Вирус с баннером

[gudim]

Добрый день.

При работе через Мозиллу на компьютер проник вирус с баннером, который полностью блокирует выход в интернет. После перезагрузки браузер Мозилла вообще пропал с рабочего стола и из "удаления программ". Баннер с вирусом просит перечислить деньги на номер 9851731197. Пробовала найти код активации для этого номера через Деблокер Касперского и Анлокер др. Веб, такого номера в базе нет. 

 

При попытке проверить компьютер Касперским Virus Removal Tool выскакивает синий экран. При выполнении скрипта в AVZ для удаления мусора программа зависает на этапе "Mozilla Firefox - очистка папки Crash Reports". 

 

Логи создать получилось, прикрепляю. 

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantine;
ClearHostsFile;
TerminateProcessByName('c:\windows\system32\rdpssw32.exe');
TerminateProcessByName('C:\Windows\System32\betwinservicevs.exe');
SetServiceStart('BeTwinSystem', 4);
SetServiceStart('BeTwinService', 4);
StopService('BeTwinSystem');
StopService('BeTwinService');
QuarantineFile('C:\Users\75BD~1\AppData\Roaming\Funmoods\*','');
QuarantineFile('C:\Program Files (x86)\BonanzaDeals\*','');
QuarantineFile('C:\Users\75BD~1\AppData\Local\Temp\1485578aq','');
QuarantineFile('C:\Users\75BD~1\AppData\Local\Temp\1879906aq','');
QuarantineFile('C:\Users\75BD~1\AppData\Local\Temp\17914578aq','');
QuarantineFile('C:\Users\75BD~1\AppData\Local\Temp\17911765aq','');
QuarantineFile('C:\Users\75BD~1\AppData\Roaming\UPDATE~1\*','');
QuarantineFile('c:\users\75bd~1\dxwhekfr.exe','');
QuarantineFile('c:\progra~3\dxjgsxfoo.exe','');
QuarantineFile('C:\Windows\System32\BeTwinProxyVS.dll','');
QuarantineFile('c:\windows\system32\rdpssw32.exe','');
QuarantineFile('C:\Windows\system32\BeTwinServiceVS.exe','');
QuarantineFile('C:\Windows\system32\Drivers\BeTwinSystemVS.sys','');
QuarantineFile('C:\Users\Илья\AppData\Roaming\Microsoft\Windows\Templates\winsecyr.exe','');
QuarantineFile('C:\Users\Илья\AppData\Roaming\Microsoft Corporation\QSVhost.npa','');
DeleteFile('C:\Users\Илья\AppData\Roaming\Microsoft\Windows\Templates\winsecyr.exe','32');
DeleteFile('C:\Windows\System32\Drivers\BeTwinSystemVS.sys','32');
DeleteFile('C:\Windows\System32\BeTwinProxyVS.dll','32');
DeleteFile('C:\Windows\System32\BeTwinServiceVS.exe','32');
DeleteFile('c:\progra~3\dxjgsxfoo.exe','32');
DeleteFile('c:\users\75bd~1\dxwhekfr.exe','32');
DeleteFileMask('C:\Users\75BD~1\AppData\Roaming\UPDATE~1\','*', true,' ');
DeleteDirectory('C:\Users\75BD~1\AppData\Roaming\UPDATE~1\',' ');
DeleteFile('C:\Windows\system32\Tasks\UpdaterEX.job','64');
DeleteFile('C:\Windows\system32\Tasks\At1','64');
DeleteFile('C:\Users\75BD~1\AppData\Local\Temp\17911765aq','32');
DeleteFile('C:\Windows\system32\Tasks\At2','64');
DeleteFile('C:\Users\75BD~1\AppData\Local\Temp\17914578aq','32');
DeleteFile('C:\Windows\system32\Tasks\At3','64');
DeleteFile('C:\Users\75BD~1\AppData\Local\Temp\1879906aq','32');
DeleteFile('C:\Users\75BD~1\AppData\Local\Temp\1485578aq','32');
DeleteFile('C:\Windows\system32\Tasks\At4','64');
DeleteFile('C:\Windows\system32\Tasks\Funmoods','64');
DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsUpdate','64');
DeleteFileMask('C:\Program Files (x86)\BonanzaDeals\','*',true,' ');
DeleteDirectory('C:\Program Files (x86)\BonanzaDeals\',' ');
DeleteFileMask('C:\Users\75BD~1\AppData\Roaming\Funmoods\','*',true,' ');
DeleteDirectory('C:\Users\75BD~1\AppData\Roaming\Funmoods\',' ');
DeleteFile('C:\Windows\system32\Tasks\UpdaterEX','64');
DeleteFile('C:\Users\Илья\AppData\Roaming\microsoft corporation\qsvhost.npa','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NvCplWow64');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','DisplaySwitch');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\BeTwinProxy\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','39006');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\SafeBoot','AlternateShell');
DeleteService('BeTwinSystem');
DeleteService('BeTwinService');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).
Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.
В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).
В строке "Электронный адрес:" укажите адрес своей электронной почты.
Полученный ответ сообщите в этой теме.

