Самопроизвольная установка программ

[Finch 0]

Добрый день, случилась такая неприятность: начали самопроизвольно устанавливаться программы от mail.ru, плагины и другие бесполезные утилиты. Есть подозрительный файл, который, факт, и послужил началом этого беспредела (мол, архив с victoria). Был он запущен из-за спешки и по невнимательности пользователя. Вручную были удалены установившиеся браузеры и софт. Система была проверена KAVRT, который нашел еще 2 трояна и 2 сомнительные программы. Ами админ и радмин используются в работе, потому их наличие на компьютере легально. При загрузке системы автоматом открывается браузер с окошком некой smartinf.ru. Проверка папок автозагрузки ничего не дала, все чисто.

 

P.S. На всякий случай. ОС "пропатчена" для возможности использовать ее в качестве своеобразного сервера терминалов с подключением пользователей к удаленному рабочему столу. Это так задумано.

CollectionLog-2017.04.17-19.49.zip

[thyrex 1 468]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\DOCUME~1\6E3E~1\APPLIC~1\aswast\ml.py','');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ypmxlhdmzs');
 DeleteFile('C:\DOCUME~1\6E3E~1\APPLIC~1\aswast\ml.py','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

[regist 617]

Здравствуйте!

 

1)

C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\ts_concurrent_session_patch.reg

Этот файл вам знаком?

2)

Html5 geolocation provider [20130528]-->MsiExec.exe /I{0DADC228-827E-40E2-AE6D-B9D62DA7CC32}
Яндекс.Бар 5.0 для Internet Explorer [20111214]-->MsiExec.exe /X{B1D8E65E-B8A2-48E4-90CF-34151C37EB45}
Яндекс.Бар 6.7 для Internet Explorer [20120920]-->MsiExec.exe /X{11EA1C75-DB0D-410B-B63B-20916EECD568}

Советую деинсталировать

7-Zip 4.57 [2012/01/30 13:56:50]-->"C:\Program Files\7-Zip\Uninstall.exe"
Java 7 Update 10 [20131108]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83217010FF}
Java(TM) 6 Update 17 [20131108]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216017F0}
Java(TM) 6 Update 20 [20111212]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216020F0}
Java(TM) 6 Update 39 [20130202]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216039FF}

Это тоже советую деинсталировать, а если они вам нужны, то скачать и установить актуальные версии.

Антивирус Касперского 6.0 для Windows Workstations [20111204]-->MsiExec.exe /I{8F023021-A7EB-45D3-9269-D65264C81729}

Также надо бы обновить до актуальной версии.

Unity Web Player [2017/04/17 17:30:32]-->C:\Documents and Settings\Санек\Local Settings\Application Data\Unity\WebPlayer\Uninstall.exe /CurrentUser

Судя по дате установки сами не устанавливали, так что тоже советую деинсталировать.

 

 

И используете?

Mail.Ru Агент 5.10 (сборка 5231, для всех пользователей) [2012/02/14 10:07:18]-->C:\Program Files\Mail.Ru\Agent\magentsetup.exe -uninstalllm
Mail.Ru Агент 6.3 (сборка 8050) [2014/09/05 18:08:56]-->C:\Documents and Settings\Санек\Application Data\Mail.Ru\Agent\magentsetup.exe -uninstallcu

3)

