Самопроизвольный запуск программ и открытие окон

**white_noise** · 07.03.2016, 19:42

Доброго времени суток.

Пару дней назад вкладки в хроме стали обновляться при попытке перейти на любую ссылку (ссылки при этом не открывались). Все это выглядело так, будто глючит мышь, но через пару минут все прекратилось и больше не повторялось.
Затем в хроме поселился тулбар Ask.com, который я удалила.
Через два дня самопроизвольно открылись два окна (Компьютер) и запустилась экранная клавиатура. Дальнейшего развития событий ждать не стала, перезагрузилась и отключилась от сети. После рестарта у Dr Web Security Space 11.0 почему-то оказались отключены два модуля (SpIDer Guard и какой-то еще).

Dr Web Security Space 11.0 ничего не нашел, Kaspersky Virus Removal Tool и AVZ выловили пару троянов в файлах пятилетней давности (все это запускалось в безопасном режиме). AdwCleaner нашел много нехорошего, в том числе остатки тулбара Ask.com. Все удалила.
После проверки удалила хром со всеми настройками, поставила новый. Стоило его запустить, как он тут же закрылся и открылось (и тут же закрылось) еще какое-то окно, после чего я снова сделала принудительную перезагрузку. На харде за полчаса исчезли почти 10 Гбайт (ничего не качалось и не обновлялось).

После всего этого Dr Web Security Space 11.0 нашел два пакета с Trojan.MulDrop6.25803 в C:\Windows\Installer — d6ddfc.msi и d6de06.msi. Оба в карантине.

Еще обнаружила, что не удалена старая версия Java, снесла и поставила свежую.

Прочее: из языковой панели сам исчез русский язык; из автозагрузки исчез SpeedFan.

В логах AVZ беспокоит вот это (в безопасном режиме то же самое):

Функция ntdll.dll:NtMakeTemporaryObject (344) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:NtSetSystemTime (532) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:ZwMakeTemporaryObject (1594) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:ZwSetSystemTime (1782) перехвачена, метод CodeHijack (метод не определен)
Функция user32.dll:SendInput (2143) перехвачена, метод CodeHijack (метод не определен)

Сейчас никакого произвола не наблюдается, но остались прочие подозрительные вещи. Хард иногда начинает усердно работать, хотя в этот момент ничего не загружается и не обновляется. Происходит это только при подключении к сети.
Один раз при старте системы были сильные тормоза, так что курсор двигался рывками; вылечилось только перезагрузкой. Возле курсора периодически появляется кружок, хотя в эти моменты ничего не запускается. Не знаю, связано ли это, но не работает восстановление системы (точки создаются, но восстановление проходит с ошибкой).

Надеюсь на помощь.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 07.03.2016, 19:44

Уважаемый(ая) white_noise, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

SQ · 07.03.2016, 23:00

Здравствуйте,

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 QuarantineFile('C:\PROGRA~2\MOVIES~1\Datamngr\x64\mgrldr.dll','');
 QuarantineFile('C:\PROGRA~2\MOVIES~1\Datamngr\mgrldr.dll','');
 QuarantineFile('C:\Windows\TEMP\1882A5BD.sys','');
 QuarantineFile('C:\Windows\System32\drivers\lipjcno.sys','');
 QuarantineFile('C:\Windows\TEMP\DAA2472.sys','');
 DeleteFile('C:\PROGRA~2\MOVIES~1\Datamngr\mgrldr.dll','32');
 DeleteFile('C:\PROGRA~2\MOVIES~1\Datamngr\x64\mgrldr.dll','32');
 DeleteFile('C:\Windows\system32\Tasks\{5A69293E-F9C5-4956-87A9-DE99403AE0C1}','64');
 BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Подготовьте лог AdwCleaner и приложите его в теме.

- Сделайте лог Check Browsers' LNK и приложите его в теме.

**white_noise** · 08.03.2016, 00:20

Карантин AVZ получился пустой.

Оба mgrldr.dll, видимо, удалил один из антивирусов, но соответствующие ключи в реестре остались. Уже пыталась вычистить их AdwCleaner'ом, но после перезагрузки они всегда восстанавливаются. Autoruns тоже их подсвечивает с ошибкой File not found.

Логи AdwCleaner и Check Browsers' LNK прилагаю.

SQ · 08.03.2016, 01:22

Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.

Удалите в AdwCleaner всё. Отчет после удаления прикрепите.

**white_noise** · 08.03.2016, 02:49

Сделала, логи прилагаю.

После перезагрузки хром при запуске выдал ошибку. Второй раз запустился нормально.

После чистки и рестарта, как и стоило ожидать, AdwCleaner опять нашел эти ключи:

Значение Найдено : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows [AppInit_DLLs] - C:\PROGRA~2\MOVIES~1\Datamngr\mgrldr.dll
Значение Найдено : [x64] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows [AppInit_DLLs] - C:\PROGRA~2\MOVIES~1\Datamngr\x64\mgrldr.dll

SQ · 08.03.2016, 12:51

- Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**white_noise** · 08.03.2016, 13:49

Запустила сканирование, Dr.Web сразу нашел в FRST64.exe DPH:Trojan.Encoder.10. Что делать?

SQ · 08.03.2016, 18:47

Сообщение от white_noise

Запустила сканирование, Dr.Web сразу нашел в FRST64.exe DPH:Trojan.Encoder.10. Что делать?

Скачивали по ссылке указанной выше?

В случае положительного ответа -> отправьте в вирусную лабораторию Drweb на анализ, возможно ложное срабатывание.

https://www.virustotal.com/en/file/1cb35a93213562911d4e4218effcb9fc5a946b6e1a99509bcd 2b5c936898d159/analysis/1457451408/

Самопроизвольный запуск программ и открытие окон (заявка № 197975)

Опции темы