Фу какая гадость :)

[neotrance]

Привет всем хелперам

Мой КИС 2013 находить какой то вирус. После нажатия кнопочки "удалить (рекомендуеться)" он его удаляет и идет на перегрузку. После перегрузки антивирус ловит тот же вирус и предлагает те же методы борьбы и так по кругу. Плюс появился какой то неудаляемый buenosearch toolbar. Прошу помочь! Спасибо.

P.S если кому захочеться сьязвить на счет антивируса КИС 2013 то я его обязательно сменю на новую версию (2014 или 2015) после чистки компа. 

CollectionLog-2014.09.21-15.56.zip

Изменено 21 сентября, 2014 пользователем neotrance

[Андрей]

Я такую багу наблюдаю с 2010-го киса, для её обхода снимаю галочку "Применять технологию активного лечения". Возможно такое действие не рекомендуемое, я не консультант, но тем не менее мне уже ни раз помогало.

[thyrex]

acestream

suptab

torntv v9.0

 

удалите через Установку пррограмм

 

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Documents and Settings\User\applic~1\digitalsites\updateproc\updatetask.exe','');
 QuarantineFile('C:\DOCUME~1\User\APPLIC~1\DIGITA~1\UPDATE~1\UPDATE~1.EXE','');
 QuarantineFile('C:\DOCUME~1\User\APPLIC~1\DSite\UPDATE~1\UPDATE~1.EXE','');
 QuarantineFile('C:\Program Files\Torntv V9.0\a7982934-0630-49b5-bdb1-d23d83f53ffd-5.exe','');
 QuarantineFile('C:\Program Files\Torntv V9.0\a7982934-0630-49b5-bdb1-d23d83f53ffd-4.exe','');
 QuarantineFile('C:\Program Files\Torntv V9.0\a7982934-0630-49b5-bdb1-d23d83f53ffd-2.exe','');
 DelBHO('{828DC97A-2277-4E10-92A9-4907FA0922A9}');
 DelBHO('{F1C81E40-2485-4DB6-8C9D-04BD596B281E}');
 DelBHO('{11111111-1111-1111-1111-110511131190}');
 DeleteService('globalUpdatem');
 DeleteService('globalUpdate');
 SetServiceStart('WindowsMangerProtect', 4);
 DeleteService('WindowsMangerProtect');
 SetServiceStart('IePluginServices', 4);
 DeleteService('IePluginServices');
 QuarantineFile('C:\WINDOWS\system32\drivers\{2635ac50-5488-40bf-9bfd-accb158f8f3f}t.sys','');
 QuarantineFile('C:\Program Files\Torntv V9.0\Torntv V9.0-bho.dll','');
 QuarantineFile('C:\Program Files\buenosearch LTD\buenosearch\1.8.28.7\buenosearchTlbr.dll','');
 QuarantineFile('C:\Program Files\buenosearch LTD\buenosearch\1.8.28.7\buenosearchEng.dll','');
 QuarantineFile('C:\Program Files\buenosearch LTD\buenosearch\1.8.28.7\bh\buenosearch.dll','');
 TerminateProcessByName('c:\program files\torntv v9.0\torntv v9.0-bg.exe');
 QuarantineFile('c:\program files\torntv v9.0\torntv v9.0-bg.exe','');
 TerminateProcessByName('c:\documents and settings\all users\application data\windowsmangerprotect\protectwindowsmanager.exe');
 QuarantineFile('c:\documents and settings\all users\application data\windowsmangerprotect\protectwindowsmanager.exe','');
 TerminateProcessByName('c:\documents and settings\all users\application data\iepluginservices\pluginservice.exe');
 QuarantineFile('c:\documents and settings\all users\application data\iepluginservices\pluginservice.exe','');
 TerminateProcessByName('c:\program files\suptab\loader32.exe');
 QuarantineFile('c:\program files\suptab\loader32.exe','');
 TerminateProcessByName('c:\program files\suptab\hpui.exe');
 QuarantineFile('c:\program files\suptab\hpui.exe','');
 DeleteFile('c:\program files\suptab\hpui.exe','32');
 DeleteFile('c:\program files\suptab\loader32.exe','32');
 DeleteFile('c:\documents and settings\all users\application data\iepluginservices\pluginservice.exe','32');
 DeleteFile('c:\documents and settings\all users\application data\windowsmangerprotect\protectwindowsmanager.exe','32');
 DeleteFile('c:\program files\torntv v9.0\torntv v9.0-bg.exe','32');
 DeleteFile('C:\Program Files\buenosearch LTD\buenosearch\1.8.28.7\bh\buenosearch.dll','32');
 DeleteFile('C:\Program Files\buenosearch LTD\buenosearch\1.8.28.7\buenosearchEng.dll','32');
 DeleteFile('C:\Program Files\buenosearch LTD\buenosearch\1.8.28.7\buenosearchTlbr.dll','32');
 DeleteFile('C:\Program Files\Torntv V9.0\Torntv V9.0-bho.dll','32');
 DeleteFile('C:\WINDOWS\system32\drivers\{2635ac50-5488-40bf-9bfd-accb158f8f3f}t.sys','32');
 DeleteFile('C:\WINDOWS\Tasks\a7982934-0630-49b5-bdb1-d23d83f53ffd-1.job','32');
 DeleteFile('C:\Program Files\Torntv V9.0\a7982934-0630-49b5-bdb1-d23d83f53ffd-2.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\a7982934-0630-49b5-bdb1-d23d83f53ffd-2.job','32');
 DeleteFile('C:\Program Files\Torntv V9.0\a7982934-0630-49b5-bdb1-d23d83f53ffd-4.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\a7982934-0630-49b5-bdb1-d23d83f53ffd-4.job','32');
 DeleteFile('C:\Program Files\Torntv V9.0\a7982934-0630-49b5-bdb1-d23d83f53ffd-5.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\a7982934-0630-49b5-bdb1-d23d83f53ffd-5.job','32');
 DeleteFile('C:\WINDOWS\Tasks\a7982934-0630-49b5-bdb1-d23d83f53ffd-6.job','32');
 DeleteFile('C:\WINDOWS\Tasks\a7982934-0630-49b5-bdb1-d23d83f53ffd-7.job','32');
 DeleteFile('C:\DOCUME~1\User\APPLIC~1\DSite\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\WINDOWS\Tasks\At1.job','32');
 DeleteFile('C:\WINDOWS\Tasks\At2.job','32');
 DeleteFile('C:\DOCUME~1\User\APPLIC~1\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineCore.job','32');
 DeleteFile('C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineUA.job','32');
 DeleteFile('C:\Documents and Settings\User\applic~1\digitalsites\updateproc\updatetask.exe','32');

