AppData\Local\PirritSuggestor\PirritService.exe','');
 DeleteService('PirritDesktop');
 QuarantineFile('C:\Windows\system32\nethtsrv.exe','');
 DeleteService('NetHttpService');
 QuarantineFile('C:\Users\125\AppData\Local\dosmshtmlx64\dosmshtmlx64.exe','');
 QuarantineFile('C:\Users\Home\AppData\Local\EncondingRecycleUtility\EncondingRecycleUtility.exe','');
 DeleteService('EncondingRecycleUtility.exe');
 DeleteService('dosmshtmlx64.exe');
 QuarantineFile('C:\Users\125\AppData\Local\DefaultDesktopText\DefaultDesktopText.exe','');
 QuarantineFile('C:\Users\Home\AppData\Local\DLCInterpreterOS\DLCInterpreterOS.exe','');
 QuarantineFile('C:\Users\125\AppData\Local\dosjreBckp\dosjreBckp.exe','');
 DeleteService('dosjreBckp.exe');
 DeleteService('DLCInterpreterOS.exe');
 DeleteService('DefaultDesktopText.exe');
 QuarantineFile('C:\Users\125\AppData\Local\CursorDebuggerWinsock\CursorDebuggerWinsock.exe','');
 QuarantineFile('C:\Users\125\AppData\Local\CursorFrozenPath\CursorFrozenPath.exe','');
 QuarantineFile('C:\Users\125\AppData\Local\dashboardbitsigd32\dashboardbitsigd32.exe','');
 DeleteService('dashboardbitsigd32.exe');
 DeleteService('CursorFrozenPath.exe');
 DeleteService('CursorDebuggerWinsock.exe');
 DeleteService('clipboardshdocvwx64.exe');
 QuarantineFile('C:\Users\125\AppData\Local\clipboardshdocvwx64\clipboardshdocvwx64.exe','');
 QuarantineFile('C:\Users\Home\AppData\Local\72035941a6ebb79f1d4a371d2aff36cc\c39c34460393163.exe','');
 QuarantineFile('C:\Users\125\AppData\Local\ClassCompileSprite\ClassCompileSprite.exe','');
 QuarantineFile('C:\Users\Home\AppData\Local\ClassKernelSchema\ClassKernelSchema.exe','');
 DeleteService('ClassKernelSchema.exe');
 DeleteService('ClassCompileSprite.exe');
 DeleteService('c39c34460393163.exe');
 QuarantineFile('C:\Users\Home\AppData\Local\APIFormatRepository\APIFormatRepository.exe','');
 DeleteService('APIFormatRepository.exe');
 DeleteService('AddonCronSDK.exe');
 QuarantineFile('C:\Users\125\AppData\Local\AddonCronSDK\AddonCronSDK.exe','');
 QuarantineFile('C:\Users\125\AppData\Local\AddonClassMacro\AddonClassMacro.exe','');
 DeleteService('AddonClassMacro.exe');
 SetServiceStart('8d45255d93937ba.exe', 4);
 DeleteService('8d45255d93937ba.exe');
 SetServiceStart('winsockwysiwygRec.exe', 4);
 DeleteService('winsockwysiwygRec.exe');
 SetServiceStart('wauctla Service', 4);
 DeleteService('wauctla Service');
 SetServiceStart('ServiceUpdater', 4);
 DeleteService('ServiceUpdater');
 SetServiceStart('interpretertooltipapi', 4);
 DeleteService('interpretertooltipapi');
 TerminateProcessByName('c:\users\125\appdata\local\winsockwysiwygrec\winsockwysiwygrec.exe');
 QuarantineFile('c:\users\125\appdata\local\winsockwysiwygrec\winsockwysiwygrec.exe','');
 TerminateProcessByName('c:\windows\wauctla.exe');
 QuarantineFile('c:\windows\wauctla.exe','');
 TerminateProcessByName('c:\windows\system32\netupdsrv.exe');
 QuarantineFile('c:\windows\system32\netupdsrv.exe','');
 TerminateProcessByName('c:\windows\system32\interpretertooltipapi\interpretertooltipapi.exe');
 QuarantineFile('c:\windows\system32\interpretertooltipapi\interpretertooltipapi.exe','');
 TerminateProcessByName('c:\program files\edealpop\edealpop.exe');
 QuarantineFile('c:\program files\edealpop\edealpop.exe','');
 TerminateProcessByName('c:\users\125\appdata\local\winsockwysiwygrec\dosprocessprot.exe');
 QuarantineFile('c:\users\125\appdata\local\winsockwysiwygrec\dosprocessprot.exe','');
 DeleteFile('c:\users\125\appdata\local\winsockwysiwygrec\dosprocessprot.exe','32');
 DeleteFile('c:\program files\edealpop\edealpop.exe','32');
 DeleteFile('c:\windows\system32\interpretertooltipapi\interpretertooltipapi.exe','32');
 DeleteFile('c:\windows\system32\netupdsrv.exe','32');
 DeleteFile('c:\users\125\appdata\local\winsockwysiwygrec\winsockwysiwygrec.exe','32');
 DeleteFile('C:\Users\125\AppData\Local\AddonClassMacro\AddonClassMacro.exe','32');
 DeleteFile('C:\Users\125\AppData\Local\AddonCronSDK\AddonCronSDK.exe','32');
 DeleteFile('C:\Users\Home\AppData\Local\APIFormatRepository\APIFormatRepository.exe','32');
 DeleteFile('C:\Users\Home\AppData\Local\ClassKernelSchema\ClassKernelSchema.exe','32');
 DeleteFile('C:\Users\125\AppData\Local\ClassCompileSprite\ClassCompileSprite.exe','32');
 DeleteFile('C:\Users\Home\AppData\Local\72035941a6ebb79f1d4a371d2aff36cc\c39c34460393163.exe','32');
 DeleteFile('C:\Users\125\AppData\Local\clipboardshdocvwx64\clipboardshdocvwx64.exe','32');
 DeleteFile('C:\Users\125\AppData\Local\dashboardbitsigd32\dashboardbitsigd32.exe','32');
 DeleteFile('C:\Users\125\AppData\Local\CursorFrozenPath\CursorFrozenPath.exe','32');
 DeleteFile('C:\Users\125\AppData\Local\CursorDebuggerWinsock\CursorDebuggerWinsock.exe','32');
 DeleteFile('C:\Users\125\AppData\Local\dosjreBckp\dosjreBckp.exe','32');
 DeleteFile('C:\Users\Home\AppData\Local\DLCInterpreterOS\DLCInterpreterOS.exe','32');
 DeleteFile('C:\Users\125\AppData\Local\DefaultDesktopText\DefaultDesktopText.exe','32');
 DeleteFile('C:\Users\Home\AppData\Local\EncondingRecycleUtility\EncondingRecycleUtility.exe','32');
 DeleteFile('C:\Users\125\AppData\Local\dosmshtmlx64\dosmshtmlx64.exe','32');
 DeleteFile('C:\Windows\system32\nethtsrv.exe','32');
 DeleteFile('C:\Users\Home\AppData\Local\PirritSuggestor\PirritService.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','eDealPop');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','eDealsPop');
 DeleteFile('C:\Users\125\AppData\Local\18401\Updater.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\AmiUpdXp','32');
 DeleteFile('C:\Windows\Tasks\AmiUpdXp.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;	
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Пофиксите в HiJack

