Вирус dota2game.org

**Lignty** · 02.12.2015, 15:32

Через какое то время после старта системы, открытия браузера или каких либо иных действий(Разное время реакции на включение пк и запуск браузера) открывается новая вкладка в хроме(браузер по умолчанию) с dota2game.org + на различных сайтах появилась новая реклама(пример на http://adultmult.tv/html/ghost_in_the_shell_start.html), которой ранее не было. Просит выключить AdBlock и запускает "наложенные области" с видео, которые честно(под вопросом, честно ли) можно закрыть, после просмотра роликов. Дополнительно увеличилась потребляемая оперативная память(не сильно, но метров 500 точно кушает что то). Периодически отваливается интернет(линк его и роутера есть, пинг до сервера гугла идёт идеально, а в браузере все почти "умерло"). Стоит KAV 2016, единственное, на что он ругается после полного сканирования, так это на AmmyAdmin(средство удалённого администрирования, которое он так и помечает и отмечает, что оно потенциально опасное, а не вирус или заражённый объект, а вот кряки и прочее, что день назад воспринимал как вирусню MSE, он не видит, даже после обновления базы и полного открытия доступа, и форсирования папки, где это всё находится).
С благодарностью прикладываю логи сканов.
В вашем "хелпе" написано, если 64 битная система, то не надо выполнять п1, соответственно и не будет одного файла во вложении. Прошу за это не банить, как назойливого ;)

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 02.12.2015, 15:34

Уважаемый(ая) Lignty, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 03.12.2015, 21:12

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Lignty\AppData\Roaming\cppredistx86.exe','');
 DeleteFile('C:\Users\Lignty\AppData\Roaming\cppredistx86.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Visual C++ 2010','command');
 DeleteFile('C:\Windows\system32\Tasks\MS','64');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

**Lignty** · 04.12.2015, 01:55

Пытаюсь прислать карантин, но пишет "Результат загрузки

Ошибка загрузки. Данный файл уже был загружен". Для справки, файл карантина был пустой.

**thyrex** · 04.12.2015, 21:15

Ждем новые логи

**Lignty** · 07.12.2015, 15:43

При проверкой AVZ пк, появляются ошибки, но проверка заканчивается, нормально ли это?

Скрытый текст

Протокол антивирусной утилиты AVZ версии 4.45
Сканирование запущено в 07.12.2015 15:30:49
Загружена база: сигнатуры - 297570, нейропрофили - 2, микропрограммы лечения - 56, база от 05.12.2015 04:00
Загружены микропрограммы эвристики: 412
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 769450
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Версия Windows: 6.1.7601, Service Pack 1 "Windows 7 Professional", дата инсталляции 01.10.2014 20:14:22 ; AVZ работает с правами администратора (+)
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:ChangeDisplaySettingsExW (1539) перехвачена, метод APICodeHijack.JmpTo[6F092956]
Функция user32.dll:CreateWindowExW (1619) перехвачена, метод APICodeHijack.JmpTo[6F092B16]
Функция user32.dll

isplayConfigGetDeviceInfo (1685) перехвачена, метод APICodeHijack.JmpTo[6F0933D6]
Функция user32.dll:EnumDisplayDevicesA (1737) перехвачена, метод APICodeHijack.JmpTo[6F0933F6]
Функция user32.dll:EnumDisplayDevicesW (173

