Угонщик браузеров searchdts

[Nikita Zybinov]

Добрый день!

 

Мой Chrome подвергся атаке малваря - при поиске в яндксе или гугле происходит редирект на searchdts и на go.mail.ru, кроме этого постоянно всплывает реклама. Чистка реестра и поиск вирусов утилитами CureIt и Kaspersky Free не дали результата. Прилагаю результаты работы программы FRST64.

 

Спасибо за помощь.

Addition.txt

FRST.txt

Shortcut.txt

[mike 1]

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

[Nikita Zybinov]

Логи AutoLogger в аттаче

ClearLNK лог в аттаче

CollectionLog-2016.03.31-17.37.zip

ClearLNK-31.03.2016_18-16.log

Изменено 31 марта, 2016 пользователем Nikita Zybinov

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin

 QuarantineFile('C:\Users\kefir\AppData\Local\Hostinstaller\35538030_monster.exe','');

 DelBHO('{03AE1B7B-A9E7-4D5A-9D34-89999C31B659}');

 DelBHO('{6E727987-C8EA-44DA-8749-310C0FBE3C3E}');

 StopService('HomePageDefender Service');

 DeleteService('HomePageDefender Service');

 StopService('wucotusy');

 StopService('rowugoqo');

 DeleteService('wucotusy');

 DeleteService('rowugoqo');

 TerminateProcessByName('c:\users\kefir\appdata\local\1cb39c4f-1459439995-c32a-365e-e03f49441af8\snst2d2b.tmp');

 QuarantineFile('c:\users\kefir\appdata\local\1cb39c4f-1459439995-c32a-365e-e03f49441af8\snst2d2b.tmp','');

 QuarantineFile('c:\programdata\mobilebrserv\mbbservice.exe','');

 TerminateProcessByName('c:\program files (x86)\torrent search\ieef\kkrzwt3qp2b9.exe');

 QuarantineFile('c:\program files (x86)\torrent search\ieef\kkrzwt3qp2b9.exe','');

 TerminateProcessByName('c:\program files (x86)\homepagedefender\hpdefsrv.exe');

 QuarantineFile('c:\program files (x86)\homepagedefender\hpdefsrv.exe','');

 TerminateProcessByName('c:\program files (x86)\1cb39c4f-1459429084-c32a-365e-e03f49441af8\hnsxb1b5.tmp');

 QuarantineFile('c:\program files (x86)\1cb39c4f-1459429084-c32a-365e-e03f49441af8\hnsxb1b5.tmp','');

 DeleteFile('c:\program files (x86)\1cb39c4f-1459429084-c32a-365e-e03f49441af8\hnsxb1b5.tmp','32');

 DeleteFile('c:\program files (x86)\homepagedefender\hpdefsrv.exe','32');

 DeleteFile('c:\program files (x86)\torrent search\ieef\kkrzwt3qp2b9.exe','32');

 DeleteFile('c:\users\kefir\appdata\local\1cb39c4f-1459439995-c32a-365e-e03f49441af8\snst2d2b.tmp','32');

 DeleteFile('C:\Program Files (x86)\HomePageDefender\HpDefSrv.exe','32');

 DeleteFile('C:\Users\kefir\AppData\Local\1CB39C4F-1459439995-C32A-365E-E03F49441AF8\snst2D2B.tmp','32');

 DeleteFile('C:\Program Files (x86)\1CB39C4F-1459429084-C32A-365E-E03F49441AF8\hnsxB1B5.tmp','32');

 DeleteFile('C:\Program Files (x86)\Torrent Search\IEEF\uNaRp1RpKmSW.dll','32');

 DeleteFile('C:\Windows\Tasks\Update Service for Torrent Search.job','32');

 DeleteFile('C:\Windows\Tasks\Update Service for Torrent Search2.job','32');

 DeleteFile('C:\Users\kefir\AppData\Local\Hostinstaller\35538030_monster.exe','32');

 DeleteFile('C:\Windows\system32\Tasks\Soft installer','64');

 DeleteFile('C:\Windows\system32\Tasks\Update Service for Torrent Search','64');

 DeleteFile('C:\Windows\system32\Tasks\Update Service for Torrent Search2','64');

ExecuteSysClean;

RebootWindows(true);

end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.

