Вирус устанавливающий себя под видом FLV плеера

[Саша Панченко]

Поймал вирус, который устанавливает себя под видом "FLV плеер" со значком Адоб.
Теперь в Фаерфокс всплывает реклама, открывается сайт с предложением скачать утилиту для лечения Ремонтник-про
Система проверене НОД И Кьюритом, все что нашло - удалил, проблема осталась

[Info_bot]

Уважаемый(ая) Саша Панченко, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Саша Панченко]

Очистил всё лишнее в ADWCleaner
Сделал лог FRST
Сделал чек линк и клир-линк

- - - - -Добавлено - - - - -

Я конечно понимаю, что помощь на добровольной основе, но уже прошло восемь часов - и нет ответа....

[SQ]

Здравствуйте,

Самолечение не занимайтесь, где лог Additional.txt от утилиты FRST?

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  SearchScopes: HKU\S-1-5-21-1556133973-1631167147-4219613075-1000 -> {6F416C06-6023-433A-B184-A51415199FEE} URL = hxxp://search.yahoo.com/search?p={searchTerms}&fr=tightropetb&type=11433
  FF Plugin HKU\S-1-5-21-1556133973-1631167147-4219613075-1000: @acestream.net/acestreamplugin,version=3.1.2 -> C:\Users\User\AppData\Roaming\ACEStream\player\npace_plugin.dll [No File]
  FF Extension: Ace Stream Web Extension - D:\Documents\firefox\extensions\[email protected] [2016-03-18]
  Folder: C:\ProgramData\ProductData
  2016-03-19 15:23 - 2016-03-19 15:23 - 00000000 ____D C:\Users\User\AppData\Roaming\ImageCropResize
  2016-03-19 15:22 - 2016-03-19 16:18 - 00000000 ____D C:\Users\User\AppData\Local\Hostinstaller
  Folder: C:\Users\User\AppData\LocalLow\Unity
  Folder: C:\Users\User\AppData\Local\Unity
  Folder: C:\Program Files\HDSoft
  EmptyTemp:
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[Саша Панченко]

Сделано
------
+ Свежие логи AVZ
+ свежий фрст

[SQ]

Что из этого Вам известно и используейте?

C:\Users\User\AppData\Local\Unity
C:\Program Files\HDSoft

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  Task: {2721D591-3BCA-4451-8CCB-E5007F642FCD} - \MailRuUpdater -> No File <==== ATTENTION
  Task: {5162BE07-4EA4-4922-BA2A-5672B973931E} - \ASC8_SkipUac_User -> No File <==== ATTENTION
  Task: {6B93C5A1-2466-4860-BC36-2C1B9F918F4E} - \DNSLOCKINGTON -> No File <==== ATTENTION
  Task: {70674727-B22B-459F-BA1C-F3A18F2FAECD} - \Microsoft\Windows\Media Center\mcupdate -> No File <==== ATTENTION
  Task: {76F2C0A7-B3CA-42A3-A61D-1F7DF15746D4} - \ASC8_PerformanceMonitor -> No File <==== ATTENTION
  Task: {8FACDA2A-EA83-4B9D-B408-57694DC247CE} - \Opera scheduled Autoupdate 1456536647 -> No File <==== ATTENTION
  Task: {98EA2C3A-D42E-4655-8AC4-286A3E4320AC} - \{E81895A2-EDCF-D654-FEDB-78FB5A1AE427} -> No File <==== ATTENTION
  Task: {A3A4F17A-1454-4FDF-A822-EE9EE0ACCFD1} - \Uninstaller_SkipUac_User -> No File <==== ATTENTION
  Task: {D21F6024-191F-4454-BBBC-09A650DA2549} - \Microsoft\Windows\Application Experience\AitAgent -> No File <==== ATTENTION
  Task: {DD6FF64F-D0E1-4C4A-9ECC-D7FB4203FA5A} - \Microsoft\Windows\Media Center\RecordingRestart -> No File <==== ATTENTION
  EmptyTemp:
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

Пожалуйста прикладывайте только те логи, которые у Вас запрашивают.

[Саша Панченко]

есть

- - - - -Добавлено - - - - -

Что из этого Вам известно и используейте?
C:\Users\User\AppData\Local\Unity
C:\Program Files\HDSoft

C:\Program Files\HDSoft - была пустая, удалил
C:\Users\User\AppData\Local\Unity - содержит анинстал юнити (ускоритель и движок веб игр). Могу удалить.

[SQ]

C:\Users\User\AppData\Local\Unity - содержит анинстал юнити (ускоритель и движок веб игр). Могу удалить.

Не удаляйте, просто спросил.

Что с проблемой?

[Саша Панченко]

Проблема на месте
к счастью, только в Фаерфоксе
Вложение 622022

[SQ]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  FF NetworkProxy: "type", 4
  FF HKU\S-1-5-21-1556133973-1631167147-4219613075-1000\...\Firefox\Extensions: [[email protected]] - C:\Users\User\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi => not found
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

Очистите куки, кэш браузеров и кэш DNS (http://virusinfo.info/showthread.php?t=128635)

Сообщите, что с проблемой?

[Саша Панченко]

Проблема не ушла, Фаерфокс тормозит, реклама валится

[SQ]

- Приложите новый AdwCleaner.

[Саша Панченко]

Он сказал что все хорошо, но это не так
Где ж ты прячешься, вирусня?
Неужто в ап-ворк всё таки?

