Вирус, который запускается после 5-10 минут простоя компа

[Саня_Химик]

На компе обнаруживаются вредоносные программы, пытающиеся из инета подгрузить ещё нечто из инета (об этом постоянно сообщается антивирусная программа (CRYSATAL))

Кристалл, вроде как вредителя находит, лечит, удаляет и просит перезагрузить комп. Но после перезагрузки, примерно через 5-15 минут простоя сама запускается браузер с какой-нибудь инет страницей (всегда разные). И запускается программа "bbcabfcbcfe.exe" расхоложенная по адресу C:\Users\пользователь\AppData\Local\Temp, которая пытается что-то инсталировать на комп. Какие-то программы похожие на рекламные модули.

Полная проверка навирусы находит какие-то вред проги в парках C:\Users\пользователь\AppData\Local\Temp  Удаление содержимого папок темп не приводит к желаемому результату. После перезагрузки и 5-15 минут простоя, папки темп опять полны мусора.

Далее открываются окна антивируса сообщающие о проблемах, следование которым приводит к перезагрузке компа. И круг замыкается.

Прошу помочь с борьбой нечисти на компе.

Вирус судя посему занёс сын из инета.

 

CollectionLog-2015.01.01-19.19.zip

[thyrex]

AnySend-->"C:\Users\Андрей\AppData\Roaming\ASPackage\uninstall.exe"

Media Player-->C:\Program Files (x86)\MediaPlayerV1\MediaPlayerV1alpha180\uninstall.exe

Media View-->C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha3145\uninstall.exe

Media Viewer-->C:\Program Files (x86)\MediaViewerV1\MediaViewerV1alpha3580\uninstall.exe

Mobogenie-->C:\Program Files (x86)\Mobogenie\uninst.exe

 

 

удалите через Установку программ

 

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;

QuarantineFile('C:\Users\АННА\appdata\roaming\zbrowser\shadow\zbrowser.update\zbrowser.update.process.exe','');
 QuarantineFile('C:\Users\A4F7~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
 QuarantineFile('C:\PROGRA~2\MOVIES~1\Datamngr\x64\mgrldr.dll','');
 QuarantineFile('C:\PROGRA~2\MOVIES~1\Datamngr\mgrldr.dll','');
 DeleteService('serveras');
 TerminateProcessByName('c:\program files (x86)\mobogenie\mgassist.exe');
 TerminateProcessByName('c:\program files (x86)\mobogenie\daemonprocess.exe');
 TerminateProcessByName('c:\users\Андрей\appdata\roaming\aspackage\assrv.exe');
 QuarantineFile('c:\users\Андрей\appdata\roaming\aspackage\assrv.exe','');
 DeleteFile('c:\users\Андрей\appdata\roaming\aspackage\assrv.exe','32');
 DeleteFile('c:\program files (x86)\mobogenie\daemonprocess.exe','32');
 DeleteFile('c:\program files (x86)\mobogenie\mgassist.exe','32');
 DeleteFile('C:\Program Files (x86)\Mobogenie\DCR.dll','32');
 DeleteFile('C:\Program Files (x86)\Mobogenie\Device.dll','32');
 DeleteFile('C:\PROGRA~2\MOVIES~1\Datamngr\mgrldr.dll','32');
 DeleteFile('C:\PROGRA~2\MOVIES~1\Datamngr\x64\mgrldr.dll','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon');
 DeleteFile('C:\Users\A4F7~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\Windows\Tasks\DSite.job','64');
 DeleteFile('C:\Users\АННА\appdata\roaming\zbrowser\shadow\zbrowser.update\zbrowser.update.process.exe','32');

 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи

 

 

[Саня_Химик]

Ваш запрос успешно отправлен в Департамент исследований и разработки Лаборатории Касперского.

Скрипт выполнил

Сейчас зашёл в C:\Program Files (x86)\ и удалил три папки \MediaPlayerV1\, \MediaViewV1\, \MediaViewerV1\

заглянул в папку AppData\Local\Temp - она полна всякой ерунды ((

файл c:\quarantine.zip открыл (не распаковывая) программой WinRAR, странно, но в нём как бы ничего нету (( Но тем не менее всё равно отправил на https://my.kaspersky.com/ru

У антивирусной программы в карантине 13 файлов!

теперь выполняю заново логи и прикладываю их

Лог после выполнения скрипта

 

CollectionLog-2015.01.01-22.02.zip

[thyrex]

Пофиксите в HiJack

O2 - BHO: AdobeFlashStable - {D0123838-675F-43DC-9D4C-58498D4D84C9} - (no file)

O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)

 

 

C:\ProgramData\TimeTasks удалите вручную

 

Что с проблемой?

[Саня_Химик]

Пофиксите в HiJack 

Стесняюсь спросить - а это как? А то с таким впервые сталкиваюсь.

[саша98]

@Саня_Химик, Вот http://forum.kasperskyclub.ru/index.php?showtopic=7607 внизу там

[Саня_Химик]

Ок. Спасибо. Профиксил и удалил. ща почищу карантин и перезагружу копм.

Потом подожду около 20 минут, и тогда сообщу решена ли проблема.

Ребят, проблема не совсем решилась ((

Как понятно по логам на компе два активных пользователя - АННА и Андрей.

Я в прошлый раз логи делал под АННА

И вроде Анна ща работает стабильно, а вот под Андрей проблема как была так и есть.

Единственное ранее запускалась программа, а ща она больше не запускается, в остальном же проблема как была так и осталась.

Свежие логи, сделанные под пользователем Андрей прилагаю.

И да, лаборатория касперского ответила что архив карантина - ПОВРЕЖДЁН

CollectionLog-2015.01.02-00.03.zip

[thyrex]

ConvertAd-->"C:\Users\АННА\AppData\Local\ConvertAd\uninstall.exe"

Screeny-->C:\Users\Андрей\AppData\Local\Screeny\uninstall.exe

Software Version Updater-->C:\Users\Андрей\AppData\Local\SwvUpdater\Updater.exe /uninstall

 

 

удалите через Установку программ

 

C:\Windows\tasks\AmiUpdXp.job удалите вручную

 

Скачайте SITLog и сохраните архив с утилитой на Рабочем столе

Распакуйте архив с утилитой в отдельную папку

Запустите sitlog.exe

Обратите внимание

, что утилиты необходимо запускать от имени Администратора. По умолчанию в

Windows XP

так и есть. В

Windows Vista

и

Windows 7

администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать

Запуск от имени Администратора

, при необходимости укажите пароль администратора и нажмите

Да

В главном окне программы выберите проверку за последние три месяца и нажмите "Старт"

По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt

Прикрепите эти отчеты в вашей теме.

[Саня_Химик]

Удалить через установку программы - это как? (извините)

Удалить через установку программы - Я захожу через пуск-панельуправления-удаление программ и там уже удаляю если нахожу прогу в списке, если в списке нету, то удаляю в ручную по указанному пути расположения.

Что указано было - я удалил.

Перед SITlig выключил касперского, навсякий случай.

SITlog прикладываю

SITLog.txt

SITLog_Info.txt

[Саня_Химик]

Ауу! Дын-дын!

Про меня наверное забыли?

Не знаю тут ли об этом надо писать... Но напишу, уж тут пока мне логи просвечивают.

Сегодня приехал на работу и у нас на работе, в двух независимых местах компы не могут выйти в инет. В обоих случаях стоят   Wi-Fi роутеры. Но из двух, один комп к роутеру подключен через кабель. Начинаю ковырять тот комп, что к роутеру через кабель. Нахожу слеlы присутствия вируса Baidu. Чищу комп (служ команды-очиска диска+ручная очиска папок Temp+панель упр.- удаление прогр.) и инет сам запускается.

Запускаю копм в безопасном режиме и лечу лечилкой от Dr.W - который находит вирус Baidu (в папке \device\...

! ?? У меня вопрос к "санитарам" не кажется ли Вам, что пора объявить об эпидемии китайского вируса Baidu ???

[thyrex]

Пофиксите в HiJack

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://inews.pw/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
O2 - BHO: Niooiee@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O4 - HKCU\..\Run: [Screeny] C:\Users\Aia?ae\AppData\Local\Screeny\Screeny.exe
O4 - HKCU\..\Run: [Timestasks] "C:\ProgramData\TimeTasks\TimeTasksSetup.exe" /adv= /S

 

 

 

Расширения для Firefox

NetworkSecurity v14.3.9

MegaSmiles

Speed Analysis 3

Screeny

BonanzaDeals

superpromokody

Video Player

 

удалите

 

C:\Users\Андрей\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\webalta-search.xml удалите

 

 

 

[Саня_Химик]

Профиксил все пунткры

Удалил, файл

А вот деинсталировать плагины фокса - я не знаю как. Браузера мозилы как такового нету, удалён. Потому, где нашёл - удалил папка мозилы с вообще вем содержимым.

 

Перезагрузил комп и ... проблема так и осталась ((

1) после входа пользователя Андрея, запускается программа майл.агент

2) запускается браузер поумолчанию Maxthon. И если ранее запускаясь, браузер запускал какую-то (кажд. ра новыую) траницу какого-нибудь рекламного сайта, то ща открывается страница почты и вход выполнен.

3) сейчас уже включен пользователю АНДРЕЙ родительский контроль на антивирусе. И вот этот антивирус постоянно сообщает, что блокирует открытия страниц (####.mail#.#####)

 

Прикладываю, новые логи.

 

PS. Сейчас нахожусь далеко от компа и потому все процедуры выполнял посредством программы TeamViewer

CollectionLog-2015.01.03-18.50.zip

[thyrex]

Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.

Распакуйте архив с утилитой в отдельную папку.

Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

 

 

Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

Прикрепите этот отчет к своему следующему сообщению.

[Саня_Химик]

Выполнил. Вот лог.

ClearLNK-03.01.2015_21-04.log

[thyrex]

Что с проблемой?