Возобновляются вирусы UDS:DangerousObject.Multi.Generic

[DL236]

Я создал тему по старому адресу:

https://forum.kaspersky.com/index.php?showtopic=366882&st=0&gopid=2680419&&do=findComment&comment=2680419

 

Описание и логи - по ссылке. Впрочем, повторю здесь.

 

Самопроизвольно возникают угрозы - последние случаи:
09.03.2017 05.25.34 Detected object (file) no longer available C:\Windows\Temp\gE984.tmp File: C:\Windows\Temp\gE984.tmp Object name: UDS:DangerousObject.Multi.Generic Object type: Unknown object Time: 3/9/2017 5:25 AM
09.03.2017 05.21.51 Detected object (file) deleted C:\Windows\Temp\gD6CC.tmp File: C:\Windows\Temp\gD6CC.tmp Object name: UDS:DangerousObject.Multi.Generic Object type: Unknown object Time: 3/9/2017 5:21 AM
09.03.2017 05.21.45 Detected object (process memory) deleted c:\programdata\71f6093o9480q743\71f6093o9480q743.dll Process memory: c:\programdata\71f6093o9480q743\71f6093o9480q743.dll Object name: PDM:Trojan.Win32.Bazon.a Object type: Other malware Time: 3/9/2017 5:21 AM
09.03.2017 05.19.44 Detected object (process memory) deleted c:\windows\temp\zwhxyjwtstzgxpmy.exe Process memory: c:\windows\temp\zwhxyjwtstzgxpmy.exe Object name: not-a-virus:PDM:WebToolbar.Win32.Cossder.b Object type: Other malware Time: 3/9/2017 5:19 AM
09.03.2017 05.19.44 Detected object (process memory) deleted c:\users\user\appdata\local\20a67273\20a67273.exe Process memory: c:\users\user\appdata\local\20a67273\20a67273.exe Object name: Object type: Unknown object Time: 3/9/2017 5:19 AM
08.03.2017 21.34.31 Detected object (file) deleted C:\Windows\Temp\gB153.tmp.exe File: C:\Windows\Temp\gB153.tmp.exe Object name: Trojan.Win64.Wdfload.k Object type: Trojan program Time: 3/8/2017 9:34 PM
08.03.2017 21.34.25 Detected object (file) deleted C:\Windows\Temp\gB152.tmp.exe File: C:\Windows\Temp\gB152.tmp.exe Object name: Trojan.Win32.Wdfload.w Object type: Trojan program Time: 3/8/2017 9:34 PM
06.03.2017 20.42.35 Detected object (file) deleted C:\Windows\Temp\gFB83.tmp.exe File: C:\Windows\Temp\gFB83.tmp.exe Object name: UDS:DangerousObject.Multi.Generic Object type: Unknown object Time: 3/6/2017 8:42 PM
06.03.2017 20.35.46 Detected object (system memory) disinfected System Memory System memory: System Memory Object name: Trojan.Multi.GenAutorunReg.a Object type: Trojan program Time: 3/6/2017 8:35 PM

 

CollectionLog-2017.03.09-10.09.zip

KL_syscure.zip

[Sandor]

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

gastproffite

lhbgjcefbmeleippkbniooifieglpccl

VK OK AdBlock

Служба автоматического обновления программ

Затем:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[DL236]

Сделано. Кнопку "Очистить" в AdwCleaner я не нажимал.

AdwCleanerS0.txt

[Sandor]

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
  • Политики IE
  • Политики Chrome

    и нажмите Ok.

• Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[DL236]

Сделано.

 