п.с. у меня папка с вложениями на форуме уже полуполная, как почистить?

[SQ]

Приложите новый лог FRST (только FRST.txt)

[Саша Панченко]

Вот и он

[SQ]

Какие из следующих расширений Вам знакомы и сами ставили?

FF Extension: Fast Dial - D:\Documents\firefox\extensions\[email protected] pnet.us [2015-12-21]
FF Extension: DownThemAll! - D:\Documents\firefox\extensions\{DDC359D1-844A-42a7-9AA1-88A850A938A8}.xpi [2015-12-21]
FF Extension: ImTranslator - D:\Documents\firefox\extensions\{9AA46F4F-4DC7-4c06-97AF-5035170634FE}.xpi [2016-03-11]
FF Extension: FlashGot - D:\Documents\firefox\extensions\{19503e42-ca3c-4c27-b1e2-9cdb2170ee34}.xpi [2016-03-18]
FF Extension: ADB Helper - D:\Documents\firefox\Extensions\adbhelper@mozilla. org [2016-02-29]
FF Extension: Chromifox Basic - D:\Documents\firefox\Extensions\chromifox@altmusic tv.com [2015-10-06] [not signed]
FF Extension: Fopra - D:\Documents\firefox\Extensions\[email protected] [2015-10-06] [not signed]
FF Extension: Element Hiding Helper for Adblock Plus - D:\Documents\firefox\Extensions\elemhidehelper@adb lockplus.org.xpi [2016-02-17]
FF Extension: British English Dictionary - D:\Documents\firefox\Extensions\[email protected] [2015-12-24] [not signed]
FF Extension: Firebug - D:\Documents\firefox\Extensions\[email protected] oehewitt.com.xpi [2016-02-08]
FF Extension: Firefox OS 2.2 Simulator - D:\Documents\firefox\Extensions\fxos_2_2_simulator @mozilla.org [2016-02-29]
FF Extension: British English Dictionary (Forked by Marco Pinto) - D:\Documents\firefox\Extensions\marcoagpinto@mail. telepac.pt [2016-02-29]
FF Extension: Firefox OS Simulator - D:\Documents\firefox\Extensions\[email protected] g [2016-02-29]
FF Extension: Ukrainian dictionary - D:\Documents\firefox\Extensions\[email protected] [2016-02-06]
FF Extension: Vista-aero - D:\Documents\firefox\Extensions\{07b2a769-ed19-4483-87ce-c643914c81bb} [2015-10-06] [not signed]
FF Extension: Download YouTube Videos as MP4 - D:\Documents\firefox\Extensions\{b9bfaf1c-a63f-47cd-8b9a-29526ced9060}.xpi [2016-03-20]
FF Extension: Adblock Plus - D:\Documents\firefox\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2016-02-24]
FF Extension: LinguaLeo English Translator - D:\Documents\firefox\Extensions\{DD7B8D8D-C0B5-4122-9652-4FCB1E788CD8}.xpi [2015-12-24]
FF Extension: Mosaic-Fox - D:\Documents\firefox\Extensions\{f9bddc00-152b-11de-8c30-0800200c9a66} [2015-10-06] [not signed]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  CHR Extension: (Ace Stream Web Extension) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\mjbepbhonbojpoaenhckjocchgfiaofo [2016-03-21]
  CHR HKU\S-1-5-21-1556133973-1631167147-4219613075-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx
  2016-03-19 15:23 - 2016-03-19 15:24 - 00000000 ____D C:\ProgramData\ProductData
  EmptyTemp:
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[Саша Панченко]

Какие из следующих расширений Вам знакомы и сами ставили?

всё знаю, всем пользуюсь. все установлено задолго до возникновения вопроса.

проблема в ФФ остается... Я в шоке.....

- - - - -Добавлено - - - - -

Кажись, поборол.
Удалил из дополнений все же Firefox OS - оно само имело предупреждение о уязвимости.
Удалил все старье из дополнений - оно всё равно не надо.
Обратил внимание на огромные размеры файла places.sqlite и webappsstore.sqlite - 41 и 37 мБт соответственно, перенес их в пустую папку а из папки с профилем удалил.
Пока проблема не наблюдается!
Пишу из ФФ, который не виснет и шустрит!
Надо идти на курсы хелперов

ДОБ: просканил АВЗ - все же есть куча процессов с маскировкой. Это нормально? Пишите, какие логи надо или файлы - пришлю.

[SQ]

Кажись, поборол.
Удалил из дополнений все же Firefox OS - оно само имело предупреждение о уязвимости.

Получается Вы удалил следующее расширение?

FF Extension: Firefox OS 2.2 Simulator - D:\Documents\firefox\Extensions\fxos_2_2_simulator @mozilla.org [2016-02-29]

ДОБ: просканил АВЗ - все же есть куча процессов с маскировкой. Это нормально? Пишите, какие логи надо или файлы - пришлю.

Из-за того, что у Вас на ПК включён AVZPM в AVZ, это ожидаемое поведение.


1. Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе.

2. Запустите DelFix.
Важно, для работы утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista/7/8/8.1/10 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

3.В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup

4. Нажмите на кнопку Run.

5. После окончания работы программы автоматически откроется блокнот с отчетом delfix.txt (C:\delfix.txt)

6. Прикрепите этот отчет в вашей теме.


Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

[Саша Панченко]

вот.
Большое спасибо, обновляюсь!