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

 

F2 - REG:system.ini: Shell=C:\Users\Илья\AppData\Roaming\Microsoft\Windows\Templates\winsecyr.exe
F3 - REG:win.ini: load=c:\users\75bd~1\dxisvpocc.exe

O4 - HKLM\..\Policies\Explorer\Run: [39006] c:\progra~3\dxjgsxfoo.exe

 

 

 

 

 

Загрузившись в безопасном режиме, удалите остатки Kaspersky Virus Removal Tool с помощью утилиты из данной статьи.
http://support.kaspersky.ru/faq/?qid=208635705
Важно: выбирать AVP Tool Driver.

Удалите остатки DrWeb CureIT!
http://download.geo.drweb.com/pub/drweb/tools/drw_remover.exe

 

После проведённого лечения рекомендуется:
- установить текущий пакет обновлений (SP) для Windows (может потребоваться активация Windows)
* выберите SP для своей версии Windows: Windows XP - SP3, Windows Vista x86 - SP2x86, Windows Vista x64 - SP2x64, Windows 7 x86 - SP1x86, Windows 7 x64 - SP1x64
- обновить Internet Explorer до актуальной версии (даже если им не пользуетесь!)
- установить все обновления на Windows (может потребоваться активация Windows)
- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

Сделайте новые логи по правилам.

+

 

Сделайте лог AdwCleaner
http://safezone.cc/forum/showthread.php?t=19726

+

проверьте на virustotal.com файл

c:\windows\system32\rdpssw32.exe

ссылку на результат проверки приложите.

[gudim]

Спасибо! В АВЗ скрипт выполнила, а что пофиксить в HijackThis? (Просто строчка пустая стоит). 

[Roman_Five]

(Просто строчка пустая стоит). 

 

 

уже не пустая.

технический сбой какой-то.

то, что выше, и ещё вот эти 2 строки, подсвеченные синим.

на форум вставить не могу - пропадают... 

 

как пофиксите, сразу после перезагрузки делайте новые логи, лог AdwCleaner и ссылку с вирустотал.

[gudim]

Новые логи прикладываю. На вирустотал ничего проверить не получилось, т.к. такого файла c:\windows\system32\rdpssw32.exe нет. 

 

(Ссылка для лога AdwCleaner http://safezone.cc/f...ead.php?t=19726 нерабочая, форум требует регистрации, пришлось через Яндекс искать ))

AdwCleanerR0.txt

info.txt

log.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ClearQuarantine;
TerminateProcessByName('c:\windows\system32\rdpssw32.exe');
QuarantineFile('C:\Users\75BD~1\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('c:\windows\system32\rdpssw32.exe','');
QuarantineFile('c:\users\75bd~1\dxisvpocc.exe','');
DeleteFile('c:\users\75bd~1\dxisvpocc.exe','32');
DeleteFile('c:\windows\system32\rdpssw32.exe','32');
DeleteFile('C:\Windows\system32\Tasks\UpdaterEX.job','64');
DeleteFile('C:\Users\75BD~1\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE','32');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows NT\CurrentVersion\Windows','Load');
DelAutorunByFileName('c:\users\75bd~1\dxisvpocc.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).
Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.
В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).
В строке "Электронный адрес:" укажите адрес своей электронной почты.
Полученный ответ сообщите в этой теме.

Пофиксите в HijackThis (запустив по правой кнопке от имени администратора!) (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

F3 - REG:win.ini: load=c:\users\75bd~1\dxisvpocc.exe

Обновляйте ОС! Рекомендации выше.

 

Запустите ещё раз AdwCleaner и после поиска нажмите на Clean (если элементы Mail.ru нужны - снимете с них "галочки").

