Вирусы после использования менеджеров загрузки.

[rustorkan]

Здравствуйте!

 

P.S. Блокировщик рекламы для YouTube использую.

MBAM.txt

CollectionLog-2017.07.06-01.41.zip

AdwCleanerS0.txt

Изменено 5 июля, 2017 пользователем rustorkan

[rustorkan]

https://virusinfo.info/virusdetector/report.php?md5=D031071FAC1C5B293592C634BB636442

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\1\AppData\Roaming\Microsoft\msi.exe','');
 QuarantineFile('C:\Program Files (x86)\YubeAlckU\2Nz5L7M.dll','');
 DeleteFile('C:\Program Files (x86)\YubeAlckU\2Nz5L7M.dll','32');
 DeleteFile('C:\Windows\system32\Tasks\2C6A44CB-AD42-4731-A544-3FBD3D83AB5B2','64');
 DeleteFile('C:\Users\1\AppData\Roaming\Microsoft\msi.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\MSI','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

[rustorkan]

KLAN-6500729417

 

 

C:\Users\1\AppData\Roaming\Microsoft\msi.exe

В карантин не добавился.

Ошибка карантина файла, попытка прямого чтения (C:\Users\1\AppData\Roaming\Microsoft\msi.exe)

Карантин с использованием прямого чтения - ошибка

 

P.S.

Его уже антивирус в карантин добавил.

 

P.P.S

Добавил вручную и отправил на повторное исследование.

KLAN-6500925457

CollectionLog-2017.07.08-21.08.zip

Изменено 8 июля, 2017 пользователем rustorkan

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[rustorkan]

...

FRST and Addition.rar

[thyrex]

YoutubeAdBlock удалите через Установку программ.

 

Расширения для браузеров, связанные с YouTube, тоже будут удалены. Как показывает практика, они тоже с подвохом могут быть.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2017-07-05 14:27 - 2017-07-05 22:53 - 00000000 ____D C:\Users\1\AppData\Local\wupdate
2017-07-05 14:26 - 2017-07-05 22:52 - 00000000 ____D C:\Users\1\AppData\Local\PowerMonitor
2017-07-05 14:25 - 2017-07-05 14:25 - 00000000 ____D C:\Users\1\AppData\Local\Поиcк в Интeрнете
2017-07-05 14:24 - 2017-07-05 14:24 - 00000000 ____D C:\Program Files (x86)\YubeAlckUn
2017-07-05 14:24 - 2017-07-05 14:24 - 00000000 ____D C:\Program Files (x86)\YubeAlckU
2017-07-05 14:24 - 2017-07-05 14:24 - 00000000 ____D C:\Program Files (x86)\YubeAlckIE
CHR Extension: (Adblocker for Youtube™) - C:\Users\ADMIN\AppData\Local\Google\Chrome\User Data\Default\Extensions\nhgokgcnplbfnkjpejjgafogeecgaini [2017-07-05]
CHR Extension: (Блокировщик Рекламы Для Ютуба™) - C:\Users\ADMIN\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\nhgokgcnplbfnkjpejjgafogeecgaini [2017-07-05]
CHR Extension: (Adblocker for Youtube™) - C:\Users\ADMIN\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\nhgokgcnplbfnkjpejjgafogeecgaini [2017-07-05]
CHR HKLM\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKLM-x32\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
Task: {5B04B6C1-90FE-4BD7-AA38-AF10487C12FA} - \MsSecurityEssentialss5qgnrvl.5ig -> No File <==== ATTENTION
Task: {5B7A0577-8EC9-409A-A188-64DE41B81E66} - \2C6A44CB-AD42-4731-A544-3FBD3D83AB5B2 -> No File <==== ATTENTION
Task: {ADF5D6E7-89EE-42D0-A9A3-EEB9D7262F2B} - \MsSecurityEssentials -> No File <==== ATTENTION
AlternateDataStreams: C:\Users\1:Heroes & Generals [38]
AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [152]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:07BF512B [152]
MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Zaxar Games Browser.lnk => C:\Windows\pss\Zaxar Games Browser.lnk.CommonStartup
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[rustorkan]

...

Fixlog.txt

[thyrex]

Что с проблемой?

[rustorkan]

Постоянно появляется программа msi.exe по адресу:

C:\Users\1\AppData\Roaming\Microsoft\msi.exe

Антивирус ее находит и удаляет, но она появляется снова через некоторое время.

 

P.S. Так я по поводу нее и обращался. Тогда буду наблюдать. 

 

P.P.S. Сейчас он ее почему-то не хочет удалять. 

...

MBAM2.txt

Изменено 10 июля, 2017 пользователем rustorkan

[thyrex]

И сейчас этот файл имеется в наличии?

[rustorkan]

Да. И KTS, и MBAM его находят, но не удаляют.

[thyrex]

В безопасном режиме пробовали удалять?

[rustorkan]

Из безопасного режима.

MBAM3.txt

[thyrex]

Скачайте ComboFix здесь и сохраните на Рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.

Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo@fix.exe