Поймал подарочек.

[Serjic]

Ещё и кодировка сбилась при посте (заголовок не могу исправить)

Поймал троян. В безопасном режиме с помощью adwcleaner удаляю его, но при обычной загрузке он снова воскресает и съедает все ресурсы.

[Info_bot]

Уважаемый(ая) Serjic, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Логи нужны из обычного, а не безопасного, режима

[Serjic]

Пробую в обычном режиме, пишет что включен AVZPM и отправляет в перезагрузку. После перезагрузки снова пишет что включен AVZPM и снова в перезагрузку. И так по кругу.

[thyrex]

Пофиксите в HiJack из папки Autologger

Код:

O3 - HKCU\..\Toolbar: (no name) - {1E796980-9CC5-11D1-A83F-00C04FC99D61} - (no file)
O3 - HKCU\..\Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O3 - HKLM\..\Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O4 - HKLM\..\Run: [collect] = C:\Collect.exe -s:192.168.5.104:9997
O4 - MSConfig\startupreg: AdobeUpdater [command] = C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe (file missing) (HKCU) (2015/11/23)
O4 - MSConfig\startupreg: Firewall auto setup [command] = C:\Documents and Settings\user\Local Settings\Temp\winlogon.exe  (file missing) (HKCU) (2015/11/23)
O4 - MSConfig\startupreg: MicrosoftUpdate [command] = C:\Documents and Settings\user\Local Settings\Temp\44.tmp.exe  (file missing) (HKCU) (2015/11/23)
O4 - MSConfig\startupreg: YI9B2F0FYEXG0G0HB [command] = C:\systemhost\24FC2AE3EA8.exe  (file missing) (HKCU) (2015/11/23)
O4 - MSConfig\startupreg: c: [command] = (no file) (2010/11/20)

Перезагрузите компьютер и пробуйте сделать логи в обычном режиме

[Serjic]

... Перезагрузите компьютер и пробуйте сделать логи в обычном режиме

Мертво висеть перестал,но пишет что включен AVZPM и отправляет в перезагрузку. После перезагрузки снова пишет что включен AVZPM и снова в перезагрузку. И так по кругу.

[thyrex]

Выполните скрипт в AVZ из папки Autologger

Код:

 begin
SetAVZPMStatus(False);
ExecuteStdScr(6);
RebootWindows(true); 
end.

Компьютер перезагрузится.

Пробуйте теперь собрать логи.

[Serjic]

Выполните скрипт ...

Выполнил. Компьютер перегрузился и снова пишет "Включен AVZPM! Сейчас он будет отключен... " и предлагает перезагрузку. Если отказываюсь от перезагрузки, то AVZ закрывается.

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Serjic]