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFileF('c:\docume~1\6e3e~1\applic~1\aswast', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFile('C:\DOCUME~1\6E3E~1\APPLIC~1\aswast\ml.py', '');
 QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\ts_concurrent_session_patch.reg', '');
 QuarantineFileF('C:\DOCUME~1\6E3E~1\APPLIC~1\aswast\', '*.exe, *.dll, *.sys, *.py, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFile('C:\OUT\7-Zip\7-zip.dll', '');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys', '');
 QuarantineFile('C:\WINDOWS\system32\shizo\shizo.exe', '');
 QuarantineFile('C:\WINDOWS\system32\wget\wget.exe', '');
 QuarantineFileF('C:\WINDOWS\system32\shizo\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\DOCUME~1\6E3E~1\APPLIC~1\aswast\ml.py', '32');
 DeleteFile('C:\WINDOWS\system32\shizo\shizo.exe', '32');
 DeleteFileMask('C:\DOCUME~1\6E3E~1\APPLIC~1\aswast\', '*', true);
 DeleteFileMask('c:\docume~1\6e3e~1\applic~1\aswast', '*', true);
 DeleteDirectory('C:\DOCUME~1\6E3E~1\APPLIC~1\aswast\');
 DeleteDirectory('c:\docume~1\6e3e~1\applic~1\aswast');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ypmxlhdmzs');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'aswast');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

4) После перезагрузки:
- Выполните в АВЗ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

5) - Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:

C:\Documents and Settings\Санек\Мои документы\R-TT\R-Studio\Root\$.lnk
C:\Documents and Settings\Санек\Мои документы\R-TT\R-Studio\Root\$esage.lnk
C:\Documents and Settings\Санек\Мои документы\R-TT\R-Studio\Root\Веселые старты 2010.lnk
C:\Documents and Settings\Санек\Мои документы\R-TT\R-Studio\Root\напечатать.lnk
C:\Documents and Settings\Санек\Мои документы\R-TT\R-Studio\Root\Презентация.lnk
C:\Documents and Settings\Санек\Мои документы\R-TT\R-Studio\Root\создание презентации.lnk
C:\Documents and Settings\Санек\Мои документы\R-TT\R-Studio\ Extra Found Files\Windows shortcut\6273.lnk
C:\Documents and Settings\Санек\Application Data\Microsoft\Internet Explorer\Quick Launch\Поиcк в Интeрнете.lnk
C:\Documents and Settings\Санек\Мои документы\R-TT\R-Studio\рабочий стол\Mail.Ru Агент.lnk
C:\Documents and Settings\Санек\Мои документы\R-TT\R-Studio\рабочий стол\Mozilla Firefox.lnk
C:\Documents and Settings\Санек\Мои документы\R-TT\R-Studio\рабочий стол\Opera.lnk
C:\Documents and Settings\Санек\Мои документы\R-TT\R-Studio\рабочий стол\Xpoм.lnk
C:\Documents and Settings\Санек\Application Data\Microsoft\Internet Explorer\Quick Launch\Вoйти в Интeрнет.lnk
C:\Documents and Settings\Санек\Local Settings\Application Data\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk
C:\Documents and Settings\Санек\Application Data\Microsoft\Internet Explorer\Quick Launch\Opera.lnk
C:\Documents and Settings\Санек\Главное меню\Программы\Opera.lnk
C:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk

 
6) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[Finch 0]

Добрый день. Большое спасибо, что оказываете помощь.

 

1) C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\ts_concurrent_session_patch.reg

 

Да, знакомо, это наше.

 

2) Geolocation provider и яндекс бары удалил. Unity Web Player, вроде как с 15 года болтается, не припомню для чего был нужен, будет удален.

 

3) Далее немного растерялся, так как 2 рекомендации, выполнил скрипт предоставленный в первом соббщении от thyrex, логи рикрепляю.

 

4) Карантин отправил по указанному адресу, получил такой ответ от KLAN-6118181640

 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
ml.py

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

 

5) Лог ClearLNK прикрепляю.

 

P.S. посмотрел на shizo.exe и wget.exe в их директориях, явно какие-то пакости. Вспомнил историю о том, что когда-то давно (году так в 2011) этот компьютер подвергался заражению всякими "шутейками", на тот момент мы с ним вовсе находились в разных географических точках. Полагаю это некое "мертвое" наследие тех темных времен. Думаю, мне стоит это почистить.

CollectionLog-2017.04.18-11.05.zip

ClearLNK-18.04.2017_11-31.log

[thyrex 1 468]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Finch 0]

Выполнил.