Новый лог будет после перезагрузки. Приложите.

Сделайте новые логи по правилам.

[gudim]

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

 

 

На скрипт AVZ ругался на строки с 11 по 15. Сделала без них. 

ОС пока обновить не могу. 

Новые логи прилагаю. 

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log.txt

AdwCleanerS1.txt

[Roman_Five]

откройте в блокноте файл win.ini в папке Windows

найдите там строку, в которой будет упоминаться файл dxisvpocc.exe (из папки пользователя), и удалите её.

 

в безопасном режиме выполните скрипт

begin
ClearQuarantine;
TerminateProcessByName('c:\windows\system32\rdpssw32.exe');
QuarantineFile('c:\windows\system32\rdpssw32.exe','');
DeleteFile('c:\windows\system32\rdpssw32.exe','32');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(10);
BC_DeleteFile('c:\windows\system32\rdpssw32.exe');
BC_Activate;
RebootWindows(true);
end.

сделайте новые логи.

[gudim]

 

 

откройте в блокноте файл win.ini в папке Windows найдите там строку, в которой будет упоминаться файл dxisvpocc.exe (из папки пользователя), и удалите её.

 

такой строчки не нашла, искала очень хорошо )

 

Скрипт выполнила, логи прикрепляю. 

 

 

log.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
DeleteFile('C:\Windows\system32\Tasks\UpdaterEX.job','64');
DeleteFile('C:\Users\75BD~1\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('c:\users\75bd~1\dxisvpocc.exe','32');
RegKeyResetSecurity('HKEY_CURRENT_USER','Software\Microsoft\Windows NT\CurrentVersion\Windows');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows NT\CurrentVersion\Windows','Load');
RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows NT\CurrentVersion\Windows','Load','');
DelAutorunByFileName('c:\users\75bd~1\dxisvpocc.exe');
ExecuteSysClean;
BC_DeleteFile('C:\Users\75BD~1\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE');
BC_DeleteFile('c:\users\75bd~1\dxisvpocc.exe');
BC_DeleteFile('C:\Windows\system32\Tasks\UpdaterEX.job');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).
Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.
В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).
В строке "Электронный адрес:" укажите адрес своей электронной почты.
Полученный ответ сообщите в этой теме.

!!!

 

 

Загрузившись в безопасном режиме, удалите остатки Kaspersky Virus Removal Tool с помощью утилиты из данной статьи.http://support.kaspe.../?qid=208635705Важно: выбирать AVP Tool Driver.Удалите остатки DrWeb CureIT!http://download.geo....drw_remover.exe

 

 

Сделайте новые логи по правилам.

[gudim]

Остатки Dr WEb и Касперского вчера еще удалила, как написано в инструкции. Скрипт выполнить не получается, AVZ выдает ошибку : Too many actual parametrs в позиции 2:11. 

[Roman_Five]

странно Вы выполняете скрипты...

 

логи с версии 4.41

скрипты пытаетесь в старой - 4.39 (?)...

 

всё необходимо делать в 4.41!

 

 

Остатки Dr WEb и Касперского вчера еще удалила

 

они остались.

удалим скриптом после выполнения ранее предложенного и новых логов.

[gudim]

Действительно, странно , т.к. я все в одной программе делала ... 

Скрипт выполнила, еще раз зашла в безопасный режим и удалила программами остатки антивирусов.

Логи прикрепляю. 

 

P.S. спасибо за помощь, не подумайте, что я специально над Вами издеваюсь.

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

[Roman_Five]

в безопасном режиме:

begin
SetServiceStart('4644633drv', 4);
DeleteFile('C:\Program Files (x86)\DrWeb\dwnetfilter.exe','32');
DeleteFile('c:\users\Илья\appdata\local\temp\F7F50A52-33AEB7F2-C095F086-C73DDE04\bwen91dz.exe','32');
DeleteFile('c:\users\Илья\appdata\local\temp\F7F50A52-33AEB7F2-C095F086-C73DDE04\zo36l9dj.exe','32');
DeleteFile('C:\Windows\system32\drivers\4644633drv.sys','32');
DeleteService('4644633drv');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

новые логи.

 

 

P.S. спасибо за помощь, не подумайте, что я специально над Вами издеваюсь.

и не думал.

[gudim]

Сделала 

log.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip