Подозрение на вирусы (комп №1) [not-a-virus:AdWare.Win32.Goopdate.d, Trojan-Downloader.Win32.FlyStudio.kx ]

**mpbakunov** · 01.03.2018, 15:23

Зависания при работе с компьютером.

С уважением,
Максим

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 01.03.2018, 15:25

Уважаемый(ая) mpbakunov, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 03.03.2018, 19:23

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\program files\ghostery storage server\ghstore.exe');
 TerminateProcessByName('c:\windows\system32\0e6056\5685ca.exe');
 StopService('Ghostery Storage Server');
 QuarantineFile('C:\DOCUME~1\User01\LOCALS~1\Temp\E_N4\dp1.fne', '');
 QuarantineFile('C:\DOCUME~1\User01\LOCALS~1\Temp\E_N4\eAPI.fne', '');
 QuarantineFile('C:\DOCUME~1\User01\LOCALS~1\Temp\E_N4\HtmlView.fne', '');
 QuarantineFile('C:\DOCUME~1\User01\LOCALS~1\Temp\E_N4\krnln.fnr', '');
 QuarantineFile('C:\DOCUME~1\User01\LOCALS~1\Temp\E_N4\shell.fne', '');
 QuarantineFile('C:\DOCUME~1\User01\LOCALS~1\Temp\smycWTeXSeDFCWU.wSf', '');
 QuarantineFile('C:\Documents and Settings\User01\Главное меню\Программы\Автозагрузка\smycWTeXSeDFCWU.wSf', '');
 QuarantineFile('C:\Documents and Settings\админ\Local Settings\Application Data\fupdate\fupdate.exe', '');
 QuarantineFile('C:\Documents and Settings\админ\Local Settings\Application Data\SearchGo\searchgo.dll', '');
 QuarantineFile('C:\Documents and Settings\админ\Local Settings\Application Data\SearchGo\searchgo.exe', '');
 QuarantineFile('C:\Documents and Settings\админ\Local Settings\Application Data\sysnet\sysnet.exe', '');
 QuarantineFile('c:\program files\ghostery storage server\ghstore.exe', '');
 QuarantineFile('C:\Program Files\globalupdate\update\1.3.25.0\goopdate.dll', '');
 QuarantineFile('C:\Program Files\globalupdate\update\1.3.25.0\goopdateres_en.dll', '');
 QuarantineFile('c:\windows\system32\0e6056\5685ca.exe', '');
 QuarantineFileF('c:\program files\ghostery storage server', '*.exe', true, '', 0 , 0);
 DeleteFile('C:\DOCUME~1\User01\LOCALS~1\Temp\E_N4\dp1.fne', '32');
 DeleteFile('C:\DOCUME~1\User01\LOCALS~1\Temp\E_N4\eAPI.fne', '32');
 DeleteFile('C:\DOCUME~1\User01\LOCALS~1\Temp\E_N4\HtmlView.fne', '32');
 DeleteFile('C:\DOCUME~1\User01\LOCALS~1\Temp\E_N4\krnln.fnr', '32');
 DeleteFile('C:\DOCUME~1\User01\LOCALS~1\Temp\E_N4\shell.fne', '32');
 DeleteFile('C:\DOCUME~1\User01\LOCALS~1\Temp\smycWTeXSeDFCWU.wSf', '32');
 DeleteFile('C:\Documents and Settings\User01\Главное меню\Программы\Автозагрузка\smycWTeXSeDFCWU.wSf', '32');
 DeleteFile('C:\Documents and Settings\админ\Application Data\Microsoft\Internet Explorer\Quick Launch\Вoйти в Интeрнет.lnk');
 DeleteFile('C:\Documents and Settings\админ\Local Settings\Application Data\fupdate\fupdate.exe', '32');
 DeleteFile('C:\Documents and Settings\админ\Local Settings\Application Data\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk');
 DeleteFile('C:\Documents and Settings\админ\Local Settings\Application Data\SearchGo\searchgo.dll', '32');
 DeleteFile('C:\Documents and Settings\админ\Local Settings\Application Data\SearchGo\searchgo.exe', '32');
 DeleteFile('C:\Documents and Settings\админ\Local Settings\Application Data\sysnet\sysnet.exe', '32');
 DeleteFile('c:\program files\ghostery storage server\ghstore.exe', '32');
 DeleteFile('C:\Program Files\globalupdate\update\1.3.25.0\goopdate.dll', '32');
 DeleteFile('C:\Program Files\globalupdate\update\1.3.25.0\goopdateres_en.dll', '32');
 DeleteFile('c:\windows\system32\0e6056\5685ca.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "fupdate.job" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SearchGo Task.job" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "sysnet.job" /F', 0, 15000, true);
 DeleteService('Ghostery Storage Server');
 DeleteFileMask('c:\documents and settings\админ\local settings\application data\fupdate', '*', true);
 DeleteFileMask('c:\documents and settings\админ\local settings\application data\searchgo', '*', true);
 DeleteFileMask('c:\documents and settings\админ\local settings\application data\sysnet', '*', true);
 DeleteFileMask('c:\program files\ghostery storage server', '*', true);
 DeleteFileMask('c:\program files\globalupdate', '*', true);
 DeleteFileMask('c:\windows\system32\0e6056', '*', true);
 DeleteDirectory('c:\documents and settings\админ\local settings\application data\fupdate');
 DeleteDirectory('c:\documents and settings\админ\local settings\application data\searchgo');
 DeleteDirectory('c:\documents and settings\админ\local settings\application data\sysnet');
 DeleteDirectory('c:\program files\ghostery storage server');
 DeleteDirectory('c:\program files\globalupdate');
 DeleteDirectory('c:\windows\system32\0e6056');
 DelBHO('{2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC}');
 DelBHO('{598AEFC6-DD3C-4A63-9AC3-53FCF6155931}');
 DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', '5685CA');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-1957994488-1637723038-839522115-1006\Software\Microsoft\Windows\CurrentVersion\Run', 'smycWTeXSeDFCWU');
BC_ImportDeletedList;
ExecuteSysClean;
 ExecuteRepair(8);
 ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте новый лог такой версией Autologger, Ok после запуска нажимайте с зажатой клавишей Shift.

