Подозреваю, что у меня неизвестный вирус.

[Sergey54321]

Здравствуйте.
Подробно описываю ситуацию.
Система windows7 32bit. Никакого антивируса не было.
Была сильно заражена вирусами. Что я сделал:
1. Загрузился с kaspersky live cd, выполнил полную проверку - удалилось около 150 зараженных файлов.
2. Загрузился с dr.web live cd, выполнил полную проверку - удалилось ещё около 600 зараженных файлов.
3. Запустил adwcleaner - он удалил кучу всего.

Что происходит сейчас:
запуск adwcleaner каждый раз показывает появление 3х новых scheduled tasks.
Все утилиты лечения и livecd с обновлением баз непосредственно перед сканированием показывают полное отсутствие любых подозрительных объектов.
Проверяю уже около 5 дней - всегда одно и то же.
Компьютер держится не подключенным к сети. (Подключается на небольшое время для обновления баз, для выполнения инструкции по сбору данных о системе).
У меня всё-таки есть подозрение, что что-то всё-таки осталось где-то. Но не могу найти что и где.
Поэтому решил обратиться за помощью.

К сожалению выполнить пункт 1 (Запуск скрипта №3) инструкции я не смог.
AVZ умирает во время сканирования диска где-то минут через 5-10 после начала сканирования.
Два остальных пункта инструкции выполнил.
Результаты работы прилагаю во вложении.

Буду рад любой помощи.
Спасибо.

[Info_bot]

Уважаемый(ая) Sergey54321, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Внимание

Не включайте AVZPM в AVZ без особого указания

В меню выполните AVZPM -> Удалить драйвер расширенного мониторинга процессов.

Выполните скрипт в AVZ:

Код:

begin
 SearchRootkit(true, true);
 SetAVZPMStatus(false);
 QuarantineFile('C:\Program Files\CiPlus-4.5vV30.07\ae60b39b-ed0e-4287-9f18-d483c42d2363-10.exe', '');
 QuarantineFile('C:\Users\User\AppData\Roaming\aDeKTdvBndHfgm7.exe', '');
 DeleteFile('C:\Users\User\AppData\Roaming\aDeKTdvBndHfgm7.exe', '32');
 DeleteFile('C:\Windows\Tasks\aDeKTdvBndHfgm7.job', '32');
 DeleteFile('C:\Program Files\CiPlus-4.5vV30.07\ae60b39b-ed0e-4287-9f18-d483c42d2363-10.exe', '32');
 DeleteFile('C:\Windows\Tasks\ae60b39b-ed0e-4287-9f18-d483c42d2363-10_user.job', '32');
 DeleteFile('C:\Windows\Tasks\ae60b39b-ed0e-4287-9f18-d483c42d2363-5_user.job', '32');
 DeleteFile('C:\Windows\Tasks\d3a29289-72d5-4857-be9d-918c7ae494f1-10_user.job', '32');
 DeleteService('myzywulo');
 DeleteService('hyverumu');
 DeleteService('comyninu');
 DeleteFileMask('C:\Program Files\CiPlus-4.5vV30.07', '*', true);
 DeleteDirectory('C:\Program Files\CiPlus-4.5vV30.07');
 DelBHO('{0633EE93-D776-472f-A0FF-E1416B8B2E3D}');
 DelBHO('{b608cc98-54de-4775-96c9-097de398500c}');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run-', 'Zona');
BC_ImportDeletedList;
ExecuteSysClean;
 ExecuteRepair(21);
 ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

Сделайте лог AdwCleaner (by Xplode).

Сделайте лог Check Browsers' LNK.

[Sergey54321]

К сожалению, отправить файл карантина не могу - говорит ошибка, что файл уже загружен. (Может потому, что там пусто? размер файла 22 байта)
Все скрипты выполнил.
Высылаю новые логи.
Спасибо.

[Vvvyg]

Да, пуст карантин.

Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

В AdwCleaner явно сами очистку делали, прикрепите самый свежий лог с буквой C вместо S в имени.

Что с проблемами?

[Sergey54321]

Да. Adwcleaner запускал много раз самостоятельно. В первый раз он удалил много всего.
Прилагаю последний скрипт лечения. Там как раз те 3 scheduled tasks, которые мне очень не нравились.

По поводу симптомов:
Перестали после каждого лечения adwcleaner ом появляться 3 задания.
hijackthis больше не показывает странных процессов
Пропали блокировки с менеджера доступа к файлам.
Если множество пустых красный строчек в менеджре процессов AVZ при включенном AVZPM это нормально, тогда не осталось ничего, что бы меня беспокоило.
На всякий случай всё равно прикладываю к сообщению запрошенные файлы.
Спасибо за помощь.

Хочу уточнить: hijackthis обращает внимание, что сейчас файл hosts сильно защищён от записи (и атрибутом read-only, и разрешениями). Стоит оставить это как есть?