AdwCleanerC0.txt

FRST.txt

Addition.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKU\S-1-5-21-1397160997-2734256293-1700882586-1001\...\Run: [lhbgjcefbmeleippkbniooifieglpccl] => "C:\Users\User\AppData\Roaming\lhbgjcefbmeleippkbniooifieglpccl\python\pythonw.exe" "C:\Users\User\AppData\Roaming\lhbgjcefbmeleippkbniooifieglpccl\ml.py" --APPNAME="lhbgjcefbmeleippkbniooifieglpccl"
HKU\S-1-5-21-1397160997-2734256293-1700882586-1001\...\Run: [gastproffite] => "C:\Users\User\AppData\Roaming\gastproffite\python\pythonw.exe" "C:\Users\User\AppData\Roaming\gastproffite\ml.py" --APPNAME="gastproffite"
BHO: VK OK AdBlock -> {FF20459C-DA6E-41A7-80BC-8F4FEFD9C575} -> C:\Program Files (x86)\VK OK AdBlockIE\2TnKawMp.dll [2017-03-09] ()
2017-03-01 23:15 - 2017-03-01 23:24 - 00000000 ____D C:\Users\Все пользователи\ProductData
2017-03-01 23:15 - 2017-03-01 23:24 - 00000000 ____D C:\ProgramData\ProductData
2017-03-01 23:15 - 2017-03-01 23:19 - 00000000 ____D C:\Users\User\AppData\LocalLow\IObit
2017-03-01 23:15 - 2017-03-01 23:18 - 00002882 _____ C:\windows\System32\Tasks\Driver Booster SkipUAC (User)
2017-03-01 23:15 - 2017-03-01 23:15 - 00003398 _____ C:\windows\System32\Tasks\gastproffite2
2017-03-01 23:15 - 2017-03-01 23:15 - 00000000 ____D C:\windows\IObit
2017-03-01 23:15 - 2017-03-01 23:15 - 00000000 ____D C:\Users\Все пользователи\IObit
2017-03-01 23:15 - 2017-03-01 23:15 - 00000000 ____D C:\ProgramData\IObit
2017-03-01 23:14 - 2017-03-09 05:20 - 00000000 ___HD C:\Users\Все пользователи\71f6093o9480Q743
2017-03-01 23:14 - 2017-03-09 05:20 - 00000000 ___HD C:\ProgramData\71f6093o9480Q743
2017-03-01 23:14 - 2017-03-01 23:14 - 00027552 _____ (REALiX(tm)) C:\windows\SysWOW64\Drivers\HWiNFO64A.SYS
2017-03-01 23:14 - 2017-03-01 23:14 - 00003432 _____ C:\windows\System32\Tasks\gastproffite
2017-03-01 23:13 - 2017-03-01 23:13 - 00003592 _____ C:\windows\System32\Tasks\lhbgjcefbmeleippkbniooifieglpccl
Task: {120BB2C5-F3A9-4D0E-985B-5170C26C1305} - \is-017mb -> No File <==== ATTENTION
Task: {1BE5BB07-2A04-4BE0-923B-5F0B601DF445} - \power2go8\clmlsvc_p2g8 -> No File <==== ATTENTION
Task: {24E21AE1-0A9E-4B4F-8437-964F59D28A52} - \youcam\youcamtray -> No File <==== ATTENTION
Task: {36713216-5770-47C8-99F4-95309187640C} - \03c63664-fecc-11e6-b6bd-7429af19babc\test_wpf -> No File <==== ATTENTION
Task: {3D34F999-3AC3-499B-B8D2-66C9EBF9D276} - \8e6e4bf9-fece-11e6-97f7-7429af19babc\test_wpf -> No File <==== ATTENTION
Task: {3E784D35-9821-4EC3-828E-2D9953844DB0} - System32\Tasks\gastproffite2 => C:\Users\User\AppData\Roaming\gastproffite\python\pythonw.exe 
Task: {41E443C3-E706-4C26-AED7-4A53ECEE04F1} - System32\Tasks\lhbgjcefbmeleippkbniooifieglpccl => C:\Users\User\AppData\Roaming\lhbgjcefbmeleippkbniooifieglpccl\python\pythonw.exe 
Task: {479B801B-CFBF-4449-8249-D5E69E65023E} - \is-bu2qs-tmp\promote -> No File <==== ATTENTION
Task: {47AA0004-BC05-4890-AECF-ADDEEB6F048D} - \power2go8\virtualdrive -> No File <==== ATTENTION
Task: {5706CA9F-AD56-49D9-90AB-83F62A657C94} - \is-017mb-tmp\setuphlp -> No File <==== ATTENTION
Task: {61DDA52A-4869-4AF9-9E48-4D37FFF67C02} - \yb_778bd-tmp\setup -> No File <==== ATTENTION
Task: {95EDC8D0-E5EF-4B50-973A-C62C49D98F0A} - \cr_d2abb-tmp\setup -> No File <==== ATTENTION
Task: {9F1B3143-AFAF-43E3-A873-D76157FDC176} - \yb_778bd -> No File <==== ATTENTION
Task: {B6D4825C-A1EA-40AC-8B11-A90AAE45A0DF} - System32\Tasks\gastproffite => C:\Users\User\AppData\Roaming\gastproffite\python\pythonw.exe 
Task: {B79EDE60-7F90-417D-B497-F007F5E4E715} - \71f6093o9480Q743-dll -> No File <==== ATTENTION
Task: {BDC79C01-4D92-488C-B01D-E3561129A0B4} - \3cced0a1-0169-11e7-8a87-7429af19babc -> No File <==== ATTENTION
Task: {CB8E737A-1E45-4D8A-BC65-C5337F4856E4} - \gum5e75-tmp\googleupdate -> No File <==== ATTENTION
Task: {CD9A82CE-487A-4951-AB44-06004E0DE6D3} - \syntpenh -> No File <==== ATTENTION
Task: {CEB82D65-731C-4A31-B24C-A0ED53F948A6} - \71f6093o9480Q743 -> No File <==== ATTENTION
Task: {CF74B90D-43C6-4EE5-8DF5-632F17BC362E} - \is-bu2qs-tmp\promote-exe -> No File <==== ATTENTION
Task: {D69DB515-2FE2-49C8-9F20-A1E88EEDE476} - System32\Tasks\Driver Booster SkipUAC (User) => C:\Program Files (x86)\IObit\Driver Booster\4.2.0\DriverBooster.exe 
Task: {DA898003-9429-45AC-928F-B80A4205A61E} - \{5c817428-987c-46db-864b-49a5eb02bf33}\{6e19d92f-00cb-4a2b-b03c-7e3f1e9c1e41} -> No File <==== ATTENTION
Task: {DA96E988-F6A2-4448-8C98-78EE26A85E45} - \syntphelper-exe -> No File <==== ATTENTION
Task: {F6703059-C28F-46D5-A640-1307DFF01EAB} - \is-017mb-tmp\setuphlp-exe -> No File <==== ATTENTION
Task: {F6C0417C-B0EF-46DD-9FB0-AD7EB0CC4B32} - \cr_d2abb -> No File <==== ATTENTION
Task: C:\windows\Tasks\71f6093o9480Q743.job => rundll32.exe 
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[DL236]

