Невнятный вирус

[BoRRuS]

Поздравляю с наступившим новым годом.

 

 

20 декабря выскочило CMD окно, которое не сразу закрылось, компьютер висел (файл What.png). После этого начал замечать похожие аналогичные окна, периодически выскакивающие, сворачивающие полноэкранные приложения (игры), но почти мгновенно закрывающиеся.

Проверка на вирусы CureI'ом, AVZ и KVRT ничего не дали. 

Сейчас, при подготовке и проверке KVRT появился новый процесс, возможно, самого KVRT, но на всякий случай прикладываю скриншот newproc.jpg, и 2 скрипта, NewScript.7z (самостоятельно появившийся процесс-скрипт) и NewScript2.7z (непонятный скрипт из той же папки). Плюс прикладываю собранные логи.

Попытки "заморозить", или хотя бы рассмотреть другие выскакивающие окна ни к чему не привели.

 Надеюсь на помощь.

Update: второй раз после проверки "отключилась" кнопка "Пуск". При нажатии на неё ничего не происходит, как и попытки вызвать подменю правой кнопкой на активных окнах через панель.

NewScript.7z

NewScript2.7z

CollectionLog-2018.01.07-21.26.zip

Изменено 7 января, 2018 пользователем BoRRuS

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DelBHO('{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}');
 DelBHO('{cdcb9930-a7f0-4aa9-8004-94481380a3df}');
 QuarantineFile('C:\Users\BiG\AppData\Local\JgHcvRnroj.bat','');
 QuarantineFile('C:\Users\BiG\AppData\Local\xGouDVYK.bat','');
 DeleteFile('C:\Users\BiG\AppData\Local\xGouDVYK.bat','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\npObkqrKbJHJ','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\zbxoPkRmhkj','64');
 DeleteFile('C:\Users\BiG\AppData\Local\JgHcvRnroj.bat','32');
 DeleteFile('C:\Program Files (x86)\SupTab\SupTab.dll','32');
 DeleteFile('C:\Program Files (x86)\Deal Keeper\DealKeeperbho.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[BoRRuS]

Полученный номер : KLAN-7484252175 . 

Новые логи прикрепил.

CollectionLog-2018.01.07-23.17.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[BoRRuS]

Готово, прикрепляю.

FRSTlog.zip

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
CHR HKLM\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKLM-x32\...\Chrome\Extension: [ablpcikjmhamjanpibkccdmpoekjigja] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKLM-x32\...\Chrome\Extension: [gdljkkmghdkckhaogaemgbgdfophkfco] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hpcghcdjnehpkdecaflpedhklimnejia] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lhemechcanjmilllmccjbjldonmnnjjj] - hxxps://clients2.google.com/service/update2/crx
Task: {1B51F1A5-6607-45C0-9A23-F36D693CAC65} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {34C215B2-B61F-4950-BD29-5E40B117F6EF} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION
Task: {5457CAEC-98A5-49BF-A19C-79D4E6C328F6} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
Task: {71C80ADC-A93C-44FB-8961-27669688201C} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {AE1A5049-2460-4E3D-AEA3-2D9313100266} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {AE286032-B338-4B8F-B5EE-DB679422B214} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
Task: {B00ADB02-5EF0-4BE3-A31D-2FF730E24161} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {EA1C5F7B-6ECB-4BE2-A7C5-0A553170F408} - \npObkqrKbJHJ -> No File <==== ATTENTION
Task: {EBDB36F7-54DE-4315-B8F0-BDDFF27ED86D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {F8D5F470-C0C5-4A47-A06C-18D69B82547D} - \zbxoPkRmhkj -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:472FBBAF [248]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:472FBBAF [248]
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[BoRRuS]

Выполнено, прикрепляю.

Fixlog.txt

[thyrex]

В остальном порядок.

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

[BoRRuS]

Благодарю!

 

Прикладываю.:

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 09.01.2018 00:08:29
Path starting: C:\Users\BiG\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: BiG
VersionXML: 4.82is-05.01.2018
___________________________________________________________________________

Windows 10(6.3.16299) (x64) Professional Версия: 1709 Lang: Russian(0419)
Дата установки ОС: 12.12.2017 17:43:51
Статус лицензии: Windows®, Professional edition Постоянная активация прошла успешно.
Статус лицензии: Office 16, Office16ProjectProVL_KMS_Client edition Срок окончания начального льготного периода: 4116 мин.
Статус лицензии: Office 16, Office16ProPlusVL_KMS_Client edition Срок окончания начального льготного периода: 4116 мин.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Maxthon\Bin\Maxthon.exe
Системный диск: C: ФС: [NTFS] Емкость: [99.5 Гб] Занято: [77.2 Гб] Свободно: [22.3 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.125.16299.0
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Уведомлять о загрузке и установке обновлений
Центр обновления Windows (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба веб-публикаций (W3SVC) - Служба работает
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
Восстановление системы отключено
---------------------------- [ Antivirus_WMI ] ----------------------------
Kaspersky Free (включен и обновлен)
Windows Defender (выключен и обновлен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Защитника Windows (MpsSvc) - Служба работает
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Kaspersky Free (включен и обновлен)
Windows Defender (выключен и обновлен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Secure Connection v.17.0.0.611
Kaspersky Free v.17.0.0.611
--------------------------- [ OtherUtilities ] ----------------------------
7-Zip 9.38 (x64 edition) v.9.38.00.0 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Microsoft Silverlight v.5.1.50907.0
VMware Player v.12.5.0 Внимание! Скачать обновления
Oracle VM VirtualBox 5.1.6 v.5.1.6 Внимание! Скачать обновления
TeamViewer 13 v.13.0.6447
OpenOffice 4.1.1 Language Pack (Russian) v.4.11.9775 Внимание! Скачать обновления
OpenOffice 4.1.1 v.4.11.9775 Внимание! Скачать обновления
TeamViewer 13 (TeamViewer) - Служба работает
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.40 v.7.40.103 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.0.44294 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 45 (64-bit) v.8.0.450 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u152-windows-x64.exe)^
Java 8 Update 45 v.8.0.450 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u152-windows-i586.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 27 NPAPI v.27.0.0.170 Внимание! Скачать обновления
Adobe Flash Player 27 PPAPI v.27.0.0.183 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 57.0.4 (x64 ru) v.57.0.4
Yandex v.17.11.0.2191 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Maxthon Cloud Browser v.4.4.8.1000 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
----------------------------- [ EmailClient ] -----------------------------
The Bat! Professional
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files (x86)\Mozilla Firefox\firefox.exe v.57.0.4.6577
C:\Program Files (x86)\Maxthon\Bin\Maxthon.exe v.5.1.3.2000
------------------ [ AntivirusFirewallProcessServices ] -------------------
Kaspersky Anti-Virus Service 17.0.0 (AVP17.0.0) - Служба работает
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Free 17.0.0\avp.exe v.17.0.0.611
klvssbrigde64 (klvssbrigde64) - Служба остановлена
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Free 17.0.0\avpui.exe v.17.0.0.643
C:\Program Files\Windows Defender\MSASCuiL.exe v.4.12.16299.15
Антивирусная программа "Защитника Windows" (WinDefend) - Служба остановлена
Служба проверки сети Windows Defender Antivirus (WdNisSvc) - Служба остановлена
---------------------------- [ UnwantedApps ] -----------------------------
Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Spyware Process Detector v3.24 v.3.24 Внимание! Подозрение на демо-версию антишпионской программы или программы-оптимизатора - scareware или badware. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
----------------------------- [ End of Log ] ------------------------------

 

[thyrex]

Выполните рекомендованное, и на этом закончим

[BoRRuS]

Выполнено. Огромное спасибо!