Поймал вирус при распаковке архива

[PoulVouker]

Здравствуйте, поймал вирус. Открыл архив, что-то скачалось и рабочий стол заполонили амиго, вконтакте, однокласники и т.п. Касперский вроде что то вылечил, но я не уверен что это все. 

CollectionLog-2016.01.22-18.27.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\ZmexEa\JsOzviJfC5.bat','');
 QuarantineFile('C:\ProgramData\nEztDuU\qwrgipx0.bat','');
 DeleteFile('C:\ProgramData\nEztDuU\qwrgipx0.bat','32');
 DeleteFile('C:\ProgramData\ZmexEa\JsOzviJfC5.bat','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

[PoulVouker]

Вот, все сделано. 

 

KLAN-3643060180[/size]

Hello,[/size]

 

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.[/size]

 

JsOzviJfC5.bat,[/size]

qwrgipx0.bat[/size]

 

A set of unknown files has been received. They will be sent to the Virus Lab.[/size]

 

Best Regards, Kaspersky Lab[/size]

 

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700  [/size]http://www.kaspersky.com [/size]http://www.viruslist.com"[/size]

 

 

------------------------------[/size]------------------------------[/size]--------------------[/size]

Sent: 1/22/2016 1:23:56 PM[/size]

To: [/size]newvirus@kaspersky.com

Subject: c:\quarantine.zip[/size]

 

Сообщение от модератора "Mark D. Pearlstone"

Адрес почты пользователя удалён.

ClearLNK-22.01.2016_21-29.log

CollectionLog-2016.01.22-21.33.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

 

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

[PoulVouker]

Сделано.

123.rar

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKU\S-1-5-21-832917887-3123553090-670968996-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://services.eshield.com/general/newhometab.php?hometab=home&partner=11433&guid={94029E58-B3F5-4BA0-AC21-254ABBEBC623}&i=
SearchScopes: HKU\S-1-5-21-832917887-3123553090-670968996-1000 -> {F5E5CCA9-DFFB-4872-A53E-ED0CA1B85730} URL = hxxp://search.eshield.com/serp?guid={94029E58-B3F5-4BA0-AC21-254ABBEBC623}&action=default_search&k={searchTerms}
Toolbar: HKU\S-1-5-21-832917887-3123553090-670968996-1000 -> No Name - {EF2301CD-B0E8-436C-817A-F41BB2158A25} -  No File
FF Extension: The Safe Surfing - C:\Users\Pavel\AppData\Roaming\Mozilla\Firefox\Profiles\pfpxa593.default\extensions\{3B4DE07A-DE43-4DBC-873F-05835FF67DCE} [2015-12-31] [not signed]
OPR Extension: (The Safe Surfing) - C:\Users\Pavel\AppData\Roaming\Opera Software\Opera Stable\Extensions\kcknbenjnkkjknphmnidanjifbgphjke [2015-12-31]
2016-01-22 17:16 - 2016-01-22 17:16 - 00000000 ____D C:\Users\Все пользователи\UpService
2016-01-22 17:16 - 2016-01-22 17:16 - 00000000 ____D C:\ProgramData\UpService
2016-01-22 17:15 - 2016-01-22 21:15 - 00000000 ____D C:\Users\Все пользователи\ZmexEa
2016-01-22 17:15 - 2016-01-22 21:15 - 00000000 ____D C:\Users\Все пользователи\nEztDuU
2016-01-22 17:15 - 2016-01-22 21:15 - 00000000 ____D C:\ProgramData\ZmexEa
2016-01-22 17:15 - 2016-01-22 21:15 - 00000000 ____D C:\ProgramData\nEztDuU
2016-01-22 17:15 - 2016-01-22 17:15 - 00000000 ____D C:\Users\Все пользователи\tTaetd
2016-01-22 17:15 - 2016-01-22 17:15 - 00000000 ____D C:\ProgramData\tTaetd
2015-12-31 14:24 - 2015-12-31 14:24 - 00000000 ____D C:\Users\Pavel\AppData\Local\Kometa
2015-12-31 14:24 - 2015-12-31 14:24 - 00000000 ____D C:\Users\Pavel\AppData\Local\Crossbrowse
2015-12-19 14:01 - 2015-12-19 14:09 - 00000000 ____D C:\Program Files (x86)\UCBrowser
2015-12-19 14:01 - 2015-12-19 14:07 - 00232104 _____ C:\Windows\system32\Drivers\DMProtectEx64.sys
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

[PoulVouker]

Лог

Fixlog.txt

[Sandor]

Что с проблемой?

[PoulVouker]

Что с проблемой?

Вроде как все убралось.. Спасибо. 

[Sandor]

В завершение:

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[PoulVouker]

 

В завершение:

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

Сделано. 

SecurityCheck.txt

[Sandor]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.20 (32-разрядная) v.5.20.0 Внимание! Скачать обновления

--------------------------------- [ IM ] ----------------------------------

Skype™ 7.14 v.7.14.106 Внимание! Скачать обновления

^Необязательное обновление.^

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.4.5.41372 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 71 v.8.0.710.15 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u72-windows-i586.exe)^

------------------------------- [ Browser ] -------------------------------

Mozilla Firefox 43.0.3 (x86 ru) v.43.0.3 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Firefox!^

 

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО