Комплексное заражение вредоносным ПО

[unname123]

Скачал файл с сайта, замаскированного под настоящий. Файл оказался исполняемой программой, установившей при запуске вирусы, шпионские программы, нежелательные программы оптимизаторы и т. д.

Установленный на тот момент в системе антивирус был устаревшим и пропустил данный файл. После запуска вредоносный файл удалился.

 

В результате:

-при запуске ОС выдается сообщение перед окном приветствия с неизвестным содержанием

-далее запускается .bat файл со скриптом для работы вредоносного ПО

-выводится сообщение о том, что не может быть найдена папка My Documents

-в диспетчере задач создаются вредоносные процессы (при завершении они создаются заново)

-ярлык Firefox содежат ссылку для перехода на рекламный сайт

-при попытке удалить нежелательное ПО оно переустанавливается после перезагрузки и т. д.

 

Провел проверку программой KVRT 2015. Она нашла вредоносное ПО и сообщила об его уничтожении, но после перезагрузки проблема осталась.

CollectionLog-2015.10.23-00.32.zip

[mike 1]

Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.

Распакуйте архив с утилитой в отдельную папку.

Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

 

 

Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

Прикрепите этот отчет к своему следующему сообщению.

 

 

 

 

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.

Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

[unname123]

Логи ClearLNK и AdwCleaner.

AdwCleanerS1.txt

ClearLNK-23.10.2015_17-41.log

[mike 1]

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.

Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.

Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

[unname123]

Лог AdwCleaner.

AdwCleanerC1.txt

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[unname123]

Сканирование завершилось вылетом из программы с ошибкой.

Логи FRST.

Addition.txt

FRST.txt

Изменено 23 октября, 2015 пользователем unname123

[mike 1]

Один из логов битый получился. Заново попробуйте собрать логи.

[unname123]

На этот раз сканирование прошло без ошибок.

Приложил новые логи FRST.

Addition.txt

FRST.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
File: C:\Documents and Settings\Alex\Local Settings\Application Data\Birds\birds365.exe
Folder: C:\Documents and Settings\Alex\Local Settings\Application Data\Birds
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
Toolbar: HKU\S-1-5-21-1547161642-630328440-1417001333-1003 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
CHR HKLM\...\Chrome\Extension: [bgbgnhmfbcifpkjofoojfplmfkmaiadn] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [bpgangmffjcofiknibcmfjionicohfgj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [nbifdkmdojgmpmopdebnjcobekgdoncn] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [nneajnkjbffgblleaoojgaacokifdkhm] - <no Path\update_url>
CHR HKLM\...\Chrome\Extension: [nonodemgnpfmmhbnkecpjjdkfmaifoni] - C:\Program Files\Adobe Flash Players 10.0\adobeflashplayer-sk.crx <not found>
2015-10-21 06:57 - 2015-10-21 21:32 - 00004648 _____ C:\WINDOWS\system32\Puofkyxma.ini
2015-10-21 06:57 - 2015-10-21 21:32 - 00002360 _____ C:\WINDOWS\system32\PuofkyxmaOff.ini
2015-10-21 06:56 - 2015-10-24 00:32 - 00000326 _____ C:\WINDOWS\Tasks\Mhlonz.job
2015-10-21 06:56 - 2015-10-21 06:56 - 00000000 ____D C:\Documents and Settings\LocalService\Local Settings\Application Data\{D2020D47-707D-4E26-B4D9-739C4F4C2E9A}
2015-10-21 06:56 - 2015-10-21 06:56 - 00000000 ____D C:\Documents and Settings\Alex\Local Settings\Tempfolder
2015-10-19 22:06 - 2015-10-21 22:05 - 00000178 _____ C:\Documents and Settings\All Users\Application Data\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
2015-10-19 22:06 - 2015-10-20 02:44 - 00000004 _____ C:\WINDOWS\system32\029B560A371F4E00AB32838EBC01B9E7
2015-10-19 21:54 - 2015-10-19 21:37 - 00000059 _____ C:\WINDOWS\system32\Drivers\etc\hp.bak
2015-10-19 21:38 - 2015-10-19 21:38 - 00000000 ____D C:\Documents and Settings\All Users\Application Data\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2015-10-19 21:37 - 2015-10-21 16:44 - 00000000 ____D C:\Documents and Settings\Alex\Application Data\Browsers
2015-10-19 21:37 - 2015-10-19 21:37 - 00000000 ____D C:\Documents and Settings\Alex\Application Data\SPI
2009-07-23 15:28 - 2009-07-23 15:28 - 0012927 ____C () C:\Documents and Settings\Alex\Local Settings\Application Data\nypu.vbs
2009-07-23 15:28 - 2009-07-23 15:28 - 0016988 ____C () C:\Documents and Settings\Alex\Local Settings\Application Data\wepa.dll
2009-07-23 15:28 - 2009-07-23 15:28 - 0016495 ____C () C:\Documents and Settings\Alex\Local Settings\Application Data\buby.dll
Task: C:\WINDOWS\Tasks\Mhlonz.job => C:\Program Files\groover211020150539\Zulcioyg.bat
StandardProfile\AuthorizedApplications: [C:\Documents and Settings\Alex\Local Settings\Application Data\Kometa\Application\kometa.exe] => Enabled:Kometa
StandardProfile\AuthorizedApplications: [C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe] => Enabled:Crossbrowse
EmptyTemp:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

 

 

[unname123]

После перезагрузки процесс birds365.exe остался в диспетчере задач.

Сейчас, случайно, в списке загрузок браузера обнаружил запись о неудачном скачивании того самого вредоносного файла. Там указано его название и сайт с которого он был загружен. Может ли пригодится как-нибудь данная информация?

Прикрепил новые логи FRST.

Fixlog.txt

Изменено 23 октября, 2015 пользователем unname123

[mike 1]

 

 

После перезагрузки процесс birds365.exe остался в диспетчере задач.

Это удаляем?

[unname123]

Да, удаляем. Процесс birds365.exe появился после заражения вредоносом.

Но это не единственная проблема.

По прежнему осталось окно с неизвестным содержанием и кнопкой OK при старте ОС перед окном приветствия. После нажатия на OK система запускается в обычном режиме.

Также есть подозрения, что кроме birds365.exe в диспетчере задач есть и другие лишние процессы. Например, непонятно от чего rundll32.exe.

[mike 1]

Повторите логи FRST.txt и Addition.txt

[unname123]

Новые логи.

Addition.txt

FRST.txt