Вирус Baidu

[taybinec]

Здравствуйте! Не могу справится с этим вирусом. Логи прилагаю.

CollectionLog-2014.11.20-20.46.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! Деинсталлируйте что сможете:

MediaHitBrowserPackage-->MsiExec.exe /I{0747113A-9D6D-49D9-9739-443603FB9BAA}
Stronghold AntiMalware-->"C:\Program Files\Stronghold AntiMalware\unins000.exe"
Аудио и видео скачивание-->"C:\Program Files\Аудио и видео скачивание\unins000.exe"
Аудио и видео скачивание-->"C:\Program Files\Аудио и видео скачивание\unins001.exe"
????1.8-->C:\Program Files\Baidu\BaiduSd\1.8.0.1255\uninst.exe

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\Users\Nikolay\appdata\roaming\newsi_10\s_inst.exe','');
 QuarantineFile('C:\Windows\system32\drivers\qknfd.sys','');
 DeleteService('qknfd');
 DeleteFile('C:\Windows\system32\drivers\qknfd.sys','32');
 DeleteFile('C:\Windows\Tasks\OptimizerPro1UpdaterTask{120DFAEE-DA97-4D49-B67D-F27F5880CD36}.job','32');
 DeleteFile('C:\Windows\system32\Tasks\EPUpdater','32');
 DeleteFile('C:\Windows\system32\Tasks\OptimizerPro1UpdaterTask{120DFAEE-DA97-4D49-B67D-F27F5880CD36}','32');
 DeleteFile('C:\Users\Nikolay\appdata\roaming\newsi_10\s_inst.exe','32');
 DeleteFileMask('C:\Users\Nikolay\appdata\roaming\newsi_10', '*', true, ' ');
 DeleteDirectory('C:\Users\Nikolay\appdata\roaming\newsi_10');     
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://yambler.net/?iq
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=ff3f560cb5405ebd5b723fdc606524e8&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://inca.im/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=ff3f560cb5405ebd5b723fdc606524e8&text={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.certified-toolbar.com?si=41460&tid=592&bs=true&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.certified-toolbar.com?si=41460&tid=592&bs=true&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.certified-toolbar.com?si=41460&tid=592&bs=true&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://search.certified-toolbar.com?si=41460&tid=592&bs=true&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://search.certified-toolbar.com?si=41460&tid=592&bs=true&q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=ff3f560cb5405ebd5b723fdc606524e8&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=ff3f560cb5405ebd5b723fdc606524e8&text=
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - (no file)
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O3 - Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - (no file)
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
O3 - Toolbar: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)
O3 - Toolbar: (no name) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O4 - HKLM\..\Run: [BaiduSdTray] "C:\Program Files\Baidu\BaiduSd\1.8.0.1255\BaiduSdTray.exe"  -stmd=3
O18 - Protocol: skypec2c - {91774881-D725-4E58-B298-07617B9B86A8} - (no file)

 

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.

• Распакуйте архив с утилитой в отдельную папку.

• Перенесите Check_Browsers_LNK.log из папки Автологгера на ClearLNK как показано на рисунке

 

 

• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

• Прикрепите этот отчет к своему следующему сообщению.

 

 

 

Скачайте ComboFix здесь и сохраните в корень диска С. 

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

 

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

 

Подробнее в "ComboFix. Руководство по применению."

 

[taybinec]

KLAN-2264295830

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

s_inst.exe - not-a-virus:AdWare.Win32.MMag.f

Это файл от рекламной системы. Детектирование файла будет добавлено в следующее обновление расширенного набора баз. Подробная информация о расширенных базах: http://www.kaspersky.ru/extraavupdates

 

Лог:

 

ClearLNK by Alex Dragokas                                 ver. 2.6.0.8 Beta

OS:      x32 Windows 7 Ultimate. Service Pack: 1
Time:    20.11.2014 - 21:48
IsAdmin: True
User:    Nikolay
_____________________________ Begin of Log ______________________________