FRST.zip

[thyrex 1 468]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
Toolbar: HKU\S-1-5-21-1047708935-1203180961-3628989856-1299 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
2017-04-17 17:20 - 2017-04-18 10:21 - 00000000 ____D C:\Documents and Settings\Санек\Application Data\aswast
2017-04-17 17:20 - 2017-04-17 17:20 - 00000000 ____D C:\Documents and Settings\Санек\Local Settings\Application Data\Вoйти в Интeрнет
2017-04-17 17:19 - 2017-04-17 17:20 - 00000324 _____ C:\Documents and Settings\Санек\Local Settings\Application Data\expand.ini
2017-04-17 17:19 - 2017-04-17 17:19 - 00000000 ____D C:\Documents and Settings\Санек\Local Settings\Application Data\Войны престолов
2017-04-17 17:17 - 2017-04-17 18:03 - 00000000 ____D C:\Documents and Settings\Санек\Local Settings\Application Data\wupdate
2017-04-17 17:15 - 2017-04-17 18:02 - 00000000 ____D C:\Documents and Settings\Санек\Local Settings\Application Data\indexer
2017-04-17 17:14 - 2017-04-17 17:14 - 00000000 ____D C:\Documents and Settings\Санек\Local Settings\Application Data\Поиcк в Интeрнете
2013-02-22 18:18 - 2013-02-22 18:18 - 0053792 _____ () C:\Documents and Settings\Санек\Local Settings\Temp\3988E547D04749A99EE5E5D4E04869DC.dll
2013-01-11 01:27 - 2013-11-06 19:27 - 6677536 _____ () C:\Documents and Settings\Санек\Local Settings\Temp\4E079B926E0A420099CE072D905B1CAA.exe
2014-05-23 11:24 - 2014-05-23 11:24 - 0040960 _____ () C:\Documents and Settings\Санек\Local Settings\Temp\9dqt825g.dll
2015-07-02 16:55 - 2015-07-02 16:55 - 0011776 _____ () C:\Documents and Settings\Санек\Local Settings\Temp\bjfwsi5o.dll
2017-04-17 17:19 - 2017-04-17 17:19 - 0216576 ____N ( ) C:\Documents and Settings\Санек\Local Settings\Temp\cDhXbOfUgD7z.exe
2017-04-17 17:12 - 2017-04-17 17:12 - 3039448 ____N () C:\Documents and Settings\Санек\Local Settings\Temp\h37DgIl0wylf.exe
2017-04-17 17:13 - 2017-04-17 17:13 - 0583610 ____N () C:\Documents and Settings\Санек\Local Settings\Temp\MgWCX42bRg05.exe
2017-04-17 17:30 - 2017-04-17 17:30 - 2162688 ____H () C:\Documents and Settings\Санек\Local Settings\Temp\mrutmp.exe
2016-07-11 09:32 - 2016-07-11 09:32 - 0009216 _____ () C:\Documents and Settings\Санек\Local Settings\Temp\o1moo2ly.dll
2017-04-17 17:17 - 2017-04-17 17:17 - 0399336 ____N (Mail.Ru) C:\Documents and Settings\Санек\Local Settings\Temp\oocGmiKDLuWK.exe
2016-11-02 16:49 - 2016-11-02 16:49 - 0023552 _____ () C:\Documents and Settings\Санек\Local Settings\Temp\psilfdhy.dll
2017-04-17 17:20 - 2017-04-17 17:20 - 4063309 ____N () C:\Documents and Settings\Санек\Local Settings\Temp\PuFUA86ZAYHm.exe
2017-04-17 17:16 - 2017-04-17 17:16 - 2279936 ____N () C:\Documents and Settings\Санек\Local Settings\Temp\syhrQcBigpUQ.exe
2017-04-17 17:23 - 2017-04-17 17:23 - 1238016 ____N () C:\Documents and Settings\Санек\Local Settings\Temp\THAe9eVqWkLv.exe
2014-06-23 12:22 - 2014-06-23 12:22 - 1080528 ____N (Unity Technologies ApS) C:\Documents and Settings\Санек\Local Settings\Temp\UnityWebPlayer6664521071215349149.exe
2015-03-02 19:33 - 2015-03-03 16:26 - 0120372 _____ () C:\Documents and Settings\света\Local Settings\Temp\Uninstall.exe
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[Finch 0]

Выполнил.