 

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи Автологгером. 

 

[Nikita Zybinov]

После выполнения выданных рекомендаций проблема не исчезла. Логи с автологерра в аттаче.

 

Ответ вирлаба:

 

KLAN-4022944422

 

35538030_monster.exe,

snst2d2b.tmp,
mbbservice.exe,
kkrzwt3qp2b9.exe,
hpdefsrv.exe

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

CollectionLog-2016.03.31-19.23.zip

[mike 1]

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s2].txt.

Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

[Nikita Zybinov]

К сожалению, программа не отрабатывает полностью ни в обычном ни в безопасном режиме (выводит ошибку приложения). Запускал от имени Администратора.

 

Тот лог, который AdwCleaner все-таки собрал, прикладываю.

AdwCleanerS4.txt

[mike 1]

Сделайте скриншот ошибки. 

 

+ Запустите AdwCleaner от имени администратора и в настройках включите отладочный режим, далее воспроизведите ошибку и прикрепите к сообщению лог C:\AdwCleaner\AdwCleaner_dbg_xxxxxx.log

Изменено 31 марта, 2016 пользователем mike 1

[Nikita Zybinov]

  Обычная виндовая ошибка. (копия содержания окна "прекращена работа программы AdwCleaner")

 

Сигнатура проблемы:

  Имя события проблемы: APPCRASH

  Имя приложения: adwcleaner_5.108.exe

  Версия приложения: 5.1.0.8

  Отметка времени приложения: 56fc1e1f

  Имя модуля с ошибкой: SHLWAPI.dll

  Версия модуля с ошибкой: 6.1.7601.17514

  Отметка времени модуля с ошибкой: 4ce7b9e2

  Код исключения: c0000005

  Смещение исключения: 0001bb3a

  Версия ОС: 6.1.7601.2.1.0.256.1

  Код языка: 1049

  Дополнительные сведения 1: 0a9e

  Дополнительные сведения 2: 0a9e372d3b4ad19135b953a78882e789

  Дополнительные сведения 3: 0a9e

  Дополнительные сведения 4: 0a9e372d3b4ad19135b953a78882e789

 

 

 Судя по дебаг логам AdwCleaner'а стартует скан ярлыков но не завершается (последние строчки дебаг лога)

2016-04-01 01:28:18 : [Notice] Files scan started

2016-04-01 01:28:20 : [Notice] Files scan finished

2016-04-01 01:28:20 : [Notice] DLL scan started

2016-04-01 01:28:20 : [Notice] DLL scan finished

2016-04-01 01:28:20 : [Notice] Shortcuts scan started

 

В это же время в обычных логах пусто на месте "Ярлыки"

AdwCleanerS6.txt

Debug_01042016012744.log

Изменено 31 марта, 2016 пользователем Nikita Zybinov

[mike 1]

 

• Скачайте Junkware Removal Tool by thisisu отсюда и сохраните утилиту на Рабочем столе
• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Запустите утилиту (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора)
• Дождитесь окончания сканирования и удаления
• По завершению сканирования лог (JRT.txt) будет сохранен на Рабочем столе и автоматически открыт в Блокноте.
• Прикрепите полученный лог JRT.txt к своему следующему сообщению.

