Устранение последствий заражения (постоянно появляется запись в реестре от программы Bonjour)

[riaman 0]

Здравствуйте!

 

Предыстория (заражение и борьба с ним).

 

Недели две-три назад при установке программы "снифера" поймал какой-то вирус. Он быстренько установил мне на компьютер несколько ненужных программ, создал кучу ярлыков в "пуске" и на рабочем столе, встроил в браузеры поисковики от мэйл.ру и т.п.

 

После этого я завершил подозрительные для меня процессы в диспетчере задач, удалил все незнакомые мне программы из панели управления, удалил расширения из браузера. После проверил компьютер утилитой DrWeb Cureit, она нашла и удалила несколько вирусов. После этого компьютер пришёл в более или менее стабильное состояние.

 

Но недавно я обнаружил в диспетчере задач подозрительные процессы с именами типа "wrwgf-dfg65-dfgdf.exe". Я установил пробную версию антивируса касперского, но он не определил эти процессы как вирусы. Я в ручную перевёл их в запрещённые программы, потом нашёл их в автозапуске и удалил их из автозапуска и сами файлы программ. А до удаления их из автозапуска антивирус касперского в сетевом мониторинге фиксировал подобные программы (см. прикреплённое изображение "непонятная сетевая программа"). Так же там зафиксирована программа AutoBot - это программа написанная мною для личных целей (не вирус), проверял будет ли реагировать фаервол касперского на эту прогу (она взаимодействует с сетью через официальные dll из Qt и Awesomium) - при "дефолтных" настройках никаких предупреждений антивирус не выдал :-( .

 

Оставшиеся проблемы:

1) Появление записи в реестре от программы Bonjour (HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Apple Inc.\Bonjour) . Саму программу я удалил ещё несколько дней назад, а запись в реестре постоянно появляется после перезагрузки (см. прикреплённое изображение). То ли эту запись создаёт какое-либо из используемых мною приложений, то ли это вирус.

2) Нет уверенности в полном излечении от вируса. Посмотрите пожалуйста логи, не осталось ли чего подозрительного. (При формировании логов выдалось предупреждение на приложение TeamViewer, я его использую часто для удалённого доступа к домашнему компьютеру).

CollectionLog-2016.07.28-12.04.zip

Изменено 28 июля, 2016 пользователем riaman

[Sandor 874]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\programdata\krb updater utility', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files (x86)\kinoroom browser', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\programdata\microsoft\macromed\flash player\056f1f96-0ace-416c-b677-3405abbf3b51', '*', true, '', 0 ,0);
 QuarantineFile('C:\Users\user\AppData\Local\Microsoft\950810A3576EE9C68F242B59C2DDBB3F\088F580BDE38DC95D06958D5328A73CB.exe', '');
 QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '');
 QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Macromed\Flash Player\056F1F96-0ACE-416C-B677-3405ABBF3B51\BB79BA38-5CDF-4CC5-811E-BBAE7909536F.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\8A73CB235D85960D59CD83EDB0088F58" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\8A73CB235D85960D59CD83EDB0088F58SB" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRB Updater Utility Service" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRBLNKRUN" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\8A73CB235D85960D59CD83EDB0088F58" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\8A73CB235D85960D59CD83EDB0088F58SB" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\A056F1F96-0ACE-416C-B677-3405ABBF3B51" /F', 0, 15000, true);
 DeleteFile('C:\Users\user\AppData\Local\Microsoft\950810A3576EE9C68F242B59C2DDBB3F\088F580BDE38DC95D06958D5328A73CB.exe', '32');
 DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '32');
 DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '32');
 DeleteFile('C:\ProgramData\Microsoft\Macromed\Flash Player\056F1F96-0ACE-416C-B677-3405ABBF3B51\BB79BA38-5CDF-4CC5-811E-BBAE7909536F.exe', '32');
 DeleteFileMask('c:\programdata\krb updater utility', '*', true);
 DeleteFileMask('c:\program files (x86)\kinoroom browser', '*', true);
 DeleteDirectory('c:\programdata\krb updater utility');
 DeleteDirectory('c:\program files (x86)\kinoroom browser');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[riaman 0]

Спасибо за оперативный ответ! Приду вечером домой, выполню указанные действия!

[riaman 0]

Добрый вечер! Вроде всё выполнил. Вот ответ на письмо. А автолог во вложении.

 

KLAN-4757847540

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

quarantine.zip

Вредоносный код в файле не обнаружен.

С уважением, Лаборатория Касперского

CollectionLog-2016.07.28-20.00.zip

[Sandor 874]

• Скачайте AdwCleaner (by ToolsLib) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[riaman 0]

Вот отчёт с AdwCleaner

 

Ещё нашёл у себя на компе приложение Lenovo.TVT.CustomerFeedback.Agent.exe. Может оно создаёт запись в реестре для Bonjour. Я бы и это приложение от линова удалил... Но его нет в установленных программах, а каспер показывает его в сетевых приложениях. Пока просто поместил это приложение в недоверенные и всё ему запретил.

AdwCleanerS1.txt

[Sandor 874]

1.

• Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Настройки и отметьте дополнительно:
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[riaman 0]

Добрый вечер! Всё сделал. Отчёты во вложениях.

AdwCleanerC1.txt

Addition.txt

FRST.txt

Shortcut.txt

[Roman_Five 590]

эти расширения для Opera вам известны?

Smart Browser™
UpStrong

[riaman 0]

Нет не известны, я оперу не использую. Вроде и не устанавливал даже.

[Roman_Five 590]

тогда удалим.

программу NOX ставили? нужна она?

[riaman 0]

Да, ставил - это эмулятор андроида.

[Roman_Five 590]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:

OPR Extension: (Smart Browser™) - C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihmgiclibbndffejedjimfjmfoabpcke [2016-07-12]
OPR Extension: (UpStrong) - C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Extensions\mfgdmpfihlmdekaclngibpjhdebndhdj [2016-07-23]
CHR HKLM-x32\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi
CHR HKLM\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi
CHR HKU\S-1-5-21-1238592337-1437254908-421240383-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

[riaman 0]

Вот Fixlog

Fixlog.txt

[Sandor 874]

Что с проблемой?