[ OK ] "C:\Users\Nikolay\AppData\Local\Mail.Ru\Mail.Ru.lnk" [ "C:\Program Files\Internet Explorer\iexplore.exe" hxxp://www.mail.ru ]  (ОК)   Метод A2-R5
[DEL ] "C:\Users\Nikolay\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Вконтакте.lnk"   (цель не восстановлена)   Метод AN-R5
[ OK ] "C:\Users\Nikolay\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Одноклассники.lnk" [ "C:\Users\Nikolay\AppData\Local\Xpom\Application\run_chrome.exe" ]  (ОК)   Метод A2-R5
[DEL ] "C:\Users\Nikolay\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Вконтакте.lnk"   (цель не восстановлена)   Метод AN-R5
[ OK ] "C:\Users\Nikolay\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Одноклассники.lnk" [ "C:\Users\Nikolay\AppData\Local\Xpom\Application\run_chrome.exe" ]  (ОК)   Метод A2-R5
[ OK ] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Warplanes\World of Warplanes.lnk" [ "C:\Games\World_of_Warplanes\WOWpLauncher.exe" ]  (ОК)   Метод A1-R4
[ OK ] "C:\Users\Nikolay\Desktop\World of Tanks.lnk" [ "C:\Games\World of Tanks\WOTLauncher.exe" ]  (ОК)   Метод A1-R4

______________________________ Статистика ______________________________
Исправлено:     5
Удалено:        2
Пропущено:      0
Блокировок:     0
Предупреждений: 0
Ошибок:         0
______________________________ End of Log ______________________________

 

Лог combofix

 

