ребёнок скачал старую игру (Генералы) теперь на пк много программ и приложений

[Денис Лощенков]

Ребёнок искал игру в интернете, (Генералы) скачал какой то файл под видом торента, после чего на пк стало появляться очень много программ и приложений.   

CollectionLog-2016.01.23-01.10.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Denis\appdata\roaming\aspackage\uninstall.exe','');
 QuarantineFile('C:\Users\Denis\appdata\roaming\aspackage\aspackage.exe','');
 QuarantineFile('C:\Windows\system32\searchprotectservice.exe','');
 QuarantineFile('C:\Windows\syswow64\searchprotectservice.exe','');
 QuarantineFile('C:\Program Files (x86)\Torrent Search\bWAeOsw.exe','');
 QuarantineFile('C:\Users\Denis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AdobeARMHelper.vbs','');
 QuarantineFile('C:\Users\Denis\AppData\Local\Advatube\stub.exe','');
 QuarantineFile('C:\Users\Denis\AppData\Local\Advatube\config.json','');
 QuarantineFile('C:\Torrentex\Torrentex.exe','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
 DeleteService('TSSKX64');
 SetServiceStart('TSSysKit', 4);
 DeleteService('TSSysKit');
 SetServiceStart('tsnethlpx64', 4);
 DeleteService('tsnethlpx64');
 SetServiceStart('TFsFlt', 4);
 DeleteService('TFsFlt');
 SetServiceStart('TAOAccelerator', 4);
 DeleteService('TAOAccelerator');
 SetServiceStart('softaal', 4);
 DeleteService('softaal');
 SetServiceStart('QQSysMonX64', 4);
 DeleteService('QQSysMonX64');
 SetServiceStart('QMUdisk', 4);
 DeleteService('QMUdisk');
 SetServiceStart('QQPCRTP', 4);
 DeleteService('QQPCRTP');
 SetServiceStart('HSystem', 4);
 DeleteService('HSystem');
 SetServiceStart('gihugujozbt', 4);
 DeleteService('gihugujozbt');
 TerminateProcessByName('c:\program files (x86)\tencent\qqpcmgr\11.3.17207.222\qqpcrtp.exe');
 TerminateProcessByName('c:\program files (x86)\03000200-1453481713-0500-0006-000700080009\knsbcc5d.tmpfs');
 QuarantineFile('c:\program files (x86)\03000200-1453481713-0500-0006-000700080009\knsbcc5d.tmpfs','');
 TerminateProcessByName('c:\program files (x86)\sersoft\j2foxa.exe');
 QuarantineFile('c:\program files (x86)\sersoft\j2foxa.exe','');
 DeleteFile('c:\program files (x86)\sersoft\j2foxa.exe','32');
 DeleteFile('c:\program files (x86)\03000200-1453481713-0500-0006-000700080009\knsbcc5d.tmpfs','32');
 DeleteFile('c:\program files (x86)\tencent\qqpcmgr\11.3.17207.222\qqpcrtp.exe','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17207.222\communic.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17207.222\dr.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17207.222\oDayProtect.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17207.222\plugins\QMBDScanner.dat','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17207.222\plugins\QMHipsEngine.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17207.222\plugins\qmiemalrtpplugin\qmiemalrtpplugin.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17207.222\plugins\QMRepairPlugin.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17207.222\plugins\sysspeeduprtpplugin\SysSpeedupRtpPlugin.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17207.222\ptrate.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17207.222\QMAntiInject.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17207.222\QMAssocScan.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17207.222\QMAVProxy.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17207.222\QMCommon.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17207.222\QMDns.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17207.222\QMEmMat.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17207.222\QMExt.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17207.222\QMFileMon.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17207.222\QMHIPSHeart.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17207.222\QMHIPSPolicyEng.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17207.222\QMHIPSService.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17207.222\QMInfoEng.DLL','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17207.222\QMIpc.dll','32');
 DeleteFile('C:\ProgramData\Tencent\TSVulFw\TSVulFW.DAT','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17207.222\TSSysKitProxy.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17207.222\tinyxml.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17207.222\TAVUpload.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17207.222\TAVInterface.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17207.222\TAVEng.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17207.222\TAVCache.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17207.222\sqlite.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17207.222\QMUdisk64.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16923.222\QQSysMonX64.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.1.16923.222\softaal64.sys','32');
 DeleteFile('C:\Windows\system32\Drivers\TAOAccelerator64.sys','32');
 DeleteFile('C:\Windows\system32\Drivers\TAOKernel64.sys','32');
 DeleteFile('C:\Windows\system32\Drivers\TFsFltX64.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17207.222\TsNetHlpX64.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17207.222\TSSysKit64.sys','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','QQPCTray');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GameCenterMailRu');
 DeleteFile('C:\Users\Denis\AppData\Local\Mail.Ru\GameCenter\GameCenter@Mail.Ru.exe','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17207.222\QQPCTRAY.EXE','32');
 DeleteFile('C:\Torrentex\Torrentex.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','C');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Torrentex');
 DeleteFile('C:\Users\Denis\AppData\Local\Advatube\config.json','32');
 DeleteFile('C:\Users\Denis\AppData\Local\Advatube\stub.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Advatube');
 DeleteFile('C:\Program Files (x86)\Torrent Search\bWAeOsw.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Update Service for Torrent Search','64');
 DeleteFile('C:\Windows\system32\Tasks\Update Service for Torrent Search2','64');
 DeleteFile('C:\Windows\Tasks\Update Service for Torrent Search.job','32');
 DeleteFile('C:\Windows\Tasks\Update Service for Torrent Search2.job','32');
 DeleteFile('C:\Windows\syswow64\searchprotectservice.exe','32');
 DeleteFile('C:\Windows\system32\searchprotectservice.exe','32');
 DeleteFile('C:\Users\Denis\appdata\roaming\aspackage\aspackage.exe','32');
 DeleteFile('C:\Users\Denis\appdata\roaming\aspackage\uninstall.exe','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[Денис Лощенков]