**mpbakunov** · 06.03.2018, 13:58

Результат сканирования

**Vvvyg** · 06.03.2018, 22:35

Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

O2 - HKLM\..\BHO: SearchBarBHO - {598AEFC6-DD3C-4A63-9AC3-53FCF6155931} - C:\Documents and Settings\админ\Local Settings\Application Data\SearchGo\searchgo.dll (file missing)
O3 - HKLM\..\Toolbar: Searchgo - {2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC} - C:\Documents and Settings\админ\Local Settings\Application Data\SearchGo\searchgo.dll (file missing)
O4 - HKLM\..\Run: [5685CA] = C:\WINDOWS\system32\0E6056\5685CA.EXE  (file missing)
O4 - Startup other users: C:\Documents and Settings\User01\Главное меню\Программы\Автозагрузка\smycWTeXSeDFCWU.wSf
O4 - Startup other users: C:\Documents and Settings\админ\Главное меню\Программы\Автозагрузка\5685CA.lnk    ->    C:\WINDOWS\system32\0E6056\5685CA.EXE
O4 - User Startup: C:\Documents and Settings\Administrator\Главное меню\Программы\Автозагрузка\5685CA.lnk    ->    C:\WINDOWS\system32\0E6056\5685CA.EXE
O22 - Task (Job): SearchGo Task.job - C:\Documents and Settings\админ\Local Settings\Application Data\SearchGo\searchgo.exe
O22 - Task (Job): fupdate.job - C:\Documents and Settings\админ\Local Settings\Application Data\fupdate\fupdate.exe
O22 - Task (Job): sysnet.job - C:\Documents and Settings\админ\Local Settings\Application Data\sysnet\sysnet.exe --stid=""
O23 - Service S2: Ghostery Storage Server - C:\Program Files\Ghostery Storage Server\ghstore.exe (file missing) Files\Ghostery Storage Server\ghstore.exe /svc

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**mpbakunov** · 07.03.2018, 12:09

Логи FRST

**Vvvyg** · 07.03.2018, 20:03

Ran by User01 (ATTENTION: The user is not administrator)

Переделайте из-под администратора.

**CyberHelper** · 07.03.2018, 20:13

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 15
В ходе лечения обнаружены вредоносные программы:
1. c:\documents and settings\user01\главное меню\программы\автозагрузка\smycwtexsedfcwu.wsf - HEUR:Trojan.Script.Generic
2. c:\documents and settings\админ\local settings\application data\fupdate\fupdate.exe - not-a-virus:AdWare.Win32.Agent.xxcysm ( BitDefender: Gen:Variant.Razy.24337 )
3. c:\documents and settings\админ\local settings\application data\searchgo\searchgo.dll - not-a-virus:AdWare.Win32.Agent.kcwn ( BitDefender: Trojan.GenericKD.3158757, AVAST4: Win32:Malware-gen )
4. c:\documents and settings\админ\local settings\application data\searchgo\searchgo.exe - not-a-virus:AdWare.Win32.Searchgo.a ( BitDefender: Trojan.GenericKD.3141570, AVAST4: Win32:Adware-gen [Adw] )
5. c:\documents and settings\админ\local settings\application data\sysnet\sysnet.exe - HEUR:Trojan.Win32.Generic ( BitDefender: Gen:Variant.Jaik.7423 )
6. c:\docume~1\user01\locals~1\temp\smycwtexsedfcwu.w sf - HEUR:Trojan.Script.Generic
7. c:\program files\globalupdate\update\1.3.25.0\goopdateres_en. dll - not-a-virus:AdWare.Win32.Goopdate.d ( BitDefender: Gen:Variant.Adware.Goopdate.2 )
8. c:\windows\system32\0e6056\5685ca.exe - Trojan-Downloader.Win32.FlyStudio.kx ( DrWEB: Win32.HLLW.Autoruner.26035, BitDefender: GenPack:Backdoor.Generic.197461, AVAST4: Win32:EvilEPL [Cryp] )