Сделано

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
U5 vdmynzg0; C:\Windows\System32\Drivers\vdmynzg0.sys [13312 2010-10-29] () [File not signed]
S0 Winsx05; System32\Drivers\Winsx05.sys [X]
S1 yvbb02; \??\C:\WINDOWS\system32\yvbb02.sys [X]
S4 crvdll; C:\WINDOWS\System32\svchost.exe [14336 2008-04-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
HKLM\...\RunOnce: [AVZ] => cmd /c start " " "C:\Documents and Settings\terminal1\Мои документы\Загрузки\AutoLogger\AutoLogger\AVZ\avz.exe" Script="C:\Documents and Settings\terminal1\Мои документы\Загрузки\AutoLogger\AutoLogger (the data entry has 36 more characters).
2010-09-28 08:13 - 2010-10-07 16:32 - 000076296 _____ () C:\Program Files\Common Files\jqyrg4inedzz13m
2014-10-05 12:07 - 2014-10-05 12:07 - 000000000 ____D () C:\Documents and Settings\terminal1\Local Settings\Temp\avgnt.exe
2014-10-05 12:31 - 2014-10-05 12:31 - 000000000 ____D () C:\Documents and Settings\terminal10\Local Settings\Temp\avgnt.exe
2014-10-05 12:34 - 2014-10-05 12:34 - 000000000 ____D () C:\Documents and Settings\terminal11\Local Settings\Temp\avgnt.exe
2012-08-23 06:38 - 2012-08-23 06:38 - 000248008 _____ (Ask.com) C:\Documents and Settings\terminal12\Local Settings\Temp\AskSLib.dll
2014-10-05 12:39 - 2014-10-05 12:39 - 000000000 ____D () C:\Documents and Settings\terminal12\Local Settings\Temp\avgnt.exe
2013-01-29 01:20 - 2013-01-29 01:20 - 000248008 _____ (Ask.com) C:\Documents and Settings\terminal13\Local Settings\Temp\AskSLib.dll
2014-10-05 12:40 - 2014-10-05 12:40 - 000000000 ____D () C:\Documents and Settings\terminal13\Local Settings\Temp\avgnt.exe
2014-10-05 12:43 - 2014-10-05 12:43 - 000000000 ____D () C:\Documents and Settings\terminal14\Local Settings\Temp\avgnt.exe
2014-10-05 12:44 - 2014-10-05 12:44 - 000000000 ____D () C:\Documents and Settings\terminal15\Local Settings\Temp\avgnt.exe
2014-10-05 12:46 - 2014-10-05 12:46 - 000000000 ____D () C:\Documents and Settings\terminal16\Local Settings\Temp\avgnt.exe
2014-10-05 12:48 - 2014-10-05 12:48 - 000000000 ____D () C:\Documents and Settings\terminal17\Local Settings\Temp\avgnt.exe
2014-10-05 12:49 - 2014-10-05 12:49 - 000000000 ____D () C:\Documents and Settings\terminal18\Local Settings\Temp\avgnt.exe
2014-10-05 12:51 - 2014-10-05 12:51 - 000000000 ____D () C:\Documents and Settings\terminal19\Local Settings\Temp\avgnt.exe
2013-01-29 01:20 - 2013-01-29 01:20 - 000248008 _____ (Ask.com) C:\Documents and Settings\terminal2\Local Settings\Temp\AskSLib.dll
2014-05-13 13:25 - 2014-05-13 13:25 - 000000000 ____D () C:\Documents and Settings\terminal2\Local Settings\Temp\avgnt.exe
2014-10-05 12:52 - 2014-10-05 12:52 - 000000000 ____D () C:\Documents and Settings\terminal20\Local Settings\Temp\avgnt.exe
2014-10-05 12:54 - 2014-10-05 12:54 - 000000000 ____D () C:\Documents and Settings\terminal21\Local Settings\Temp\avgnt.exe
2014-10-05 12:57 - 2014-10-05 12:57 - 000000000 ____D () C:\Documents and Settings\terminal22\Local Settings\Temp\avgnt.exe
2014-10-05 12:55 - 2014-10-05 12:55 - 000000000 ____D () C:\Documents and Settings\terminal23\Local Settings\Temp\avgnt.exe
2013-01-29 01:20 - 2013-01-29 01:20 - 000248008 _____ (Ask.com) C:\Documents and Settings\terminal3\Local Settings\Temp\AskSLib.dll
2014-10-05 12:15 - 2014-10-05 12:15 - 000000000 ____D () C:\Documents and Settings\terminal3\Local Settings\Temp\avgnt.exe
2013-01-29 01:20 - 2013-01-29 01:20 - 000248008 _____ (Ask.com) C:\Documents and Settings\terminal4\Local Settings\Temp\AskSLib.dll
2014-10-05 12:17 - 2014-10-05 12:17 - 000000000 ____D () C:\Documents and Settings\terminal4\Local Settings\Temp\avgnt.exe
2014-10-05 12:20 - 2014-10-05 12:20 - 000000000 ____D () C:\Documents and Settings\terminal5\Local Settings\Temp\avgnt.exe
2014-10-05 12:23 - 2014-10-05 12:23 - 000000000 ____D () C:\Documents and Settings\terminal6\Local Settings\Temp\avgnt.exe
2014-10-05 12:25 - 2014-10-05 12:25 - 000000000 ____D () C:\Documents and Settings\terminal7\Local Settings\Temp\avgnt.exe
2014-10-05 12:27 - 2014-10-05 12:27 - 000000000 ____D () C:\Documents and Settings\terminal8\Local Settings\Temp\avgnt.exe
2014-10-05 12:30 - 2014-10-05 12:30 - 000000000 ____D () C:\Documents and Settings\terminal9\Local Settings\Temp\avgnt.exe
2014-04-16 12:00 - 2014-04-16 12:00 - 000000000 ____D () C:\Documents and Settings\Администратор\Local Settings\Temp\avgnt.exe
2014-05-24 15:05 - 2014-05-24 15:05 - 000000000 ____D () C:\Documents and Settings\Все остальные\Local Settings\Temp\avgnt.exe
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Serjic]

Сделано

[thyrex]

Что с проблемой?

