Касперский обнаружил вирус - [Trojan.Multi.GenAutorunBITS.a]

[Максим Власов]

Проблема появилась довольно давно, но я и не думал, что именно ВИРУС отключает меня от сети, буквально ложа систему в нокаут...
Проще говоря, при какой-то активности вируса сеть пропадает и не появляется до перезапуска ПК, так же появляются странные помехи при воспроизведении музыки, а так же появляется серьёзная нагрузка и снижение производительности системы.

Товарищи, протяните руку помощи...

 

 

Проблема заключается в том, что я не могу удалить его, точнее... могу... но при этом Windows умирает...

CollectionLog-2018.01.17-17.37.zip

Изменено 17 января, 2018 пользователем Максим Власов

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\SysWOW64\xELET.bat','');
 QuarantineFile('C:\Users\Maxim\AppData\Local\YAOIOsICoG.exe','');
 DeleteFile('C:\Windows\system32\Tasks\bYnOEiTlCMXI','64');
 DeleteFile('C:\Users\Maxim\AppData\Local\YAOIOsICoG.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\ipuWIYAie','64');
 DeleteFile('C:\Windows\SysWOW64\xELET.bat','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[Максим Власов]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\SysWOW64\xELET.bat','');
 QuarantineFile('C:\Users\Maxim\AppData\Local\YAOIOsICoG.exe','');
 DeleteFile('C:\Windows\system32\Tasks\bYnOEiTlCMXI','64');
 DeleteFile('C:\Users\Maxim\AppData\Local\YAOIOsICoG.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\ipuWIYAie','64');
 DeleteFile('C:\Windows\SysWOW64\xELET.bat','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

 

Простите, я не совсем понял, что мне нужно сделать ? 

Выполнить сбор логов, перезапустить компьютер и прикрепить новые логи ?

[thyrex]

Сначала https://forum.kasperskyclub.ru/index.php?showtopic=7607

 

Потом собрать новые логи по правилам.

[Максим Власов]

 

Сначала https://forum.kasperskyclub.ru/index.php?showtopic=7607

 

Потом собрать новые логи по правилам.

 

[KLAN-7533164838] 

CollectionLog-2018.01.17-17.37.zip

Изменено 17 января, 2018 пользователем Максим Власов

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Максим Власов]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

 

Готово ! Правда мне кажется что я что-то напутал.. по этому вложил в Архив просто Logs, простите если что-то сделал не так...

Logs.rar

Users.rar

Изменено 17 января, 2018 пользователем Максим Власов

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
CHR HKLM\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk
CHR HKLM-x32\...\Chrome\Extension: [bejnpnkhfgfkcpgikiinojlmdcjimobi] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [cpegcopcfajiiibidlaelhjjblpefbjk] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lfgkmlldjpjacgicdjmmgcboihbghpal] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk
CHR HKLM-x32\...\Chrome\Extension: [pfigaoamnncijbgomifamkmkidnnlikl] - hxxp://clients2.google.com/service/update2/crx
2017-12-29 22:09 - 2009-07-14 03:14 - 000001113 _____ () C:\Program Files (x86)\BAjayUUgiYhd
2009-07-14 03:14 - 2009-07-14 03:14 - 000001113 _____ () C:\Program Files (x86)\BAjayUUgiYhd.bat
2017-12-29 22:09 - 2009-07-14 03:14 - 000000990 _____ () C:\Users\Maxim\AppData\Roaming\eMiFIOOWLkr
2009-07-14 03:14 - 2009-07-14 03:14 - 000000990 _____ () C:\Users\Maxim\AppData\Roaming\eMiFIOOWLkr.bat
2017-12-29 22:09 - 2010-11-21 05:24 - 000186368 _____ (Microsoft Corporation) C:\Users\Maxim\AppData\Local\iOEEEei.exe
2017-12-29 22:09 - 2017-12-29 22:09 - 000000001 _____ () C:\Users\Maxim\AppData\Local\WMI.ini
2017-12-29 22:09 - 2016-11-10 20:54 - 000073216 _____ (Microsoft Corporation) C:\Users\Maxim\AppData\Local\YAOIOsICoG.exe
Task: {3A69357B-0F69-4ECA-8EC3-940F39677440} - System32\Tasks\bYnOEiTlCMXI => C:\Users\Maxim\AppData\Local\YAOIOsICoG.exe [2016-11-10] (Microsoft Corporation)
Task: {B814D6C0-A970-40F6-B703-F639F57B0656} - System32\Tasks\AycPw => C:\Users\Maxim\NfkQV.bat <==== ATTENTION
Task: {E98FA141-EA1A-481F-B149-D01EDB931B37} - System32\Tasks\ipuWIYAie => C:\Windows\SysWOW64\xELET.bat [2009-07-14] () <==== ATTENTION
AlternateDataStreams: C:\Users\Maxim:Heroes & Generals [38]
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Отключите ВСЕ установленные расширения для браузеров и проверьте проблему.