Надеюсь правильно 

 

Строгое предупреждение от модератора Mark D. Pearlstone

Не прикрепляйте quarantine.zip на форум. Файл удалён.

[thyrex]

Новые логи, сделанные при помощи Autologger, где?

[Денис Лощенков]

Где найти информацию как правильно заполнить письмо, которое надо отправить на почту. Подскажите пожалуйста!

Изменено 23 января, 2016 пользователем Денис Лощенков

[thyrex]

Форма произвольная )

[Денис Лощенков]

Re: Запрос на исследование вредоносного файла [KLAN-3648997227]

 

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

uninstall.exe,
searchprotectservice.exe,
searchprotectservice_0.exe,
AdobeARMHelper.vbs,
stub.exe,
config.json,
knsbcc5d.tmpfs

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

aspackage.exe - not-a-virus:AdWare.Win32.Vopak.axvr

Это файл от рекламной системы. Детектирование файла будет добавлено в следующее обновление баз.

bWAeOsw.exe - not-a-virus:WebToolbar.Win32.Neobar.g

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"


Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed. 

uninstall.exe,
searchprotectservice.exe,
searchprotectservice_0.exe,
AdobeARMHelper.vbs,
stub.exe,
config.json,
knsbcc5d.tmpfs

A set of unknown files has been received. They will be sent to the Virus Lab.

aspackage.exe - not-a-virus:AdWare.Win32.Vopak.axvr

This file is an Advertizing Tool, It's detection will be included in the next update of extended databases set.

bWAeOsw.exe - not-a-virus:WebToolbar.Win32.Neobar.g

New potentially risk software was found in this file. It's detection will be included in the next update. Thank you for your help.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"


--------------------------------------------------------------------------------
From: 
Sent: 1/23/2016 6:36:39 PM
To: newvirus@kaspersky.com
Subject: Запрос на исследование вредоносного файла

Изменено 23 января, 2016 пользователем Денис Лощенков

[thyrex]

Новые логи где?

[Денис Лощенков]

Простите, забыл про него =)

CollectionLog-2016.01.24-01.53.zip

[thyrex]

Сделайте лог полного сканирования МВАМ

[Денис Лощенков]

Вот

Scan_Log 1.txt

Изменено 24 января, 2016 пользователем Денис Лощенков

[thyrex]

Удалите в МВАМ все найденное

[Денис Лощенков]

лог после

Итог.txt

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

[Денис Лощенков]

вот

Scan.rar