перехвачена, метод APICodeHijack.JmpTo[6F093466]
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка загрузки драйвера - проверка прервана [C000036B]
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
Ошибка загрузки драйвера - проверка прервана [C000036B]
2. Проверка памяти
Количество найденных процессов: 41
Анализатор - изучается процесс 1768 C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
[ES]:Приложение не имеет видимых окон
Количество загруженных модулей: 253
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
Проверка отключена пользователем
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\Windows\SysWOW64\nvinit.dll"
>>> D:\Program Files\Bluetooth Suite\BtvStack.exe ЭПС: подозрение на Проверка ключа Policies\Run (высокая степень вероятности)
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 294, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 07.12.2015 15:31:25
Сканирование длилось 00:00:37
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ
можно использовать сервис http://virusdetector.ru/
Выполняется исследование системы
Диагностика сети
DNS and Ping test
Host="yandex.ru", IP="5.255.255.55,77.88.55.55,77.88.55.66,5.255.255.5", Ping=OK (0,19,5.255.255.55)
Host="google.ru", IP="212.188.10.230,212.188.10.234,212.188.10.238,212.188.10.240,212.188.10.241,212.188.10.245,212.188.10.249,212.188.10.251,212.188.10.208,212.188.10.212,212.188.10.216,212.188.10.218,212.188.10.219,212.188.10.223,212.188.10.227,212.188.10.229", Ping=OK (0,4,212.188.10.230)
Host="google.com", IP="212.188.10.212,212.188.10.216,212.188.10.218,212.188.10.219,212.188.10.223,212.188.10.227,212.188.10.229,212.188.10.230,212.188.10.234,212.188.10.238,212.188.10.240,212.188.10.241,212.188.10.245,212.188.10.249,212.188.10.251,212.188.10.208", Ping=OK (0,2,212.188.10.212)
Host="www.kaspersky.com", IP="93.159.228.16", Ping=OK (0,13,93.159.228.16)
Host="www.kaspersky.ru", IP="93.159.228.17", Ping=OK (0,15,93.159.228.17)
Host="dnl-03.geo.kaspersky.com", IP="77.74.183.10", Ping=OK (0,16,77.74.183.10)
Host="dnl-11.geo.kaspersky.com", IP="77.74.183.10", Ping=OK (0,10,77.74.183.10)
Host="activation-v2.kaspersky.com", IP="212.5.89.37", Ping=OK (0,13,212.5.89.37)
Host="odnoklassniki.ru", IP="217.20.147.94,217.20.155.58,217.20.156.159", Ping=OK (0,9,217.20.147.94)
Host="vk.com", IP="87.240.131.119,87.240.131.120,87.240.131.97", Ping=OK (0,2,87.240.131.119)
Host="vkontakte.ru", IP="95.213.4.241,95.213.4.242,95.213.4.248", Ping=OK (0,2,95.213.4.241)
Host="twitter.com", IP="199.16.156.6,199.16.156.70,199.16.156.102,199.16.156.230", Ping=OK (0,148,199.16.156.6)
Host="facebook.com", IP="173.252.90.36", Ping=OK (0,157,173.252.90.36)
Host="ru-ru.facebook.com", IP="31.13.72.8", Ping=OK (0,15,31.13.72.

Network IE settings
IE setting AutoConfigURL=
IE setting AutoConfigProxy=wininet.dll
IE setting ProxyOverride=*.local
IE setting ProxyServer=
IE setting Internet\ManualProxies=
Network TCP/IP settings
Interface: "VirtualBox Host-Only Network"
IPAddress = "192.168.56.1"
SubnetMask = "255.255.255.0"
DefaultGateway = ""
NameServer = ""
Domain = ""
DhcpServer = "255.255.255.255"
Network Persistent Routes
Исследование системы завершено

Скрыть

**thyrex** · 08.12.2015, 07:23

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

**Lignty** · 08.12.2015, 14:24

Проверил и скидываю файлы.

**thyrex** · 08.12.2015, 18:10

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
2015-08-27 11:55 - 2015-08-27 11:55 - 0371216 _____ () C:\Users\Lignty\AppData\Roaming\data13.dat
Task: {2CF6A253-5454-4D22-A9DF-BD5D28A9BD5C} - \MS -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

**Lignty** · 09.12.2015, 02:30

Прикладываю файл.

**Lignty** · 10.12.2015, 17:16

Приложил.

**thyrex** · 10.12.2015, 23:19

Проблема решена?

**Lignty** · 11.12.2015, 14:33

Нет.

**thyrex** · 11.12.2015, 20:08

Отключите все установленные расширения для браузеров и проверьте проблему

**Lignty** · 18.12.2015, 11:39

Спасибо! Помогло!

**thyrex** · 18.12.2015, 20:15

Теперь по одному включайте и найдете проблемное.
Сообщите нам его имя, а само расширение удалите

Вирус dota2game.org (заявка № 193775)

Опции темы