ComboFix 14-11-18.01 - Nikolay 20.11.2014  21:57:37.1.2 - x86
Microsoft Windows 7 Максимальная   6.1.7601.1.1251.7.1049.18.2046.998 [GMT 7:00]
Running from: C:\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {17AD7D40-BA12-9C46-7131-94903A54AD8B}
SP: avast! Antivirus *Disabled/Updated* {ACCC9CA4-9C28-93C8-4B81-AFE241D3E736}
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\END
c:\program files\Google Chrome 36.0.1985.143 Stable.exe
c:\program files\GOOGLE~1.exe
c:\program files\Movies App\Datamngr
c:\users\Nikolay\AppData\Local\storegid
c:\users\Nikolay\AppData\Local\storegid\libeay32.dll
c:\users\Nikolay\AppData\Local\storegid\nfapi.dll
c:\users\Nikolay\AppData\Local\storegid\ProtocolFilters.dll
c:\users\Nikolay\AppData\Local\storegid\ssleay32.dll
c:\users\Nikolay\AppData\Local\storegid\storegid.exe
c:\users\Nikolay\AppData\Roaming\Mozilla\Firefox\Profiles\elpx6cmf.default\searchplugins\webalta-search.xml
c:\users\Nikolay\AppData\Roaming\Zona
c:\users\Nikolay\AppData\Roaming\Zona\init.xml
c:\users\Nikolay\AppData\Roaming\Zona\tmp\Zona.7z
c:\windows\pkunzip.pif
c:\windows\pkzip.pif
c:\windows\ST6UNST.000
c:\windows\system32\Packet.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\SETC868.tmp
c:\windows\system32\SETCB78.tmp
c:\windows\system32\tmp24FD.tmp
c:\windows\system32\tmp2646.tmp
c:\windows\system32\tmp3717.tmp
c:\windows\system32\tmp3785.tmp
c:\windows\system32\tmp656.tmp
c:\windows\system32\tmp696.tmp
c:\windows\system32\tmp83DE.tmp
c:\windows\system32\tmp84E8.tmp
c:\windows\system32\tmp8A64.tmp
c:\windows\system32\tmp8B9D.tmp
c:\windows\system32\tmpA16D.tmp
c:\windows\system32\tmpA21A.tmp
c:\windows\system32\tmpECCE.tmp
c:\windows\system32\wpcap.dll
c:\windows\unin0419.exe
.
.
(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_BD0001
-------\Legacy_BD0002
-------\Legacy_NPF
-------\Service_bd0001
-------\Service_bd0002
-------\Service_NPF
.
.
(((((((((((((((((((((((((   Files Created from 2014-10-20 to 2014-11-20  )))))))))))))))))))))))))))))))
.
.
2014-11-20 15:08 . 2014-11-20 15:14    --------    d-----w-    c:\users\Nikolay\AppData\Local\temp
2014-11-20 15:08 . 2014-11-20 15:08    --------    d-----w-    c:\users\Гость\AppData\Local\temp
2014-11-20 14:17 . 2014-11-20 14:23    --------    d-----w-    c:\windows\system32\MpEngineStore
2014-11-20 14:10 . 2013-12-04 02:03    423936    ----a-w-    c:\windows\system32\secproc_isv.dll
2014-11-20 14:10 . 2013-12-04 01:54    510976    ----a-w-    c:\windows\system32\RMActivate_ssp.exe
2014-11-20 14:10 . 2013-12-04 01:54    594944    ----a-w-    c:\windows\system32\RMActivate_isv.exe
2014-11-20 14:10 . 2013-12-04 01:54    572416    ----a-w-    c:\windows\system32\RMActivate.exe
2014-11-20 14:10 . 2013-12-04 01:54    508928    ----a-w-    c:\windows\system32\RMActivate_ssp_isv.exe
2014-11-20 14:10 . 2013-12-04 02:03    87040    ----a-w-    c:\windows\system32\secproc_ssp_isv.dll
2014-11-20 14:10 . 2013-12-04 02:03    87040    ----a-w-    c:\windows\system32\secproc_ssp.dll
2014-11-20 14:10 . 2013-12-04 02:03    428032    ----a-w-    c:\windows\system32\secproc.dll
2014-11-20 14:10 . 2013-12-04 02:02    390144    ----a-w-    c:\windows\system32\msdrm.dll
2014-11-20 14:08 . 2014-05-08 09:06    2742784    ----a-w-    c:\windows\system32\rdpcorets.dll
2014-11-20 14:08 . 2014-05-08 09:06    13824    ----a-w-    c:\windows\system32\RdpGroupPolicyExtension.dll
2014-11-20 13:31 . 2014-11-20 13:31    --------    d-----w-    c:\programdata\Kaspersky Lab
2014-11-20 13:13 . 2014-11-20 13:14    --------    d-----w-    c:\users\Администратор
2014-11-20 12:46 . 2014-11-17 10:05    231240    ----a-w-    c:\windows\system32\drivers\BDMWrench.sys
2014-11-20 12:46 . 2014-05-16 05:02    203080    ----a-w-    c:\windows\system32\drivers\bd0002.sys
2014-11-20 12:45 . 2014-05-16 05:02    90440    ----a-w-    c:\windows\system32\drivers\BDArKit.SYS
2014-11-20 12:45 . 2014-05-16 05:02    70984    ----a-w-    c:\windows\system32\drivers\bd0001.sys
2014-10-29 10:53 . 2014-10-29 10:53    --------    d-----w-    c:\programdata\.mono
2014-10-28 13:31 . 2014-10-28 13:31    --------    d-----w-    c:\users\Default\AppData\Roaming\AVAST Software
2014-10-28 13:31 . 2014-10-28 13:31    291352    ----a-w-    c:\windows\system32\aswBoot.exe
2014-10-28 13:31 . 2014-10-28 13:31    43152    ----a-w-    c:\windows\avastSS.scr
2014-10-28 13:23 . 2014-10-28 13:23    --------    d-----w-    c:\programdata\Yandex
2014-10-28 13:23 . 2014-10-28 13:23    --------    d-----w-    c:\program files\Yandex
2014-10-27 12:13 . 2014-10-27 12:13    --------    d-----w-    c:\users\Nikolay\AppData\Local\torchimeshmoviestoolbar
2014-10-27 12:13 . 2014-11-20 15:07    --------    d-----w-    c:\program files\Movies App
2014-10-27 12:12 . 2014-11-16 10:21    --------    d-----w-    c:\users\Nikolay\AppData\Local\Torch
2014-10-27 12:01 . 2014-10-27 12:01    --------    d-----w-    c:\users\Nikolay\AppData\Roaming\VOPackage
.
.
.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2014-11-13 12:03 . 2012-07-30 15:23    701104    ----a-w-    c:\windows\system32\FlashPlayerApp.exe
2014-11-13 12:03 . 2012-07-30 14:27    71344    ----a-w-    c:\windows\system32\FlashPlayerCPLApp.cpl
2014-11-01 08:02 . 2012-07-30 13:08    787800    ----a-w-    c:\windows\system32\drivers\aswsnx.sys