[Nikita Zybinov]

Junkware тоже выбрасывает APPCRASH на ярлыках, не создавая лог на рабочем столе:

 

Сигнатура проблемы:

  Имя события проблемы: APPCRASH

  Имя приложения: SHORTCUT.DAT

  Версия приложения: 1.10.0.0

  Отметка времени приложения: 42c93b79

  Имя модуля с ошибкой: SHLWAPI.dll

  Версия модуля с ошибкой: 6.1.7601.17514

  Отметка времени модуля с ошибкой: 4ce7b9e2

  Код исключения: c0000005

  Смещение исключения: 0001bb3a

  Версия ОС: 6.1.7601.2.1.0.256.1

  Код языка: 1049

  Дополнительные сведения 1: 57df

  Дополнительные сведения 2: 57df22ceae4d0b9549bae37ac622758b

  Дополнительные сведения 3: e7a0

  Дополнительные сведения 4: e7a0c641bbd1b0a50003309c956aa9c6

 

 

Может есть смысл почистить руками? Только что чистить?

[mike 1]

Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы, выберите "Custom Scan" ("Пользовательское сканирование"), нажмите "Scan Now" ("Сканировать сейчас"), отметьте все диски. В выпадающих списках PUP и PUM выберите "Warn user about detections" ("Предупредить пользователя об обнаружении"). Нажмите нажмите "Start Scan" ("Запуск проверки"). После сканирования нажмите Export Log, сохраните лог в формате txt и прикрепите его к следующему посту.

Самостоятельно ничего не удаляйте!!!

Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[Nikita Zybinov]

Лог в аттаче

Log Malwarebytes.txt

[mike 1]

Удалите в MBAM все, кроме:

Файлы: 71
Trojan.VirTool, E:\The.Elder.Scrolls.V.Skyrim.Legendary.Edition.RUS-QT\Crack\English\steam_api.dll, , [b1f75752f7a2eb4b99d3a6af6a9814ec], 
Trojan.VirTool, E:\The.Elder.Scrolls.V.Skyrim.Legendary.Edition.RUS-QT\Crack\Russian\steam_api.dll, , [357354551386cb6b0b610c49956df709], 
PUP.Optional.InstallCore, E:\[R.G. Mechanics] Tony Hawk's American Wasteland\setup.exe, , [6a3edecbbbde1e18af74d499f809fc04], 
RiskWare.Tool.HCK, D:\ArtMoney 7.44 Pro + keygen\artmoneykg744eng.exe, , [deca3475b5e4c96d08cd7c966998d62a], 
RiskWare.Tool.HCK, D:\ArtMoney 7.44 Pro + keygen\artmoneykg744rus.exe, , [4761decbf8a158de548137db837e26da], 
CrackTool.Agent.Steam, D:\R.G. Catalyst\Pro Evolution Soccer 2016\steam_api.dll, , [d0d837728b0e1a1cc618303cc43da858], 
Trojan.MalPack.Krunchy, D:\Faasoft Audio Converter 5.2.23.5604 Multilingual + Keygen + 100% Working\Faasoft Audio Converter\Faasoft Audio Converter\Keygen\Keygen.exe, , [01a7e7c20b8e2016b6092b4a08f907f9], 
Trojan.MalPack.Krunchy, D:\Faasoft Video Converter 5.2.24.5621 Multilingual + Keygen + 100% Working\Faasoft Video Converter\Faasoft Video Converter\Keygen\Keygen.exe, , [ecbcd4d58a0f1b1bc0ffc6af51b013ed], 
Trojan.PasswordStealer.H, D:\Games\Garry's Mod 13 by RadioMan\UNC.exe, , [57512980178259dd027c54f3dd28ca36], 
Trojan.VirTool, D:\Games\The Elder Scrolls V - Skyrim\steam_api.dll, , [2880fcad88112b0b91dbbb9a0af820e0], 
PUP.Optional.InstallCore, D:\torrent\Trine 3 - The Artifacts of Power\setup.exe, , [9a0e57520792bf7773b0e786fe0325db], 
PUP.Optional.InstallCore, D:\torrent\[R.G. Mechanics] The Sims 3 Antology\setup.exe, , [d6d282277f1a40f60320fe6f15eca858], 
PUP.Optional.Somoto, D:\Users\kefir\Downloads\commander_v1.0.4.rar.exe, , [7b2de5c41386979f52b266e7768f0bf5], 
RiskWare.Crack, D:\Users\kefir\Downloads\GTA4RUS1C\Crack\LaunchGTAIV.exe, , [5b4d4267dabfff376aa4e48ffb07dd23], 
Trojan.VirTool, D:\Users\kefir\Downloads\The.Elder.Scrolls.V.Skyrim.Legendary.Edition.RUS-QT\Crack\English\steam_api.dll, , [a206dfca7b1ee74fdb9169ecc83ac13f], 
Trojan.VirTool, D:\Users\kefir\Downloads\The.Elder.Scrolls.V.Skyrim.Legendary.Edition.RUS-QT\Crack\Russian\steam_api.dll, , [0c9c7930b0e977bf77f5b69ff80aaa56], 
Trojan.Agent.Drop, D:\Windows\System32\hidcon.exe, , [b6f206a3adece74f1c720d7a8d7553ad], 
PUP.Optional.InstallCore, D:\[R.G. Mechanics] Civilization 5 GOTY\setup.exe, , [a0081a8fc1d8b48247dc7fee99682bd5], 
RiskWare.Tool.CK, D:\Nero Vision\keymaker.exe, , [adfbcadfd1c80b2be9448bac50b5e51b], 
PUP.Optional.OpenCandy, C:\Users\kefir\Downloads\CheatEngine65.exe, , [baee9514f1a81125767a76749f621ce4], 
Backdoor.Bot, C:\Users\kefir\Downloads\totalovertrn7.zip, , [7335bfea1287c076c36a38436a96a957], 
PUP.Optional.BundleInstaller, C:\Users\kefir\Downloads\Faasoft_Audio_Converter_5.2.23.5604_Multilingual_Keygen_10._downloader.exe, , [c7e18a1f15841620dcd718c84eb35ea2], 
HackTool.CheatEngine, C:\Users\kefir\Downloads\sid_civilization_5_brave_new_world_v_1.0.3.279_trainer_8_mrantifun (1).zip, , [b0f805a4f9a0d85e97001a0e4cb47e82], 
HackTool.CheatEngine, C:\Users\kefir\Downloads\sid_civilization_5_brave_new_world_v_1.0.3.279_trainer_8_mrantifun.zip, , [92162e7be7b2989e6f288f9919e79e62], 
HackTool.CheatEngine, C:\Users\kefir\Downloads\ftl_faster_than_light_v1.5.13_trainer_17_mrantifun.zip, , [93155c4d5544979f692e9e8a35cb7f81], 
PUP.Optional.MediaGet, C:\Users\kefir\Downloads\MediaGet_id1122476ids1s.exe, , [e4c4c0e91f7af73f737979bf33cd58a8], 
PUP.Optional.Babylon, C:\Users\kefir\Downloads\Unlocker1-9-2.exe, , [387016932e6b66d00eb5d6706e9320e0], 
Trojan.Agent.Generic, C:\Users\kefir\Downloads\Celemony.Melodyne.Studio.Edition.v3.2.2.2.Incl.Keygen-AiR\AiR\Keygen.exe, , [8028ccdd6237df57c0ea2053e918837d], 
RiskWare.Tool.HCK, C:\Users\kefir\Downloads\iZotope_RX_Advanced_2.10.656_x86.x64\Crack_2_keygen\iZotope RX Advanced keygen\Izotope.RX2.v2.10.656-kg.exe, , [fbad3277772281b50e999196976af50b], 
Trojan.MalPack.Krunchy, C:\Users\kefir\Downloads\AFPM7\CA_AllFusion_Process_Modeller_v7.2_by_EDGE\CA.AllFusion.Process.Modeller.v7.2-EDGE\EDGE\keygen.exe, , [396f2f7a16831125e6d77ef7a95835cb], 
CrackTool.Agent, C:\Users\kefir\Downloads\LennarDigital.Sylenth1.v2.21.x86.x64\keygen.exe, , [6c3c57522079f244e05d3840b44da060], 

[Nikita Zybinov]

Удалил, 71 из 100 найденных малварей.

 

Проблема осталась.

done_Log Malwarebytes.txt