Трояны и прочее

[stillwill]

Здравствуйте!

 

Проблема идентичная описанной в 11 посте этой темы, источник заражения тот же. Разница только в том, что КИС все-таки отреагировал на установку всей этой гадости, но что-то все-таки поставилось. Проверку Dr.Web CureIt и KVRT провел, нашлось то же самое, что указано в вышеупомянутой теме. Логи AutoLogger прикрепляю.

 

Пожалуйста, помогите очистить систему, если что-то осталось!

 

Заранее спасибо!

CollectionLog-2016.06.13-12.18.zip

[mike 1]

 

Kaspersky Internet Security 2012 []-->MsiExec.exe /I{45E557D6-2271-4F13-8101-C620B4285AB0}

Ну рассказывайте, как так получилось, что Вы пользуйтесь антивирусом, который уже снят с поддержки?

[stillwill]

 

 

Kaspersky Internet Security 2012 []-->MsiExec.exe /I{45E557D6-2271-4F13-8101-C620B4285AB0}

Ну рассказывайте, как так получилось, что Вы пользуйтесь антивирусом, который уже снят с поддержки?

 

Да все не досуг было обновиться, к сожалению. Да и машина старенькая, не уверен был, что комфортно будет с новыми версиями. Обновлюсь обязательно, только бы убедиться, что все чисто. Вы, кстати, все-таки расскажете, как это сделать?

[mike 1]

Новым версиям антивируса требуется меньше ресурсов компьютера. Так что обновляйте это безобразие.

 

 

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[stillwill]

Сделал.

 

По поводу обновления КИС вопрос. Переходом с главной страницы Касперского попадаешь на загрузку версии 16.0.0.614, а из этой темы на загрузку версии 16.0.1.445 - 2016 MR1 (правда там ссылки для пользователей Российской федерации не открываются). Какую версию ставить?

FRST.txt

Addition.txt

[Roman_Five]

ставьте 16.0.1.445 - 2016 MR1
 

что в этих 2-х архивах?

2016-06-01 09:43 - 2016-06-01 09:45 - 147692539 _____ C:\Documents and Settings\sol\Application Data\Mozilla.rar
2016-06-01 09:25 - 2016-06-01 09:25 - 00042641 _____ C:\Program Files\smartdl.rar

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:

SearchScopes: HKLM -> DefaultScope value is missing
CHR Plugin: (Chrome PDF Viewer) - C:\Documents and Settings\sol\Local Settings\Application Data\Google\Chrome\Application\38.0.2125.101\pdf.dll => No File
CHR Plugin: (Shockwave Flash) - C:\Documents and Settings\sol\Local Settings\Application Data\Google\Chrome\Application\38.0.2125.101\gcswf32.dll => No File
CHR Plugin: (Shockwave Flash) - C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_2_202_235.dll => No File
CHR Plugin: (QuickTime Plug-in 7.7.1) - C:\Program Files\QuickTime\plugins\npqtplugin6.dll => No File
CHR Plugin: (QuickTime Plug-in 7.7.1) - C:\Program Files\QuickTime\plugins\npqtplugin7.dll => No File
CHR HKLM\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ehfjihahbphdpljpiadbkmgmhnfehhgi] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
S4 IntelIde; no ImagePath
S3 npkycryp; \??\D:\games\l2alpha\system\npkycryp.sys [X]
U1 WS2IFSL; no ImagePath
2016-06-01 18:41 - 2016-06-01 18:41 - 00000000 ____D C:\Program Files\uvnc bvba
2016-06-01 18:41 - 2016-06-01 18:41 - 00000000 ____D C:\Documents and Settings\All Users\Главное меню\Программы\UltraVNC
2016-06-01 18:35 - 2016-06-01 18:35 - 00002143 _____ C:\Documents and Settings\sol\Главное меню\Программы\Интернет.lnk
2016-06-01 18:35 - 2016-06-01 18:35 - 00002137 _____ C:\Documents and Settings\sol\Рабочий стол\Интернет.lnk
2016-06-01 18:35 - 2016-06-01 18:35 - 00002120 _____ C:\Documents and Settings\sol\Главное меню\Программы\Одноклассники.lnk
2016-06-01 18:35 - 2016-06-01 18:35 - 00002120 _____ C:\Documents and Settings\sol\Главное меню\Программы\Вконтакте.lnk
2016-06-01 18:35 - 2016-06-01 18:35 - 00002114 _____ C:\Documents and Settings\sol\Рабочий стол\Одноклассники.lnk
2016-06-01 18:35 - 2016-06-01 18:35 - 00002114 _____ C:\Documents and Settings\sol\Рабочий стол\Вконтакте.lnk
2016-06-01 18:35 - 2016-06-01 18:35 - 00000000 ____D C:\Documents and Settings\sol\Local Settings\Application Data\Unity
2016-06-01 18:35 - 2016-06-01 18:35 - 00000000 ____D C:\Documents and Settings\sol\Local Settings\Application Data\Amigo
 

Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

[stillwill]

 

что в этих 2-х архивах?

2016-06-01 09:43 - 2016-06-01 09:45 - 147692539 _____ C:\Documents and Settings\sol\Application Data\Mozilla.rar
2016-06-01 09:25 - 2016-06-01 09:25 - 00042641 _____ C:\Program Files\smartdl.rar

 

Mozilla.rar - папка с профилем firefox, ну и всем остальным, что находится по указанному пути в одноименной папке. Нужно было профиль сохранить, т.к. вся эта эпопея началась с того, что не мог в firefox обновить персональные сертификаты.

 

smartdl.rar - архив с неким gunzip.exe, происхождение которого не знаю, т.к. не устанавливал. Хотел отправить на проверку. Если не трудно - подскажите, как это сделать.

 

Можно пару моментов уточнить? Что означают эти три строки:

S4 IntelIde; no ImagePath

S3 npkycryp; \?\D:\games\l2alpha\system\npkycryp.sys [X]

U1 WS2IFSL; no ImagePath

И uvnc чем-то опасен?

 

Спасибо!

Fixlog.txt

[Roman_Five]

 

 

smartdl.rar - архив с неким gunzip.exe, происхождение которого не знаю, т.к. не устанавливал. Хотел отправить на проверку. Если не трудно - подскажите, как это сделать.

virustotal.com
 

 

 

Что означают эти три строки:

хвосты от каких-то служб
 

 

 

И uvnc чем-то опасен?

его папка была создана тогда же, как у вас появились проблемы.
нужен - устанОвите заново с офсайта

[stillwill]

Здравствуйте!

 

Систему, как я понимаю, можно считать чистой?

 

Один момент неясный остался. После заражения вручную убирал из автозагрузки mailruupdater и zaxar.exe через msconfig и с того времени при включении пк или перезагрузке каждый раз запускается Настройка системы (msconfig.exe), хотя должна единожды после внесения изменений. В чем может быть проблема? Кстати, строка с zaxar.exe в автозагрузке и MailRu Update Service в службах так и остались (галочки на них не стоят).

 

 

ставьте 16.0.1.445 - 2016 MR1

 

Хорошо!

У автора этой темы КИС обновлен до 16.0.0.614(g) - обновить до 16.0.1.445 или оставить как есть?

 

Спасибо за Вашу помощь!