[Vvvyg]

Если множество пустых красный строчек в менеджре процессов AVZ при включенном AVZPM это нормально, тогда не осталось ничего, что бы меня беспокоило.

AVZPM на 7-ке и более новых системах работает не совсем, как задумано, так скажем.

Хочу уточнить: hijackthis обращает внимание, что сейчас файл hosts сильно защищён от записи (и атрибутом read-only, и разрешениями). Стоит оставить это как есть?

Это Вы HijackThis запустили не от имени администратора. Попробуйте через правую кнопку мыши Запуск от имени администратора) - не будет этого предупреждения.

Загрузите SecurityCheck by glax24 отсюда и сохраните на Рабочем столе.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

[Sergey54321]

Ещё один момент меня смущает,
который не заметил сразу.
В трее висит какое-то "Средство проверки памяти Windows",
которое не нажимается ни правой ни левой кнопкой мыши.
И не знаю, как это удалить. (и нужно ли это удалять).
Оно появляется не сразу, поэтому я его сначала и не заметил.

[Vvvyg]

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

[Sergey54321]

Высылаю запрошенные файлы.

Спасибо за разъяснения по поводу AVZPM.
hijackthis я запускаю с правами администратора. То, что файл hosts защищен от записи я явно просмотрел через свойства файла в проводнике.
Там у него и read-only атрибут стоит, и прав на запись нет ни у одного пользователя. Но это совершенно не проблема. Я не знаю, кому и что может понадобиться туда писать. Если уж защищён от записи, пусть так и остается. Никаких плохих записей там нет.

Никакой подозрительной активности, за исключением этой странной программы "Средство проверки памяти Windows", сейчас не наблюдаю.

В логах программ SecurityCheck и uvs наблюдаю имена файлов и пути, которые уже были удалены до этого антивирусами. Но, видимо, они остались в списках "установка и удаление программ" - оттуда я их не удалял.

Спасибо.

[Vvvyg]

Выполните скрипт в uVS:

Код:

;uVS v3.86.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
delref %Sys32%\MDRES.EXE
delref HTTP://EROBIRYU.RU/?UTM_CONTENT=F789F3360E02FF2DD5373D98AAC65EB0&UTM_SOURCE=STARTPM&UTM_TERM=8E30CF77D58785A10475F816E432641A
uidel C:\Program Files\CiPlus-4.5vV29.07\Uninstall.exe /fcp=1 /runexe='C:\Program Files\CiPlus-4.5vV29.07\UninstallBrw.exe' /url='http://notif.globalnodemax.com/notf_sys/index.html' /brwtype='uni' /onerrorexe='C:\Program Files\CiPlus-4.5vV29.07\utils.exe' /crregname='CiPlus-4.5vV29.07' /appid='74261' /srcid='003082' /bic='ddb92e452ddfa2e1ccf783181a972106IE' /verifier='2bfa7c44ccaff0a353e943138db9dd55' /brwshtoms='15000' /installerversion='1_36_01_22' /statsdomain='http://stats.globalnodemax.com/utility.gif?' /errorsdomain='http://errors.globalnodemax.com/utility.gif?' /monetizationdomain='http://logs.globalnodemax.com/monetization.gif?'
uidel C:\Program Files\CiPlus-4.5vV30.07\Uninstall.exe /fcp=1 /runexe='C:\Program Files\CiPlus-4.5vV30.07\UninstallBrw.exe' /url='http://notif.globalnodemax.com/notf_sys/index.html' /brwtype='uni' /onerrorexe='C:\Program Files\CiPlus-4.5vV30.07\utils.exe' /crregname='CiPlus-4.5vV30.07' /appid='74261' /srcid='003082' /bic='ddb92e452ddfa2e1ccf783181a972106IE' /verifier='2bfa7c44ccaff0a353e943138db9dd55' /brwshtoms='15000' /installerversion='1_36_01_22' /statsdomain='http://stats.globalnodemax.com/utility.gif?' /errorsdomain='http://errors.globalnodemax.com/utility.gif?' /monetizationdomain='http://logs.globalnodemax.com/monetization.gif?'
uidel "C:\Program Files\gmsd_ru_005010050\unins000.exe"
uidel "C:\Program Files\gmsd_ru_005010048\unins000.exe"
uidel "C:\Program Files\gmsd_ru_005010047\unins000.exe"
uidel "C:\Program Files\gmsd_ru_005010044\unins000.exe"
delref %SystemDrive%\PROGRAM FILES\AUSLOGICS\AUSLOGICS BOOSTSPEED\BOOSTSPEED.EXE
delref %SystemDrive%\PROGRAM FILES\ZONA\ZONA.EXE
delref %SystemDrive%\PROGRAM FILES\AUSLOGICS\AUSLOGICS BOOSTSPEED\RESCUECENTER.EXE
delref %SystemDrive%\PROGRAM FILES\AUSLOGICS\AUSLOGICS BOOSTSPEED\UNINS000.EXE
delref %SystemDrive%\PROGRAM FILES\AUSLOGICS\AUSLOGICS BOOSTSPEED\CDEFRAG.EXE
delref %SystemDrive%\PROGRAM FILES\AUSLOGICS\AUSLOGICS BOOSTSPEED\DISKCLEANER.EXE
delref %SystemDrive%\PROGRAM FILES\AUSLOGICS\AUSLOGICS BOOSTSPEED\DISKDEFRAG.EXE
delref %SystemDrive%\PROGRAM FILES\AUSLOGICS\AUSLOGICS BOOSTSPEED\DISKDOCTOR.EXE
delref %SystemDrive%\PROGRAM FILES\AUSLOGICS\AUSLOGICS BOOSTSPEED\DISKEXPLORER.EXE
delref %SystemDrive%\PROGRAM FILES\AUSLOGICS\AUSLOGICS BOOSTSPEED\DISKWIPER.EXE
delref %SystemDrive%\PROGRAM FILES\AUSLOGICS\AUSLOGICS BOOSTSPEED\DUPLICATEFILEFINDER.EXE
delref %SystemDrive%\PROGRAM FILES\AUSLOGICS\AUSLOGICS BOOSTSPEED\FILERECOVERY.EXE
delref %SystemDrive%\PROGRAM FILES\AUSLOGICS\AUSLOGICS BOOSTSPEED\FILESHREDDER.EXE
delref %SystemDrive%\PROGRAM FILES\AUSLOGICS\AUSLOGICS BOOSTSPEED\INTERNETOPTIMIZER.EXE
delref %SystemDrive%\PROGRAM FILES\AUSLOGICS\AUSLOGICS BOOSTSPEED\REGCLEANER.EXE
delref %SystemDrive%\PROGRAM FILES\AUSLOGICS\AUSLOGICS BOOSTSPEED\REGISTRYDEFRAG.EXE
delref %SystemDrive%\PROGRAM FILES\AUSLOGICS\AUSLOGICS BOOSTSPEED\SERVICEMANAGER.EXE
delref %SystemDrive%\PROGRAM FILES\AUSLOGICS\AUSLOGICS BOOSTSPEED\STARTUPMANAGER.EXE
delref %SystemDrive%\PROGRAM FILES\AUSLOGICS\AUSLOGICS BOOSTSPEED\SYSTEMINFORMATION.EXE
delref %SystemDrive%\PROGRAM FILES\AUSLOGICS\AUSLOGICS BOOSTSPEED\TASKMANAGER.EXE
delref %SystemDrive%\PROGRAM FILES\AUSLOGICS\AUSLOGICS BOOSTSPEED\TRACKERASER.EXE
delref %SystemDrive%\PROGRAM FILES\AUSLOGICS\AUSLOGICS BOOSTSPEED\TWEAKMANAGER.EXE
delref %SystemDrive%\PROGRAM FILES\AUSLOGICS\AUSLOGICS BOOSTSPEED\PROGRAMMANAGER.EXE
deltmp
restart

Компьютер перезагрузится.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Установите Internet Explorer 11 даже если им не пользуетесь, это критически важный для безопасности компонент Windows.

Java 8 Update 31 v.8.0.310 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u60-windows-i586.exe)^

Adobe Flash Player 18 PPAPI v.18.0.0.209 Внимание! Скачать обновления
Adobe Reader XI MUI v.11.0.00 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^

Yandex v.15.7.2357.2700 Внимание! Скачать обновления

Обязательно обновите эти компоненты, это связано с безопасностью системы.

[Sergey54321]

Проделал все указанные действия.
Обновил программы.
После работы скрипта uVS, mdres.exe ("средство проверки памяти") продолжило сидеть в трее, но я нашёл его в планировщике задач на триггере "вход любого пользователя" и удалил полностью оттуда. Больше его в трее нет.
Кроме того, пока обновлял всё, заметил что opera открывает посторонние страницы примерно на каждом 3-4ом клике. Оказалось, там было расширение с именем похожим на CiPlus-4.5vV30.07 - удалил и такое поведение исчезло.

Огромное спасибо за помощь. Теперь я понимаю, что я, вероятнее всего, ошибался и никакого вируса у меня больше нет.
Всё что было и вызывало подозрение - остатки от того десятка вирусов, расположенных в той тысяче файлов, удаленных утилитами лечения в самом начале.
Без Вашей помощи, я не справился бы.
Я много итересного и полезного узнал в результате общения в этой теме.
Я полагаю, что мой вопрос полностью решен. (но запрошенный файл, всё-таки прикреплю: стараюсь следовать инструкциям).
Ещё раз спасибо.

[Vvvyg]

Да, было 2 задания на проверку памяти, скриптом удалилось одно из них.

Выполните рекомендации после лечения.