[Максим Власов]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
CHR HKLM\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk
CHR HKLM-x32\...\Chrome\Extension: [bejnpnkhfgfkcpgikiinojlmdcjimobi] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [cpegcopcfajiiibidlaelhjjblpefbjk] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lfgkmlldjpjacgicdjmmgcboihbghpal] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk
CHR HKLM-x32\...\Chrome\Extension: [pfigaoamnncijbgomifamkmkidnnlikl] - hxxp://clients2.google.com/service/update2/crx
2017-12-29 22:09 - 2009-07-14 03:14 - 000001113 _____ () C:\Program Files (x86)\BAjayUUgiYhd
2009-07-14 03:14 - 2009-07-14 03:14 - 000001113 _____ () C:\Program Files (x86)\BAjayUUgiYhd.bat
2017-12-29 22:09 - 2009-07-14 03:14 - 000000990 _____ () C:\Users\Maxim\AppData\Roaming\eMiFIOOWLkr
2009-07-14 03:14 - 2009-07-14 03:14 - 000000990 _____ () C:\Users\Maxim\AppData\Roaming\eMiFIOOWLkr.bat
2017-12-29 22:09 - 2010-11-21 05:24 - 000186368 _____ (Microsoft Corporation) C:\Users\Maxim\AppData\Local\iOEEEei.exe
2017-12-29 22:09 - 2017-12-29 22:09 - 000000001 _____ () C:\Users\Maxim\AppData\Local\WMI.ini
2017-12-29 22:09 - 2016-11-10 20:54 - 000073216 _____ (Microsoft Corporation) C:\Users\Maxim\AppData\Local\YAOIOsICoG.exe
Task: {3A69357B-0F69-4ECA-8EC3-940F39677440} - System32\Tasks\bYnOEiTlCMXI => C:\Users\Maxim\AppData\Local\YAOIOsICoG.exe [2016-11-10] (Microsoft Corporation)
Task: {B814D6C0-A970-40F6-B703-F639F57B0656} - System32\Tasks\AycPw => C:\Users\Maxim\NfkQV.bat <==== ATTENTION
Task: {E98FA141-EA1A-481F-B149-D01EDB931B37} - System32\Tasks\ipuWIYAie => C:\Windows\SysWOW64\xELET.bat [2009-07-14] () <==== ATTENTION
AlternateDataStreams: C:\Users\Maxim:Heroes & Generals [38]
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Отключите ВСЕ установленные расширения для браузеров и проверьте проблему.

 

Готово ! Прошу:

Fixlog.txt

[thyrex]

Проблема решена?

[Максим Власов]

Проблема решена?

Похоже что да! Благодарю вас! Будут какие-нибудь рекомендации ??

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

[Максим Власов]

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]

WebSite: www.safezone.cc

DateLog: 19.01.2018 06:27:17

Path starting: C:\Users\Maxim\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe

Log directory: C:\SecurityCheck\

IsAdmin: True

User: Maxim

VersionXML: 4.83is-17.01.2018

___________________________________________________________________________

 

Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419)

Дата установки ОС: 15.08.2017 19:58:52

Статус лицензии: Windows® 7, Ultimate edition Постоянная активация прошла успешно.

Режим загрузки: Normal

Браузер по умолчанию: C:\Users\Maxim\AppData\Local\Yandex\YandexBrowser\Application\browser.exe

Системный диск: C: ФС: [NTFS] Емкость: [263.8 Гб] Занято: [115.4 Гб] Свободно: [148.4 Гб]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.18524 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя отключен (Уровень 1)

^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

Автоматическое обновление отключено

Центр обновления Windows (wuauserv) - Служба работает

Центр обеспечения безопасности (wscsvc) - Служба работает

Удаленный реестр (RemoteRegistry) - Служба остановлена

Обнаружение SSDP (SSDPSRV) - Служба работает

Службы удаленных рабочих столов (TermService) - Служба остановлена

Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена

------------------------------- [ HotFix ] --------------------------------

HotFix KB3115858 Внимание! Скачать обновления

HotFix KB3140735 Внимание! Скачать обновления

HotFix KB3138962 Внимание! Скачать обновления

HotFix KB3145739 Внимание! Скачать обновления

HotFix KB3156013 Внимание! Скачать обновления

HotFix KB3155178 Внимание! Скачать обновления

HotFix KB3153171 Внимание! Скачать обновления

HotFix KB3178034 Внимание! Скачать обновления

HotFix KB3184122 Внимание! Скачать обновления

HotFix KB3192391 Внимание! Скачать обновления

HotFix KB3197867 Внимание! Скачать обновления

HotFix KB3205394 Внимание! Скачать обновления

HotFix KB4012212 Внимание! Скачать обновления

HotFix KB4019263 Внимание! Скачать обновления

HotFix KB4022722 Внимание! Скачать обновления

HotFix KB4015546 Внимание! Скачать обновления

HotFix KB4025337 Внимание! Скачать обновления

HotFix KB4034679 Внимание! Скачать обновления

HotFix KB4041678 Внимание! Скачать обновления

------------------------------ [ MS Office ] ------------------------------

Microsoft Office 2007 v.12.0.4518.1014

---------------------------- [ Antivirus_WMI ] ----------------------------

Cezurity Antivirus Scanner (включен и обновлен)

Kaspersky Free (выключен и устарел)

--------------------------- [ FirewallWindows ] ---------------------------

Брандмауэр Windows (MpsSvc) - Служба работает

--------------------------- [ AntiSpyware_WMI ] ---------------------------

Kaspersky Free (выключен и устарел)

Windows Defender (выключен и устарел)

Cezurity Antivirus Scanner (включен и обновлен)

---------------------- [ AntiVirusFirewallInstall ] -----------------------

Cezurity Antivirus Scanner v4.2 v.4.2.19822.56359

Kaspersky Free v.18.0.0.405

Kaspersky Secure Connection v.18.0.0.405

Cezurity Antivirus Scanner v.4.2.19822.56359

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления

TeamViewer 13 v.13.0.6447

WinRAR 5.50 (32-разрядная) v.5.50.0

TeamViewer 13 (TeamViewer) - Служба работает

--------------------------------- [ IM ] ----------------------------------

Viber v.7.6.0.1

Telegram Desktop version 1.1.23 v.1.1.23 Внимание! Скачать обновления

^Необязательное обновление.^

Skype™ 7.40 v.7.40.103 Внимание! Скачать обновления

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.5.1.44332 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 151 (64-bit) v.8.0.1510.12 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u162-windows-x64.exe)^

Java 8 Update 151 v.8.0.1510.12 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u162-windows-i586.exe)^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe AIR v.1.1.0.5790 Внимание! Скачать обновления

Adobe Flash Player 28 PPAPI v.28.0.0.137

------------------------------- [ Browser ] -------------------------------

Yandex v.17.11.0.2191 Внимание! Скачать обновления

^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

Google Chrome v.63.0.3239.132

--------------------------- [ RunningProcess ] ----------------------------

C:\Users\Maxim\AppData\Local\Yandex\YandexBrowser\Application\browser.exe v.17.11.0.2191

------------------ [ AntivirusFirewallProcessServices ] -------------------

Системная служба Cezurity Antivirus Scanner (CezurityAntivirusService) - Служба работает

C:\Program Files\Cezurity\Antivirus\CzAvSvc.exe v.4.2.19822.56359

Kaspersky Anti-Virus Service 18.0.0 (AVP18.0.0) - Служба работает

avp.exe

avpui.exe

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 2.0\ksde.exe v.18.0.0.405

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 2.0\ksdeui.exe v.18.0.0.405

Защитник Windows (WinDefend) - Служба остановлена

---------------------------- [ UnwantedApps ] -----------------------------

Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

----------------------------- [ End of Log ] ------------------------------

 

 

 

 

 

 

 

Хочу сказать, мой Windows крякнутый, ибо когда нужно было его переустанавливать его тупо не было (Установленная система шла вместе с устройством)

Изменено 19 января, 2018 пользователем Максим Власов

[thyrex]

У Вас и кроме обновлений для системы непочатый фронт работ

[regist]

Хочу сказать, мой Windows крякнутый

Хотфиксы этому не мешают, так что указанные заплатки всё равно установите.

Изменено 19 января, 2018 пользователем regist