Вирусы, или кривые руки?

[ХАКИМ 4]

Вчера достался компьютер с такими симптомами- браузер после перезагрузки компа меняет домашнюю страницу, с www.google.ru на google.ru, например, то же самое и с однокласниками.

Антивирусник kis 2014 тупо не устанавливается, говорит уже установлен продукт касперского, насколько известно был до этого установлен -http://www.kaspersky.ru/downloads-endpoint-security-windows видимо некорректно был удален, и не только он -то же самое с программами и сиграми.По пунктам-

1.KVR-

Dr.Web-

2.AVZ скрипт очистки выполнен без ошибок.

3.virusinfo_syscure.zip

4.virusinfo_syscheck.zip

5.info.txtlog.txt

 

[thyrex 1 468]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Best\AppData\Local\Schedule\Schedule.exe','');
QuarantineFile('C:\Users\Best\AppData\Local\BitMaster\bitmaster.exe','');
QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
QuarantineFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','');
SetServiceStart('Wpm', 4);
DeleteService('Wpm');
TerminateProcessByName('c:\programdata\wpm\wprotectmanager.exe');
QuarantineFile('c:\programdata\wpm\wprotectmanager.exe','');
DeleteFile('c:\programdata\wpm\wprotectmanager.exe','32');
DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AnyProtect','command');
DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.url','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command');
DeleteFile('C:\Users\Best\AppData\Local\Schedule\Schedule.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Schedule','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи

 

Сделайте лог полного сканирования МВАМ

[ХАКИМ 4]

Ошибка -

[thyrex 1 468]

Ну так Вы сами не скопировали точку после end

[ХАКИМ 4]

Спасибо, я уже увидел, сейчас исправлюсь!

[ХАКИМ 4]

Она зависла? -

 

Уже с полчаса этот файл сканирует!!!

[ХАКИМ 4]

Логи-

лог.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

info.txt

log.txt

 

 

 

 newvirus@kaspersky.com

Полученный ответ--

 

bitmaster.exe

Файл в процессе обработки.

wprotectmanager.exe - not-a-virus:AdWare.Win32.WProtManager.a

Это файл от рекламной системы. Детектирование файла будет добавлено в следующее обновление расширенного набора баз. Подробная информация о расширенных базах: http://www.kaspersky.ru/extraavupdates

С уважением, Лаборатория Касперского

 

Изменено 5 мая, 2014 пользователем ХАКИМ

[Roman_Five 598]

удалитие всё найденное в MBAM

новый лог приложите.

[ХАКИМ 4]

Вот, как-то так-

лог2.txt

 

[Roman_Five 598]

повторите логи по правилам (2 AVZ и 2 RSIT)

[ХАКИМ 4]

Сделал вот так-

virusinfo_syscure.zip

virusinfo_syscheck.zip

info.txt

log.txt

 

и на всякий...-

ЛОГ3.txt

[Roman_Five 598]

выполните скрипт в AVZ

begin
DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command');
DeleteFile('C:\Users\Best\AppData\Local\BitMaster\bitmaster.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BitMaster','command');
DeleteFile('C:\Windows\Tasks\SaveSense.job','64');
DeleteFile('C:\Users\Best\AppData\Roaming\SAVESE~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\system32\Tasks\SaveSense','64');
DeleteFile('C:\Users\Best\AppData\Roaming\desktopy.ru\desktopy.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\desktopy','command');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

после перезагрузки пофиксите в Hijackthis:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=ds&ts=1391788182&from=amt&uid=ST500DM002-1BD142_Z3T82DM7XXXXZ3T82DM7&q={searchTerms}
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)

вручную удалите папки:

2014-02-07 20:50:16 ----D---- C:\Program Files (x86)\SupTab
2014-02-07 20:50:12 ----D---- C:\ProgramData\WPM
2014-02-07 20:49:08 ----D---- C:\Program Files (x86)\desktopy
2014-02-07 20:48:53 ----D---- C:\Users\Best\AppData\Roaming\desktopy.ru

приложите новые логи

[ХАКИМ 4]

Делаю...

"R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=ds&ts=1391788182&from=amt&uid=ST500DM002-1BD142_Z3T82DM7XXXXZ3T82DM7&q={searchTerms}-"

 

этой строчки не было!

 

"O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)-

эту пофиксил!"

 

"2014-02-07 20:50:16 ----D---- C:\Program Files (x86)\SupTab
2014-02-07 20:50:12 ----D---- C:\ProgramData\WPM--"

 

тоже отсутствуют, через поиск их тоже не нашел!

 

 

"2014-02-07 20:49:08 ----D---- C:\Program Files (x86)\desktopy
2014-02-07 20:48:53 ----D---- C:\Users\Best\AppData\Roaming\desktopy.ru-"

 

эти удалил!

 

info.txtlog.txtvirusinfo_syscure.zipvirusinfo_syscheck.zip
 

hijackthis.log

Изменено 6 мая, 2014 пользователем ХАКИМ

[thyrex 1 468]

Выполните скрипт в AVZ

 

begin
RegKeyDel('HKLM', 'SOFTWARE\Microsoft\Internet Explorer\Toolbar');
RegKeyDel('HKLM', 'SOFTWARE\wow6432node\Microsoft\Internet Explorer\Toolbar');
RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\AnyProtect');
RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\BitMaster');
RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\desktopy');
RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\mobilegeni daemon');
RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\Praetorian');
RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\Rambler Update');
RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\Schedule');
RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\TkBellExe');
RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\VkontakteDJ');
RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupreg\ZaxarLoader');
RegKeyDel('HKLM', 'software\microsoft\shared tools\msconfig\startupfolder\C:^Users^Best^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Zaxar Games Browser.lnk');
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Сделайте новые логи RSIT

[ХАКИМ 4]

Сделал-

info.txtlog.txt

A это что?