Вирус вымогатель

[zomod]

Дети поймали какой то вирус блокирует работу всех браузеров и требует ввести номер телефона. Проверки различными антивирусами результата не принесли (Kaspesky Rescue Disc, Mbam, Kis)

 

при этом , что то блокирует активацию KIS (обновляется нормально правда установить версию с сайта не удалось, только с диска из коробки) , а Mbam не обновляется.

 

При запуске скрипта для записи лога IE и Chrome открылись в нормальном режиме, после того как скрипт отработал все вернулось назад.

 

Скрин этой пакости  

 

Во вложении лог и вторым файлом вирус который был явно обнаружен по дате установки со скриптами.

 

Сообщение от модератора Mark D. Pearlstone

Второй файл удалён.

 

CollectionLog-2015.03.04-21.40.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\1\AppData\Roaming\omiga-plus\UninstallManager.exe','');
DelBHO('{7CE987D5-11B3-44FC-9C3D-03069360D462}');
DelBHO('{1FE48F08-A2AC-44AC-A21C-0556D91C50DA}');
QuarantineFile('C:\Program Files (x86)\advPlugin\Toolbar32.dll','');
DeleteService('BDEnhanceBoost');
DeleteService('BDAntiExp');
DeleteService('bd0004');
DeleteService('bd0002');
DeleteService('bd0001');
SetServiceStart('BDMWrench_x64', 4);
DeleteService('BDMWrench_x64');
SetServiceStart('Update Service for advPlugin', 4);
DeleteService('Update Service for advPlugin');
TerminateProcessByName('c:\program files (x86)\advplugin\basement\extensionupdaterservice.exe');
QuarantineFile('c:\program files (x86)\advplugin\basement\extensionupdaterservice.exe','');
DeleteFile('c:\program files (x86)\advplugin\basement\extensionupdaterservice.exe','32');
DeleteFile('C:\windows\system32\DRIVERS\BDMWrench_x64.sys','32');
DeleteFile('C:\windows\system32\drivers\BDEnhanceBoost.sys','32');
DeleteFile('C:\windows\system32\DRIVERS\BDAntiExp.sys','32');
DeleteFile('C:\windows\system32\DRIVERS\bd0004.sys','32');
DeleteFile('C:\windows\system32\DRIVERS\bd0002.sys','32');
DeleteFile('C:\windows\system32\DRIVERS\bd0001.sys','32');
DeleteFile('C:\Program Files (x86)\advPlugin\Toolbar32.dll','32');
DeleteFile('C:\windows\system32\Tasks\LaunchSignup','64');
DeleteFile('C:\Users\1\AppData\Roaming\omiga-plus\UninstallManager.exe','32');
DeleteFile('C:\windows\system32\Tasks\{18E4FC9B-4B4D-4B12-9569-05C7084AACC5}','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите в HiJack

O17 - HKLM\System\CCS\Services\Tcpip\..\{1CCB3D1A-E75C-49C7-A074-D8448C348589}: NameServer = 108.61.170.121,8.8.4.4
O17 - HKLM\System\CS1\Services\Tcpip\..\{1CCB3D1A-E75C-49C7-A074-D8448C348589}: NameServer = 108.61.170.121,8.8.4.4
O17 - HKLM\System\CS2\Services\Tcpip\..\{1CCB3D1A-E75C-49C7-A074-D8448C348589}: NameServer = 108.61.170.121,8.8.4.4

Сделайте новые логи по правилам

[zomod]

Hijack эти ветки не фиксит, проблема не устраняется.

 

Ps Из первого моего поста удалите второе вложение если оно уже не нужно.

CollectionLog-2015.03.04-23.16.zip

hijackthis.log

[thyrex]

HiJack перед фиксом запускали от имени Администратора по правой кнопке мыши? Если нет, переделать выполнение фикса

[zomod]

Да виноват, запускал без админа. Всё заработало, новый лог нужен?

[mike 1]

Нужен для контроля.

[zomod]

Ок выкладываю.

CollectionLog-2015.03.05-20.29.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
  
• Нажмите кнопку Scan.
  
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[zomod]

Сделано

Addition.txt

FRST.txt

[thyrex]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
   

  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
  FF Plugin-x32: @microsoft.com/GENUINE -> disabled No File
  CHR HKLM\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho [Not Found]
  CHR HKLM-x32\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho [Not Found]
  CHR HKLM-x32\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] - https://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - https://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - https://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [odkmedfomghphdnmmemhkpoanggcfbbe] - https://clients2.google.com/service/update2/crx
  R1 BDMWrench_x64; C:\Windows\System32\DRIVERS\BDMWrench_x64.sys [130888 2015-01-19] (Baidu)
  S2 BDSafeBrowser; C:\Windows\System32\DRIVERS\BDSafeBrowser.sys [48968 2014-10-20] (Baidu)
  S1 bd0001; system32\DRIVERS\bd0001.sys [X]
  S1 bd0002; system32\DRIVERS\bd0002.sys [X]
  2015-03-03 22:17 - 2015-03-03 22:17 - 00000000 __SHD () C:\Users\Admin\AppData\Local\EmieUserList
  2015-03-03 22:17 - 2015-03-03 22:17 - 00000000 __SHD () C:\Users\Admin\AppData\Local\EmieSiteList
  2015-03-03 22:17 - 2015-03-03 22:17 - 00000000 __SHD () C:\Users\Admin\AppData\Local\EmieBrowserModeList
  2015-03-05 08:13 - 2014-11-22 21:50 - 00000000 ____D () C:\Program Files (x86)\advPlugin
  2015-02-20 16:11 - 2014-11-24 11:55 - 00000000 ____D () C:\Users\1\AppData\Roaming\advPlugin
  2015-02-20 14:33 - 2014-12-06 00:50 - 00000000 ____D () C:\Users\1\AppData\Roaming\eTranslator
  2015-02-20 14:32 - 2014-09-25 21:50 - 00000000 ____D () C:\Users\1\AppData\Local\storegid
  2015-02-20 14:31 - 2014-12-06 00:50 - 00000000 ____D () C:\Users\1\AppData\Local\Kometa
  2015-02-20 14:31 - 2014-09-25 21:51 - 00000000 ____D () C:\Program Files (x86)\test
  2015-02-20 14:23 - 2014-09-25 21:51 - 00000000 ____D () C:\Users\Все пользователи\Baidu
  2015-02-20 14:23 - 2014-09-25 21:51 - 00000000 ____D () C:\ProgramData\Baidu
  2015-02-20 15:56 - 2014-02-23 17:07 - 00000000 ____D () C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MyPC Backup
  C:\Users\1\Launcher.exe
  C:\ProgramData\help.bat
  C:\Users\Все пользователи\help.bat
  2014-05-08 22:06 - 2014-05-08 22:06 - 0005062 _____ () C:\ProgramData\uxxadbmu.rlu
  Task: {830101DB-0D65-40F4-B038-63F6775B0433} - \{18E4FC9B-4B4D-4B12-9569-05C7084AACC5} No Task File <==== ATTENTION
  Task: {9C0C4040-961E-4D51-8676-061F9D920425} - \PennyBee No Task File <==== ATTENTION
  Task: {E16155FF-CFFF-4BDF-97A6-77BA2BFCE7AE} - \LaunchSignup No Task File <==== ATTENTION
  Reboot:
  

• Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  
• Обратите внимание, что компьютер будет перезагружен.
  

[zomod]

Готово

Fixlog.txt

[thyrex]

Вот теперь можно и на выписку

[zomod]

Спасибо за помощь, сам бы не справился   Пришлось бы систему занулять.

[mike 1]

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var

LogPath : string;

ScriptPath : string;

begin

 LogPath := GetAVZDirectory + 'log\avz_log.txt';

 if FileExists(LogPath) Then DeleteFile(LogPath);

 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 

begin

    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 

else begin

       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');

       exit;

      end;

  end;

 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)

end.

 

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Советы и рекомендации после лечения компьютера

[zomod]

Зашел сегодня под пользователем , которым дети пользуются ( до этого админом входил)

 

и создалось впечатление, что не всё вылечилось. Проверьте пожалуйста лог еще раз.

CollectionLog-2015.03.12-22.49.zip