2014-11-01 08:02 . 2012-07-30 13:08    70384    ----a-w-    c:\windows\system32\drivers\aswmonflt.sys
2014-10-28 13:31 . 2014-05-01 00:11    24184    ----a-w-    c:\windows\system32\drivers\aswHwid.sys
2014-10-28 13:31 . 2014-01-03 12:19    91496    ----a-w-    c:\windows\system32\drivers\aswstm.sys
2014-10-28 13:31 . 2013-03-16 02:33    49944    ----a-w-    c:\windows\system32\drivers\aswRvrt.sys
2014-10-28 13:31 . 2013-03-16 02:33    206248    ----a-w-    c:\windows\system32\drivers\aswVmm.sys
2014-10-28 13:31 . 2012-07-30 13:08    422760    ----a-w-    c:\windows\system32\drivers\aswsp.sys
2014-10-28 13:31 . 2012-07-30 13:08    81768    ----a-w-    c:\windows\system32\drivers\aswRdr2.sys
2014-10-04 11:19 . 2014-10-04 11:19    101    ---h--w-    C:\iexplore.bat
2014-10-04 11:19 . 2014-10-04 11:18    100    ---h--w-    C:\firefox.bat
2014-10-04 11:19 . 2014-10-04 11:19    149    ---h--w-    c:\users\Nikolay\AppData\Local\chrome.bat
2014-10-04 11:19 . 2014-10-04 11:19    161    ---h--w-    c:\users\Nikolay\AppData\Roaming\MediaHit.Launcher.bat
2014-10-04 11:19 . 2014-10-04 11:19    95    ---h--w-    C:\WOWpLauncher.bat
2014-10-04 11:19 . 2014-10-04 11:19    95    ---h--w-    C:\launcher.bat
2014-10-04 11:18 . 2014-10-04 11:18    95    ---h--w-    C:\WOTLauncher.bat
2014-08-27 10:09 . 2012-09-08 07:30    109144    ----a-w-    c:\windows\system32\OpenAL32.dll
2014-08-27 10:09 . 2012-09-08 07:30    445016    ----a-w-    c:\windows\system32\wrap_oal.dll
2013-10-16 05:54 . 2013-10-16 05:54    40    ----a-w-    c:\program files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
.
.
(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2014-10-28 13:31    723976    ----a-w-    c:\program files\AVAST Software\Avast\ashShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-20 1174016]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2014-08-21 959176]
"AvastUI.exe"="c:\program files\AVAST Software\Avast\AvastUI.exe" [2014-11-01 5223016]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
"SoftwareSASGeneration"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2014-08-21 16:30    959176    ----a-w-    c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeAAMUpdater-1.0]
2012-04-03 23:09    446392    ------w-    c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QIP Internet Guardian]
2012-12-26 06:34    435072    ----a-w-    c:\users\Nikolay\AppData\Roaming\QipGuard\QipGuard.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2013-06-21 03:48    19876968    ----a-r-    c:\program files\Skype\Phone\Skype.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\uTorrent]
2013-05-02 13:46    802136    ----a-w-    c:\program files\uTorrent\uTorrent.exe
.
R1 aswKbd;aswKbd;c:\windows\system32\drivers\aswKbd.sys [x]
R2 aswStm;aswStm;c:\windows\system32\drivers\aswStm.sys [2014-10-28 91496]
R2 avast! Firewall;avast! Firewall;c:\program files\AVAST Software\Avast\afwServ.exe [2014-02-10 113704]
R3 2GISUpdateService;2GIS UpdateService;c:\program files\2gis\3.0\2GISUpdateService.exe [2014-09-30 3764760]
R3 96EW;96EW Filter;c:\windows\system32\DRIVERS\96EW.sys [x]
S0 aswRvrt;avast! Revert; [x]
S0 aswVmm;avast! VM Monitor; [x]
S1 aswNdisFlt;Avast! Firewall Driver;c:\windows\system32\DRIVERS\aswNdisFlt.sys [2014-02-22 265072]
S1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [2014-11-01 787800]
S1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [2014-10-28 422760]
S2 aswHwid;avast! HardwareID;c:\windows\system32\drivers\aswHwid.sys [2014-10-28 24184]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2014-11-01 70384]
.
.
--- Other Services/Drivers In Memory ---
.
*NewlyCreated* - WS2IFSL
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WindowsMobile    REG_MULTI_SZ       wcescomm rapimgr
LocalServiceRestricted    REG_MULTI_SZ       WcesComm RapiMgr
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2014-10-28 04:27    1089352    ----a-w-    c:\program files\Google\Chrome\Application\38.0.2125.111\Installer\chrmstp.exe
.
Contents of the 'Scheduled Tasks' folder
.
2014-11-20 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-07-30 12:03]
.
2014-11-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2014-08-24 10:10]
.
2014-11-20 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2014-08-24 10:10]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.yandex.ru/?win=148&clid=1985535
IE: &Отправить в OneNote - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105
IE: &Экспорт в Microsoft Excel - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\users\Nikolay\AppData\Roaming\Mozilla\Firefox\Profiles\elpx6cmf.default\
FF - prefs.js: browser.search.selectedEngine - РџРѕРёСЃРє@Mail.Ru
FF - prefs.js: browser.startup.homepage - hxxp://mail.ru/cnt/10445?gp=newcustom2
FF - prefs.js: keyword.URL - hxxp://go.mail.ru/search?fr=ntg&q=
FF - user.js: extensions.funmoods.aflt - iron2
FF - user.js: extensions.funmoods.autoRvrt - false
FF - user.js: extensions.funmoods.dfltLng -
FF - user.js: extensions.funmoods.dfltSrch - true
FF - user.js: extensions.funmoods.dnsErr - true
FF - user.js: extensions.funmoods.envrmnt - production
FF - user.js: extensions.funmoods.excTlbr - false
FF - user.js: extensions.funmoods.hmpg - true
FF - user.js: extensions.funmoods.hmpgUrl - hxxp://start.funmoods.com/?f=1&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtByEtC0DtB0DtBtCzzzz0ByD0FyCtN0D0Tzu0CtByEzztN1L2XzutBtFtCtFtCtFtAtCtB&cr=1686902449
FF - user.js: extensions.funmoods.id - 00241D2D2188B5F6
FF - user.js: extensions.funmoods.instlDay - 15587
FF - user.js: extensions.funmoods.instlRef - iron2
FF - user.js: extensions.funmoods.isdcmntcmplt - true
FF - user.js: extensions.funmoods.mntrvrsn - 1.3.0
FF - user.js: extensions.funmoods.newTabUrl - hxxp://start.funmoods.com/?f=2&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtByEtC0DtB0DtBtCzzzz0ByD0FyCtN0D0Tzu0CtByEzztN1L2XzutBtFtCtFtCtFtAtCtB&cr=1686902449
FF - user.js: extensions.funmoods.prdct - funmoods
FF - user.js: extensions.funmoods.prtnrId - funmoods
FF - user.js: extensions.funmoods.srchPrvdr - Search
FF - user.js: extensions.funmoods.tlbrId - base
FF - user.js: extensions.funmoods.tlbrSrchUrl - hxxp://start.funmoods.com/?f=3&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtByEtC0DtB0DtBtCzzzz0ByD0FyCtN0D0Tzu0CtByEzztN1L2XzutBtFtCtFtCtFtAtCtB&cr=1686902449&q=
FF - user.js: extensions.funmoods.vrsn - 1.5.23.22
FF - user.js: extensions.funmoods.vrsni - 1.5.23.22
FF - user.js: extensions.funmoods_i.newTab - true
FF - user.js: extensions.funmoods_i.smplGrp - none
FF - user.js: extensions.funmoods_i.vrsnTs - 1.5.23.2215:12
FF - user.js: extensions.delta.tlbrSrchUrl -
FF - user.js: extensions.delta.id - d804b5f600000000000000241d2d2188
FF - user.js: extensions.delta.appId - {C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}
FF - user.js: extensions.delta.instlDay - 15990
FF - user.js: extensions.delta.vrsn - 1.8.24.6
FF - user.js: extensions.delta.vrsni - 1.8.24.6
FF - user.js: extensions.delta.vrsnTs - 1.8.24.620:10
FF - user.js: extensions.delta.prtnrId - delta
FF - user.js: extensions.delta.prdct - delta
FF - user.js: extensions.delta.aflt - babsst
FF - user.js: extensions.delta.smplGrp - none
FF - user.js: extensions.delta.tlbrId - base
FF - user.js: extensions.delta.instlRef - sst
FF - user.js: extensions.delta.dfltLng - ru
FF - user.js: extensions.delta.excTlbr - false
FF - user.js: extensions.delta.ffxUnstlRst - true
FF - user.js: extensions.delta.admin - false
FF - user.js: extensions.delta_i.babTrack - affID=119357&tt=02102013_mx15rsb&tsp=5033
FF - user.js: extensions.delta_i.babExt -
FF - user.js: extensions.delta_i.srcExt - ss
FF - user.js: extensions.delta.autoRvrt - false
FF - user.js: extensions.delta.rvrt - false
FF - user.js: extensions.delta.newTab - false
.
- - - - ORPHANS REMOVED - - - -
.
WebBrowser-{91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
HKLM-Run-BaiduSdTray - c:\program files\Baidu\BaiduSd\1.8.0.1255\BaiduSdTray.exe
HKLM-Run-Stronghold AntiMalware - c:\program files\Stronghold AntiMalware\StrongholdAntiMalware.exe
MSConfigStartUp-AdobeCS6ServiceManager - c:\program files\Common Files\Adobe\CS6ServiceManager\CS6ServiceManager.exe
MSConfigStartUp-UnlockerAssistant - d:\program files\Unlocker\UnlockerAssistant.exe
AddRemove-? - c:\program files\Baidu\BaiduSd\1.8.0.1255\uninst.exe
.
.
.
--------------------- LOCKED REGISTRY KEYS ---------------------
.
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.htm\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="AmigoHTML.KJOE5CON4YSEURCOUTJD6SBO2M"
.
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="AmigoHTML.KJOE5CON4YSEURCOUTJD6SBO2M"
.
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.shtml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="AmigoHTML.KJOE5CON4YSEURCOUTJD6SBO2M"
.
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xht\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="AmigoHTML.KJOE5CON4YSEURCOUTJD6SBO2M"
.
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xhtml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="AmigoHTML.KJOE5CON4YSEURCOUTJD6SBO2M"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Other Running Processes ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\program files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
c:\program files\NVIDIA Corporation\Display\nvxdsync.exe
c:\windows\system32\nvvsvc.exe
c:\program files\AVAST Software\Avast\AvastSvc.exe
c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe
c:\program files\Skype\Toolbars\AutoUpdate\SkypeC2CAutoUpdateSvc.exe
c:\program files\Skype\Toolbars\PNRSvc\SkypeC2CPNRSvc.exe
c:\programdata\EPSON\EPW!3 SSRP\E_S40ST7.EXE
c:\programdata\EPSON\EPW!3 SSRP\E_S40RP7.EXE
c:\program files\Mail.Ru\Guard\GuardMailRu.exe
c:\program files\Common Files\Protexis\License Service\PsiService_2.exe
c:\users\Nikolay\AppData\Local\THORN\Thorn.exe
c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
c:\windows\system32\sppsvc.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\program files\Mail.Ru\Guard\GuardMailRu.exe
c:\windows\system32\taskhost.exe
c:\windows\system32\conhost.exe
c:\program files\NVIDIA Corporation\Display\nvtray.exe
c:\windows\system32\wbem\unsecapp.exe
c:\qgna\qGNA.exe
c:\windows\servicing\TrustedInstaller.exe
c:\program files\Mozilla Firefox\firefox.exe
.
**************************************************************************
.
Completion time: 2014-11-20  22:17:53 - machine was rebooted
ComboFix-quarantined-files.txt  2014-11-20 15:17
.
Pre-Run: 189 289 467 904 байт свободно
Post-Run: 188 942 667 776 байт свободно
.
- - End Of File - - DC4381A0FA8D411CFF054A3A90A4CDA4
A36C5E4F47E84449FF07ED3517B43A31

 

 

 

Сообщение от модератора Mark D. Pearlstone

Добавляйте спойлер.

[mike 1]

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.

KillAll::

 

File::

C:\Windows\system32\drivers\BDEnhanceBoost.sys

c:\windows\system32\drivers\BDMWrench.sys

c:\windows\system32\drivers\bd0002.sys

c:\windows\system32\drivers\BDArKit.SYS

c:\windows\system32\drivers\bd0001.sys

c:\windows\system32\drivers\bd0003.sys

C:\iexplore.bat

C:\firefox.bat

c:\users\Nikolay\AppData\Local\chrome.bat

c:\users\Nikolay\AppData\Roaming\MediaHit.Launcher.bat

C:\WOWpLauncher.bat

C:\launcher.bat

C:\WOTLauncher.bat

c:\program files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys

 

Driver::

bd0001

bd0002

bd0003

BDMWrench

BDArKit

BDEnhanceBoost

BDKVRTP

BDMRTP

 

Folder::

c:\users\Nikolay\AppData\Local\torchimeshmoviestoolbar

c:\program files\Movies App

c:\users\Nikolay\AppData\Roaming\VOPackage

C:\Users\Nikolay\AppData\Roaming\Baidu

C:\Program Files\Common Files\Baidu

C:\ProgramData\Baidu

C:\Program Files\baidu

 

Registry::

 

Firefox::

FF - user.js: extensions.funmoods.aflt - iron2

FF - user.js: extensions.funmoods.autoRvrt - false

FF - user.js: extensions.funmoods.dfltLng -

FF - user.js: extensions.funmoods.dfltSrch - true

FF - user.js: extensions.funmoods.dnsErr - true

FF - user.js: extensions.funmoods.envrmnt - production

FF - user.js: extensions.funmoods.excTlbr - false

FF - user.js: extensions.funmoods.hmpg - true

FF - user.js: extensions.funmoods.hmpgUrl - hxxp://start.funmoods.com/?f=1&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtByEtC0DtB0DtBtCzzzz0ByD0FyCtN0D0Tzu0CtByEzztN1L2XzutBtFtCtFtCtFtAtCtB&cr=1686902449

FF - user.js: extensions.funmoods.id - 00241D2D2188B5F6

FF - user.js: extensions.funmoods.instlDay - 15587

FF - user.js: extensions.funmoods.instlRef - iron2

FF - user.js: extensions.funmoods.isdcmntcmplt - true

FF - user.js: extensions.funmoods.mntrvrsn - 1.3.0

FF - user.js: extensions.funmoods.newTabUrl - hxxp://start.funmoods.com/?f=2&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtByEtC0DtB0DtBtCzzzz0ByD0FyCtN0D0Tzu0CtByEzztN1L2XzutBtFtCtFtCtFtAtCtB&cr=1686902449

FF - user.js: extensions.funmoods.prdct - funmoods

FF - user.js: extensions.funmoods.prtnrId - funmoods

FF - user.js: extensions.funmoods.srchPrvdr - Search

FF - user.js: extensions.funmoods.tlbrId - base

FF - user.js: extensions.funmoods.tlbrSrchUrl - hxxp://start.funmoods.com/?f=3&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtByEtC0DtB0DtBtCzzzz0ByD0FyCtN0D0Tzu0CtByEzztN1L2XzutBtFtCtFtCtFtAtCtB&cr=1686902449&q=

FF - user.js: extensions.funmoods.vrsn - 1.5.23.22

FF - user.js: extensions.funmoods.vrsni - 1.5.23.22

FF - user.js: extensions.funmoods_i.newTab - true

FF - user.js: extensions.funmoods_i.smplGrp - none

FF - user.js: extensions.funmoods_i.vrsnTs - 1.5.23.2215:12

FF - user.js: extensions.delta.tlbrSrchUrl -

FF - user.js: extensions.delta.id - d804b5f600000000000000241d2d2188

FF - user.js: extensions.delta.appId - {C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}

FF - user.js: extensions.delta.instlDay - 15990

FF - user.js: extensions.delta.vrsn - 1.8.24.6

FF - user.js: extensions.delta.vrsni - 1.8.24.6

FF - user.js: extensions.delta.vrsnTs - 1.8.24.620:10

FF - user.js: extensions.delta.prtnrId - delta

FF - user.js: extensions.delta.prdct - delta

FF - user.js: extensions.delta.aflt - babsst

FF - user.js: extensions.delta.smplGrp - none

FF - user.js: extensions.delta.tlbrId - base

FF - user.js: extensions.delta.instlRef - sst

FF - user.js: extensions.delta.dfltLng - ru

FF - user.js: extensions.delta.excTlbr - false

FF - user.js: extensions.delta.ffxUnstlRst - true

FF - user.js: extensions.delta.admin - false

FF - user.js: extensions.delta_i.babTrack - affID=119357&tt=02102013_mx15rsb&tsp=5033

FF - user.js: extensions.delta_i.babExt -

FF - user.js: extensions.delta_i.srcExt - ss

FF - user.js: extensions.delta.autoRvrt - false

FF - user.js: extensions.delta.rvrt - false

FF - user.js: extensions.delta.newTab - false



FileLook::

 

DirLook::

 

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

 

[taybinec]

Отчет

ComboFix.rar

[mike 1]

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.

http://forum.kasperskyclub.ru/index.php?showtopic=44675

 

KillAll::

 

Collect::

C:\iexplore.bat

C:\firefox.bat

c:\users\Nikolay\AppData\Local\chrome.bat

c:\users\Nikolay\AppData\Roaming\MediaHit.Launcher.bat

C:\WOWpLauncher.bat

C:\launcher.bat

C:\WOTLauncher.bat

c:\program files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys

 

File::

c:\windows\system32\drivers\bd0001.sys

c:\windows\system32\drivers\BDArKit.SYS

c:\windows\system32\drivers\bd0002.sys

c:\windows\system32\drivers\BDMWrench.sys

 

Driver::

 

Folder::

 

Registry::

 

Firefox::

FF - user.js: extensions.funmoods.aflt - iron2

FF - user.js: extensions.funmoods.autoRvrt - false

FF - user.js: extensions.funmoods.dfltLng - 

FF - user.js: extensions.funmoods.dfltSrch - true

FF - user.js: extensions.funmoods.dnsErr - true

FF - user.js: extensions.funmoods.envrmnt - production

FF - user.js: extensions.funmoods.excTlbr - false

FF - user.js: extensions.funmoods.hmpg - true

FF - user.js: extensions.funmoods.hmpgUrl - hxxp://start.funmoods.com/?f=1&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtByEtC0DtB0DtBtCzzzz0ByD0FyCtN0D0Tzu0CtByEzztN1L2XzutBtFtCtFtCtFtAtCtB&cr=1686902449

FF - user.js: extensions.funmoods.id - 00241D2D2188B5F6

FF - user.js: extensions.funmoods.instlDay - 15587

FF - user.js: extensions.funmoods.instlRef - iron2

FF - user.js: extensions.funmoods.isdcmntcmplt - true

FF - user.js: extensions.funmoods.mntrvrsn - 1.3.0

FF - user.js: extensions.funmoods.newTabUrl - hxxp://start.funmoods.com/?f=2&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtByEtC0DtB0DtBtCzzzz0ByD0FyCtN0D0Tzu0CtByEzztN1L2XzutBtFtCtFtCtFtAtCtB&cr=1686902449

FF - user.js: extensions.funmoods.prdct - funmoods

FF - user.js: extensions.funmoods.prtnrId - funmoods

FF - user.js: extensions.funmoods.srchPrvdr - Search

FF - user.js: extensions.funmoods.tlbrId - base

FF - user.js: extensions.funmoods.tlbrSrchUrl - hxxp://start.funmoods.com/?f=3&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtByEtC0DtB0DtBtCzzzz0ByD0FyCtN0D0Tzu0CtByEzztN1L2XzutBtFtCtFtCtFtAtCtB&cr=1686902449&q=

FF - user.js: extensions.funmoods.vrsn - 1.5.23.22

FF - user.js: extensions.funmoods.vrsni - 1.5.23.22

FF - user.js: extensions.funmoods_i.newTab - true

FF - user.js: extensions.funmoods_i.smplGrp - none

FF - user.js: extensions.funmoods_i.vrsnTs - 1.5.23.2215:12

FF - user.js: extensions.delta.tlbrSrchUrl - 

FF - user.js: extensions.delta.id - d804b5f600000000000000241d2d2188

FF - user.js: extensions.delta.appId - {C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}

FF - user.js: extensions.delta.instlDay - 15990

FF - user.js: extensions.delta.vrsn - 1.8.24.6

FF - user.js: extensions.delta.vrsni - 1.8.24.6

FF - user.js: extensions.delta.vrsnTs - 1.8.24.620:10

FF - user.js: extensions.delta.prtnrId - delta

FF - user.js: extensions.delta.prdct - delta

FF - user.js: extensions.delta.aflt - babsst

FF - user.js: extensions.delta.smplGrp - none

FF - user.js: extensions.delta.tlbrId - base

FF - user.js: extensions.delta.instlRef - sst

FF - user.js: extensions.delta.dfltLng - ru

FF - user.js: extensions.delta.excTlbr - false

FF - user.js: extensions.delta.ffxUnstlRst - true

FF - user.js: extensions.delta.admin - false

FF - user.js: extensions.delta_i.babTrack - affID=119357&tt=02102013_mx15rsb&tsp=5033

FF - user.js: extensions.delta_i.babExt - 

FF - user.js: extensions.delta_i.srcExt - ss

FF - user.js: extensions.delta.autoRvrt - false

FF - user.js: extensions.delta.rvrt - false

FF - user.js: extensions.delta.newTab - false



FileLook::

 

DirLook::

 

Reboot:: 

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. ComboFix предпримет попытку отправить часть вредоносных файлов разработчику. Согласитесь на отправку файлов.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.