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:10656

Сделайте новые логи

Сделайте лог полного сканирования МВАМ

[marvak]

Скрипт выполнил, карантин закачал. А как закачанный карантин тут указать?
Вот там выдало следующее:
Файл сохранён как 150210_113413_virus_54d9b47590b11.zip
Размер файла 1340126
MD5 0fa06ba2f03d1ecb40742a3055683fd4

В hijack не нашел строки R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=127.0.0.1:10656
есть строка
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=127.0.0.1:11296
отличаются последние 5 цифр. Фиксить ее?
Логи сделаю чуть позже.

- - - - -Добавлено - - - - -

Логи сделал, в т.ч. MBAM.

- - - - -Добавлено - - - - -

После скрипта АВЗ левые службы похоже удалились, пока нет ни одного похожего сообщения в журнале Винды.
MBAM правда нашел несколько десятков подозрительных объектов, логи я приложил выше.
Странно что Microsoft Essentials никак не реагирует вообще.

[thyrex]

Поместите в карантин МВАМ все найденное

есть строка
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=127.0.0.1:11296
отличаются последние 5 цифр. Фиксить ее?

Да

Сделайте логи RSIT

[marvak]

ХиДжеком строку пофиксил, логи RSIT прилагаю

[thyrex]

Удалите вручную

C:\Windows\system32\PublicQuickWizard
C:\Program Files\DolkaRuIePlugin
C:\Windows\system32\GammaKeyboardMySQL
C:\Windows\system32\CodecDesktopRuby
C:\Program Files\GamesRS

Что с проблемой?

[marvak]

Удалил.
В журнале системы и в корне диска С чисто.
Проводник вроде не зависает, но надо еще проверить пару дней.
А так вроде все нормально.
Брат говорит что его еще постоянно из игр (типа Need For Speed) выкидывало.
И я еще заметил, что ноут грелся очень сильно, аж пахло немного пластиком,
сейчас греется как обычно.
Это может быть тоже связано с вирусами, или нет?

[thyrex]

Это может быть тоже связано с вирусами, или нет?

Могло

Удалите МВАМ

[marvak]

MBAM удалил.
Все получается нормально сейчас?
Может логи новые сделать?

[thyrex]

Не нужно новых логов

[marvak]

Большое Вам спасибо!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 56
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\users\125\appdata\local\winsockwysiwygrec\dospr ocessprot.exe - not-a-virus:AdWare.Win32.Tirrip.bor ( AVAST4: Win32:Dropper-gen [Drp] )
  2. c:\users\125\appdata\local\18401\updater.exe - not-a-virus:AdWare.Win32.Amonetize.faj ( DrWEB: Adware.Downware.8816, BitDefender: Gen:Variant.Application.Bundler.Amonetize.17 )