[Serjic]

Обе проблемы остались.
AVZPM отключить так и не может
Вирус тоже похоже живой. При переключении в основную учетную запись машина через пол минуты наглухо виснет и кладет локальную сеть.

[thyrex]

Сделайте лог МВАМ

[Serjic]

Сделано

[thyrex]

Поместите в карантин все, КРОМЕ

Код:

PUM.Optional.DisabledSecurityCenter, HKU\S-1-5-21-1801674531-1708537768-1957994488-500\SOFTWARE\MICROSOFT\SECURITY CENTER|ANTIVIRUSDISABLENOTIFY, Проигнорировано пользователем, [12970], [293291],1.0.5935
PUM.Optional.DisabledSecurityCenter, HKU\S-1-5-21-1801674531-1708537768-1957994488-500\SOFTWARE\MICROSOFT\SECURITY CENTER|FIREWALLDISABLENOTIFY, Проигнорировано пользователем, [12970], [293292],1.0.5935
PUM.Optional.DisabledSecurityCenter, HKU\S-1-5-21-1801674531-1708537768-1957994488-500\SOFTWARE\MICROSOFT\SECURITY CENTER|UPDATESDISABLENOTIFY, Проигнорировано пользователем, [12970], [293293],1.0.5935
PUM.Optional.DisabledSecurityCenter, HKU\S-1-5-21-1801674531-1708537768-1957994488-1004\SOFTWARE\MICROSOFT\SECURITY CENTER|ANTIVIRUSDISABLENOTIFY, Проигнорировано пользователем, [12970], [293291],1.0.5935
PUM.Optional.DisabledSecurityCenter, HKU\S-1-5-21-1801674531-1708537768-1957994488-1004\SOFTWARE\MICROSOFT\SECURITY CENTER|FIREWALLDISABLENOTIFY, Проигнорировано пользователем, [12970], [293292],1.0.5935
PUM.Optional.DisabledSecurityCenter, HKU\S-1-5-21-1801674531-1708537768-1957994488-1004\SOFTWARE\MICROSOFT\SECURITY CENTER|UPDATESDISABLENOTIFY, Проигнорировано пользователем, [12970], [293293],1.0.5935
PUM.Optional.DisabledSecurityCenter, HKU\S-1-5-21-1801674531-1708537768-1957994488-1003\SOFTWARE\MICROSOFT\SECURITY CENTER|ANTIVIRUSDISABLENOTIFY, Проигнорировано пользователем, [12970], [293291],1.0.5935
PUM.Optional.DisabledSecurityCenter, HKU\S-1-5-21-1801674531-1708537768-1957994488-1003\SOFTWARE\MICROSOFT\SECURITY CENTER|FIREWALLDISABLENOTIFY, Проигнорировано пользователем, [12970], [293292],1.0.5935
PUM.Optional.DisabledSecurityCenter, HKU\S-1-5-21-1801674531-1708537768-1957994488-1003\SOFTWARE\MICROSOFT\SECURITY CENTER|UPDATESDISABLENOTIFY, Проигнорировано пользователем, [12970], [293293],1.0.5935
PUM.Optional.DisabledSecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|ANTIVIRUSDISABLENOTIFY, Проигнорировано пользователем, [12970], [293294],1.0.5935
PUM.Optional.DisabledSecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|FIREWALLDISABLENOTIFY, Проигнорировано пользователем, [12970], [293295],1.0.5935
PUM.Optional.DisabledSecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|UPDATESDISABLENOTIFY, Проигнорировано пользователем, [12970], [293296],1.0.5935

HackTool.Agent, C:\WINDOWS\SYSTEM32\CRYPT.DLL, Проигнорировано пользователем, [3936], [146769],1.0.5935

[Serjic]

Сделано. Но машина по прежнему живет только в безопасном режиме. При загрузке в обычный режим, где то через минуту машина вешает локалку и начинает безбожно тормозить.

[thyrex]

В безопасном режиме с помощью adwcleaner удаляю его, но при обычной загрузке он снова воскресает и съедает все ресурсы.

Лог AdwCleaner прикрепите