вирус от Трафикмедиа

[busus]

Словили зловред трафикмедиа. Он был удалён.
Но Симптомы остались:
- периодические краткосрочные подвисания компьютера с интервалом 2-3 минуты.
- скачки загруженности сетевого трафика при слабой загруженности компьютера.
1.png
- выскакивают сообщения о недостатке памяти для загрузки страницы в браузере.
- Опера работает через VPN.
2.png

[Info_bot]

Уважаемый(ая) busus, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[lex0819]

Здравствуйте!

1. Удалите браузер UCBrowser штатными средствами Windows.

Код:

C:\Program Files\UCBrowser

2. Вы сами редактировали HOSTS файл?
Этот IP 169.254.227.39 вы туда прописали?
Если вы не трогали хосты, - я их сброшу скриптом в следующем сообщении.

3. Пофиксите в HiJackThis.
Сама программа HiJackThis находится в папке AutoLogger, в подпапке HiJackThis

Код:

O4 - HKCU\..\Run: [I.UA Checker] c:\program files\mi6\i.ua checker\iua_checker.exe

4. Временно отключите защитное ПО.
Выполните скрипт AVZ.

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 DelCLSID('{89820200-ECBD-11cf-8B85-00AA005B4340}');
 DelCLSID('{2C7339CF-2B09-4501-B3F3-F3508C9228ED}');
 DelCLSID('>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}');
 QuarantineFile('C:\Users\SSMAS\AppData\Local\Temp\999B5100-68104280-90790E80-BE3F0E80\j2vxdu3lcMZ1.exe','');
 QuarantineFile('C:\Users\SSMAS\AppData\Roaming\tmp546.dat','');
 QuarantineFile('C:\Program Files\AUJHTTHZ9A\AUJHTTHZ9.exe','');
 QuarantineFile('C:\Users\SSMAS\AppData\Roaming\yizkgl4w5cl\h3hn3w24lxx.exe','');
 QuarantineFile('C:\Program Files\VOGDOK30BC\VOGDOK30B.exe','');
 QuarantineFile('C:\Users\SSMAS\AppData\Roaming\m5eenbxdho1\3bxmqd0kxuy.exe','');
 QuarantineFile('C:\ProgramData\Softex\Expert\hktray.exe','');
 DeleteService('WinMon');
 StopService('WinMon');
 QuarantineFile('C:\WINDOWS\System32\drivers\Winmon.sys','');
 DeleteService('ucdrv');
 StopService('ucdrv');
 QuarantineFile('C:\Program Files\UCBrowser\Security:ucdrv-x86.sys','');
 DeleteService('wfcre');
 StopService('wfcre');
 QuarantineFile('C:\WINDOWS\system32\drivers\wfcre.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\wfcre.sys','32');
 DeleteFile('C:\Program Files\UCBrowser\Security:ucdrv-x86.sys','32');
 DeleteFile('C:\WINDOWS\System32\drivers\Winmon.sys','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','hktray');
 DeleteFile('C:\ProgramData\Softex\Expert\hktray.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','1wtuezsmhff');
 DeleteFile('C:\Users\SSMAS\AppData\Roaming\m5eenbxdho1\3bxmqd0kxuy.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YHZXTOBFH3GYJPS');
 DeleteFile('C:\Program Files\VOGDOK30BC\VOGDOK30B.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','0zrpfg1qxoh');
 DeleteFile('C:\Users\SSMAS\AppData\Roaming\yizkgl4w5cl\h3hn3w24lxx.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Q9JXAPJNZ1GMIIJ');
 DeleteFile('C:\Program Files\AUJHTTHZ9A\AUJHTTHZ9.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{5F51FFFE-7463-4220-B711-E5B9ACB8EDFE}');
 DeleteFile('C:\Users\SSMAS\AppData\Roaming\tmp546.dat','32');
 DeleteFile('C:\Users\SSMAS\AppData\Local\Temp\999B5100-68104280-90790E80-BE3F0E80\j2vxdu3lcMZ1.exe','32');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
ExecuteWizard('SCU',2,2,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

5. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[busus]

1. Удалили браузер UCBrowser.
2. HOSTS файл мы не редактировали. IP 169.254.227.39 не прописывали.
3. Пофиксили HiJackThis.
4. Скрипт AVZ выполнили, но система крашнулась.
5. Файлы (FRST.txt и Addition.txt) во вложении.