Краш Мозиллы, переход по подозрительной ссылке

[Николай Маслов]

Добрый день.

 Началось всё с симптомов, крайне похожих на эту тему:

 https://forum.kasperskyclub.ru/index.php?showtopic=50673

 К сожалению, я нашёл ваш форум позже, чем предпринял свои действия.

 Я отключил интернет, вычистил компьютер с помощью Dr.Web (новейшая версия - через флешку), оставшиеся сорные программы - с помощью Revo Uninstaller ( с поиском и удалением информации из реестров и оставшимися файлами).

 Часть программ, которые не содержатся в списке Revo, вручную удалял поиском по названию с помощью Unlocker.

 

 Симптомы на данный момент: компьютер успокоился, подозрительной активности не проявляет, кроме того, что после загрузки,  периодически предлагает перейти на подозрительный сайт (с вопросом "как вы хотите открывать файлы типа http").

 Mozilla Firefox крашится при запуске. Полная переустановка не помогла.

 Заранее признателен за ответ.

CollectionLog-2016.12.01-16.57.zip

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

DriverUpdaterPro

YAC(Yet Another Cleaner!)

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('C:\ProgramData\WindowsMsg\Chrome.exe');
 TerminateProcessByName('C:\Users\Наталия\AppData\Local\Temp\FOFQ5PI56Y\caster.exe');
 TerminateProcessByName('c:\program files (x86)\09d82428-1480585343-8b4a-98b6-382c4a55f231\knsda438.tmpfs');
 TerminateProcessByName('c:\programdata\service.exe');
 StopService('locyjozo');
 QuarantineFile('C:\Program Files (x86)\09D82428-1480585343-8B4A-98B6-382C4A55F231\local64spl.dll','');
 QuarantineFile('C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe','');
 QuarantineFile('C:\ProgramData\WindowsMsg\Chrome.exe','');
 QuarantineFileF('c:\users\наталия\appdata\local\hostinstaller', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Users\Наталия\AppData\Local\Temp\FOFQ5PI56Y\caster.exe', '');
 QuarantineFile('c:\program files (x86)\09d82428-1480585343-8b4a-98b6-382c4a55f231\knsda438.tmpfs', '');
 QuarantineFile('c:\programdata\service.exe', '');
 QuarantineFile('C:\Users\59D5~1\AppData\Local\Temp\9jQlUAJoxc_1\GaSczeEgc.DLL', '');
 QuarantineFile('C:\Users\59D5~1\AppData\Local\Temp\9jQlUAJoxc_1\GmvhHb.DLL', '');
 QuarantineFile('C:\Users\Наталия\AppData\Local\Hostinstaller\3337517763_monster.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "bku7620680572474248" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "bku9656160666253972" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
 DeleteFile('C:\ProgramData\WindowsMsg\Chrome.exe','32');
 DeleteFile('C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe','32');
 DeleteFile('C:\Program Files (x86)\09D82428-1480585343-8B4A-98B6-382C4A55F231\local64spl.dll','32');
 DeleteFile('C:\Windows\Tasks\bku7620680572474248.job', '64');
 DeleteFile('C:\Windows\Tasks\bku9656160666253972.job', '64');
 DeleteFile('C:\Users\Наталия\AppData\Local\Temp\FOFQ5PI56Y\caster.exe', '32');
 DeleteFile('c:\program files (x86)\09d82428-1480585343-8b4a-98b6-382c4a55f231\knsda438.tmpfs', '32');
 DeleteFile('c:\programdata\service.exe', '32');
 DeleteFile('C:\Users\59D5~1\AppData\Local\Temp\9jQlUAJoxc_1\GaSczeEgc.DLL', '32');
 DeleteFile('C:\Users\59D5~1\AppData\Local\Temp\9jQlUAJoxc_1\GmvhHb.DLL', '32');
 DeleteFile('C:\Users\Наталия\AppData\Local\Hostinstaller\3337517763_monster.exe', '32');
 DeleteService('GoogleChromeUpService');
 DeleteService('locyjozo');
 DeleteFileMask('c:\users\наталия\appdata\local\hostinstaller', '*', true);
 DeleteDirectory('c:\users\наталия\appdata\local\hostinstaller');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','svchost0');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','osmsg');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','OK989RGOU7');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\GoogleChromeUpService','EventMessageFile');
 RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\ucdrv', 'Start', 2);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.ru/cnt/10445?gp=811021
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://unstopp.me/wpad.dat?1468712cf3d6cfdf4ed5eee114ca00052916838
R1 - HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies,(Default) = 0http://unstopp.me/wpad.dat?1468712cf3d6cfdf4ed5eee114ca00052916838

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[Николай Маслов]

  Благодарю за помощь в моём деле.

 1) DriverUpdaterPro нет в списке программ этого компьютера (по указанному адресу)

 2) Файл с карантином, как вы и просили, отправил на адрес. Судя по размеру (22 байта), он пустой. Поэтому выполнил скорее для формальности.

 Ответ:

 Спасибо, что отправили файл на исследование в Антивирусную Лабораторию.

[KLAN-5450052164]

Антивирус Касперского проверил файлы.

Данные файлы имеют безопасный формат:
quarantine.zip

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Это сообщение сформировано автоматической системой приёма писем. Пожалуйста не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700 
http://www.kaspersky.com http://www.viruslist.com"

 3)  всё остальное получилось. Прикрепляю файл с логами.

CollectionLog-2016.12.05-01.42.zip

[Sandor]

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Николай Маслов]

 Добрый день, выполнил, вот отчёт.

 Чистку угроз не проводил, так как в Вашей инструкции на этот счёт ничего сказано не было.

AdwCleanerS0.txt

[Sandor]

Все правильно, продолжайте строго по инструкции 

 

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
  • Прокси
  • Политики IE
  • Политики Chrome

    и нажмите Ok.

• Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
• Прикрепите отчет к своему следующему сообщению
• Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

   

  Подробнее читайте в этом руководстве.

   

   

  2. Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

   

  Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

  Отметьте галочкой также "Shortcut.txt".

   

  Нажмите кнопку Scan.

  После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

  Подробнее читайте в этом руководстве.

Изменено 6 декабря, 2016 пользователем Sandor

[Николай Маслов]

 Кажется, не могу выполнить первый пункт - программа висит без всяких действий. Ждал реакции в течение 40 минут. 

 Зависание происходит при попытке очистить.

Изменено 6 декабря, 2016 пользователем Николай Маслов

[Sandor]

п.1 выполните в безопасном режиме. Остальное - в обычном.

[Николай Маслов]

 Спасибо, сработало!

 п.1: в точности файлов с этим названием не нашлось, прикладываю 2 файла из указанной Вами папки, которые создались после выполнения операции (сужу по дате создания)

 п.2 прошёл без проблем.

 