Сделано.

Fixlog.txt

Изменено 9 марта, 2017 пользователем DL236

[Sandor]

Что сейчас с проблемой?

[DL236]

Ну пока никаких тревожных признаков. Раньше они тоже появлялись не сразу, а неожиданно через денек, когда компьютер постоит на sleep.

Один подозрительный признак - связь по Wi-Fi почему-то постоянно нарушается и пропадает, потом через минуту или две сама восстанавливается. Раньше тоже такое было. С другими компьютерами с тем же Wi-Fi такого не происходит.

[Sandor]

Понаблюдайте. Темы без нарушений не закрываются.

Пока проделайте завершающие шаги:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню File (Файл) - выберите Uninstall (Деинсталлировать).
• Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[DL236]

Сделано.

 

SecurityCheck.txt

[Sandor]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя включен

Автоматическое обновление отключено

Дата установки обновлений: 2015-05-18 12:13:03

--------------------------------- [ IM ] ----------------------------------

Skype™ 7.18 v.7.18.111 Внимание! Скачать обновления

^Необязательное обновление.^

--------------------------- [ AppleProduction ] ---------------------------

Bonjour v.3.0.0.10 Внимание! Скачать обновления

^Для проверки новой версии используйте приложение Apple Software Update^

---------------------------- [ UnwantedApps ] -----------------------------

opensource v.1.0.14960.3876 << Скрыта Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

 

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

[DL236]

Что такое "opensource v.1.0.14960.3876"? Я ее не вижу. Что следует сделать?

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
opensource (x32 Version: 1.0.14960.3876 - Your Company Name) Hidden
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Я ее не вижу

Должна появиться в перечне установленных.

[DL236]

Появилась, да.

 

Fixlog.txt