Fixlog.txt

[thyrex 1 468]

Проблема решена?

[Finch 0]

Плохого не происходит. Думаю, да.   Большое спасибо за помощь!

[thyrex 1 468]

• Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Скопируйте содержимое файла в свое следующее сообщение.

[Finch 0]

SecurityCheck by glax24 & Severnyj v.1.4.0.49 [15.04.17]
WebSite: www.safezone.cc
DateLog: 20.04.2017 16:27:28
Path starting: C:\Documents and Settings\Санек\Local Settings\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Санек
VersionXML: 4.12is-15.04.2017
___________________________________________________________________________

Windows XP(5.1.2600) Service Pack 3 (x86) Lang: Russian(0419)
Дата установки ОС: 03.12.2011 17:45:55
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files\Internet Explorer\IEXPLORE.EXE
Системный диск: C: ФС: [NTFS] Емкость: [931.5 Гб] Занято: [390 Гб] Свободно: [541.5 Гб]
------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 08.04.2014, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 8.0.6001.18702
Автоматическое обновление отключено
Автоматическое обновление (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба остановлена
Удаленный реестр (RemoteRegistry) - Служба остановлена
Службы терминалов (TermService) - Служба работает
Служба обнаружения SSDP (SSDPSRV) - Служба работает
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2003 v.11.0.8173.0
---------------------------- [ Antivirus_WMI ] ----------------------------
Антивирус Касперского (включен и устарел)
---------------------------- [ Firewall_WMI ] -----------------------------
Антивирус Касперского (включен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Антивирус Касперского 6.0 для Windows Workstations v.6.0.4.1424
--------------------------- [ OtherUtilities ] ----------------------------
7-Zip 4.57
Архиватор WinRAR v.4.01 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Mail.Ru Агент 5.10 (сборка 5231, для всех пользователей)
Mail.Ru Агент 6.3 (сборка 8050) v.6.3.8050.0
QIP 2005 8098 v.8098
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.2.3.28705 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 6 Update 17 v.6.0.170 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u121-windows-i586.exe).
Java 6 Update 20 v.6.0.200 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u121-windows-i586.exe).
Java 6 Update 39 v.6.0.390 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u121-windows-i586.exe).
Java 7 Update 10 v.7.0.100 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u121-windows-i586.exe).
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 11 ActiveX v.11.9.900.117 Внимание! Скачать обновления
Adobe Flash Player 24 NPAPI v.24.0.0.194 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 41.0.2 (x86 ru) v.41.0.2 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Opera 11.51 v.11.51 Внимание! Скачать обновления
Opera 12.11 v.12.11.1661 Внимание! Скачать обновления
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files\Mozilla Firefox\firefox.exe v.41.0.2.5765
------------------ [ AntivirusFirewallProcessServices ] -------------------
Kaspersky Anti-Virus 6.0 (AVP) - Служба работает
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\avp.exe v.6.0.4.1424
avp.exe
---------------------------- [ UnwantedApps ] -----------------------------
Update for Html5 geolocation provider v.3.5.8.884 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Auslogics File Recovery v.5.0.1.0 Внимание! Подозрение на демо-версию антишпионской программы или программы-оптимизатора - scareware или badware. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Setup Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
QIP Internet Guardian Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
----------------------------- [ End of Log ] ------------------------------
 

[thyrex 1 468]

Исправляйте указанное

[Finch 0]

Приступаю. Спасибо Вам за оказанную помощь.