Shortcut.txt

Addition.txt

AdwCleanerC0.txt

AdwCleanerS4.txt

FRST.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
Toolbar: HKU\S-1-5-21-2507050203-4193789757-168215918-1002 -> No Name - {4BAAC1B8-0800-42C9-8FA6-08B211F356B8} -  No File
2016-12-01 13:36 - 2016-12-02 16:03 - 00000000 ____D C:\Users\Наталия\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器
2016-12-01 13:36 - 2016-12-01 13:38 - 00001542 _____ C:\Users\Наталия\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk
2016-12-01 12:50 - 2016-12-02 16:03 - 00000000 ____D C:\Users\Наталия\AppData\Local\UCBrowser
2016-12-01 12:49 - 2016-12-02 17:59 - 00000000 __SHD C:\Users\Наталия\AppData\Local\svchost
2016-12-01 12:48 - 2016-12-01 12:48 - 00000000 ____D C:\Users\Наталия\AppData\Roaming\ProductData
2016-12-01 12:47 - 2016-12-01 12:47 - 00002396 _____ C:\Windows\System32\Tasks\Uninstaller_SkipUac_Наталия
2016-12-01 12:47 - 2016-12-01 12:47 - 00000292 _____ C:\Windows\Tasks\Uninstaller_SkipUac_Наталия.job
2016-12-01 12:47 - 2016-12-01 12:47 - 00000000 ____D C:\Users\Наталия\AppData\Roaming\Apple Computer
2016-12-01 12:46 - 2016-12-01 12:46 - 00006006 _____ C:\Windows\System32\Tasks\Sapedomckawige Builder
2016-12-01 12:46 - 2016-12-01 12:46 - 00002360 _____ C:\Windows\System32\Tasks\ASC8_SkipUac_Наталия
2016-12-01 12:46 - 2016-12-01 12:46 - 00000256 _____ C:\Windows\Tasks\ASC8_SkipUac_Наталия.job
2016-12-01 12:46 - 2016-12-01 12:46 - 00000000 ____D C:\Windows\Tasks\ImCleanDisabled
2016-12-01 12:46 - 2016-12-01 12:46 - 00000000 ____D C:\Users\Наталия\AppData\LocalLow\IObit
2016-12-01 12:45 - 2016-12-02 16:02 - 00000000 ____D C:\Users\Наталия\AppData\Local\F727A298-4DB4-456A-AC54-A93EA5F8554D
2016-12-01 12:45 - 2016-12-01 12:45 - 00003542 _____ C:\Windows\System32\Tasks\072a6b00b8e4cd36d8aa60e696a8f6c6
2016-12-01 12:45 - 2016-12-01 12:45 - 00003180 _____ C:\Windows\System32\Tasks\ASC8_PerformanceMonitor
2016-12-01 12:45 - 2016-12-01 12:45 - 00000000 ____D C:\Users\Public\Thunder Network
2016-12-01 12:45 - 2016-12-01 12:45 - 00000000 ____D C:\ProgramData\ProductData
2016-12-01 12:45 - 2016-12-01 12:45 - 00000000 ____D C:\ProgramData\Avira
2016-12-01 12:45 - 2016-12-01 12:45 - 00000000 ____D C:\ProgramData\Avg
2016-12-01 12:45 - 2016-12-01 12:45 - 00000000 ____D C:\ProgramData\AVAST Software
2016-12-01 12:44 - 2016-12-01 15:17 - 00000000 ____D C:\Users\Наталия\AppData\Roaming\Zervughtotus
2016-12-01 12:44 - 2016-12-01 12:46 - 00000000 ____D C:\ProgramData\IObit
2016-12-01 12:40 - 2016-12-01 14:50 - 00000000 ____D C:\Program Files (x86)\IObit
2016-12-01 12:40 - 2016-12-01 14:45 - 00000000 ____D C:\Users\Наталия\AppData\LocalLow\Unity
2016-12-01 12:40 - 2016-12-01 14:45 - 00000000 ____D C:\Users\Наталия\AppData\Local\Unity
2016-12-01 12:39 - 2016-12-01 12:47 - 00000000 ____D C:\Users\Наталия\AppData\Roaming\IObit
2016-12-01 12:39 - 2016-12-01 12:39 - 00002193 _____ C:\Users\Наталия\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Амиго.lnk
2016-12-01 12:37 - 2016-12-07 01:59 - 00000008 __RSH C:\Users\Наталия\ntuser.pol
2016-12-01 12:37 - 2016-12-05 23:31 - 00000000 ____D C:\ProgramData\vCore
2016-12-01 12:37 - 2016-12-01 14:44 - 00000000 ____D C:\Users\Наталия\AppData\Roaming\PBot
Task: {160F6100-EF68-40DB-B28B-C816DC5CB384} - System32\Tasks\Uninstaller_SkipUac_Наталия => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe
Task: {82D857B6-63C1-4602-BB83-46716BB5A38A} - System32\Tasks\072a6b00b8e4cd36d8aa60e696a8f6c6 => Rundll32.exe "C:\Program Files (x86)\Internet Explorer\55pewd.dll",e62dc6c6547f46bda862da2d05af6862 <==== ATTENTION
Task: {B66D2B19-4452-4B59-AD8F-4272B2D72728} - System32\Tasks\Microsoft\Windows\Media Center\VCore => C:\ProgramData\vCore\VCore.exe [2016-11-10] () <==== ATTENTION
Task: {B6A3B1D4-8145-4FBF-86C8-0A19C695575C} - System32\Tasks\ASC8_PerformanceMonitor => C:\Program Files (x86)\IObit\Advanced SystemCare 8\Monitor.exe
Task: {BB948FB8-25EC-467A-A054-0AD4FB0609EE} - System32\Tasks\ASC8_SkipUac_Наталия => C:\Program Files (x86)\IObit\Advanced SystemCare 8\ASC.exe
Task: {CFF54796-297B-4BF6-9C7A-9228A2F6B2BE} - System32\Tasks\{C764E06B-E86C-4100-BB44-E4F5D6B6D3D8} => c:\program files (x86)\ucbrowser\application\uclauncher.exe <==== ATTENTION
Task: {FB32FF57-801B-4D0B-B34B-8C8A80300B1F} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== ATTENTION
Task: C:\Windows\Tasks\ASC8_SkipUac_Наталия.job => C:\Program Files (x86)\IObit\Advanced SystemCare 8\ASC.exe
Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== ATTENTION
Task: C:\Windows\Tasks\Uninstaller_SkipUac_Наталия.job => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe
AlternateDataStreams: C:\Windows\system32\Drivers:ucdrv-x64.sys [80850]
AlternateDataStreams: C:\Windows\system32\Drivers:x64 [360536]
AlternateDataStreams: C:\Windows\system32\Drivers:x86 [1156450]
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

При сохранении выберите кодировку Юникод!

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Николай Маслов]

 Здравствуйте! Готово.

 Компьютер (после предпоследнего сообщения) научился грузить мозиллу без крашей. На данный момент основная проблема - https-сайты, не открывается ни один. Подозреваю, что вирус как-то влез в сертификаты.

Fixlog.txt

[Sandor]

То же и в другом браузере, например, в IE?

[Николай Маслов]

Эта страница открывается в Google Chrome и в Internet Explorer. FF единственный браузер, который выдаёт предупреждение о незащищенности.

 Разумеется, полный снос FF с импортом журнала, закладок и паролей делал, не помогло. Жертвовать всем журналом не хочется... Есть варианты? 

 Насколько я понял, это последняя проблема, которая осталась на этом компьютере. Никакой подозрительной активности более не проявляется. 

 Возможно, мне следует обратиться на тематический форум FF, но я практически уверен, что это след вируса. Та случайно скаченная гадость была именно с Firefox.

Изменено 9 декабря, 2016 пользователем Николай Маслов

[Sandor]

Соберите и прикрепите свежие логи с помощью Автологера и FRST.

[Николай Маслов]

 Прошу прощения за задержку.

 Симптомы, кстати, исчезли, на компьютере ничего не делал... 

Addition.txt

CollectionLog-2016.12.12-19.19.zip

FRST.txt