DeleteFileMask('c:\documents and settings\all users\application data\windowsmangerprotect', '*', true);
DeleteDirectory('c:\documents and settings\all users\application data\windowsmangerprotect');
DeleteFileMask('c:\documents and settings\all users\application data\iepluginservices', '*', true);
DeleteDirectory('c:\documents and settings\all users\application data\iepluginservices');
DeleteFileMask('C:\Program Files\buenosearch LTD', '*', true);
DeleteDirectory('C:\Program Files\buenosearch LTD');
DeleteFileMask('c:\program files\suptab', '*', true);
DeleteDirectory('c:\program files\suptab');

BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи

 

Сделайте лог МВАМ

[neotrance]

acestream suptab torntv v9.0

1. не удалил - брат пользуеться. 2. не нашел такого 3. удалил

 

c:\quarantine.zip отправьте через данную форму.

Не отправлял. Архив пуст

 

Сделайте новые логи   

Сделайте лог МВАМ

Новый логи прикрепил.

На счет лога МВАМ то сканировал первым пунктом "Угроза сканирования", потому что вторым пунктом комп два раза вырубило на сканировании, а сканирование длиться очень долго. Если после третьего раза удасться то обязательно прикреплю новый. 

мбам.txt

CollectionLog-2014.09.22-19.46.zip

Изменено 22 сентября, 2014 пользователем neotrance

[thyrex]

1. не удалил - брат пользуеться

Брат - любитель рекламы? Сомневаюсь...

 

Поместите в карантин МВАМ всё, кроме

PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|FirewallDisableNotify, 1, Good: (0), Bad: (1),,[34796a8693e82c0a0cbb08fb1de89f61]
PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|UpdatesDisableNotify, 1, Good: (0), Bad: (1),,[f2bbce22a9d2b68048803bc8877e8878]
PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|AntiVirusDisableNotify, 1, Good: (0), Bad: (1),,[139a1fd1d6a565d1d6f07d8627de768a]

Сделайте новый лог МВАМ

[neotrance]

Удалил acestream.

Прикрепил новый лог.

 

мбам2.txt

[mike 1]

Что с проблемой?

[neotrance]

@mike 1, пока не наблюдаеться. 

[mike 1]

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  

 

[neotrance]

Лог

Во время простоя КИС нашел кучу "чего то", но вроде удачно удалил их. 

SecurityCheck.txt

[thyrex]

 

 

Во время простоя КИС нашел кучу "чего то", но вроде удачно удалил их. 

Проще было удалить точки восстановления и создать новую 

[mike 1]

Обновите:

 

Java 6 Update 33 v.6.0.330 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-7u67-windows-i586.exe)^

Java 7 Update 51 v.7.0.510 Внимание! Скачать обновления

^Скачайте jre-7u67-windows-i586.exe^

Adobe Shockwave Player + Authorware Web Player v.v11.6.5.635 Внимание! Скачать обновления

Adobe Reader X (10.1.0) - Russian v.10.1.0 Внимание! Скачать обновления

 

MBAM деинсталлируйте.

 

Советы и рекомендации после лечения компьютера