Вирус в браузерах

@Егор В · Регистрация: 03.01.2015

Author24 — интернет-сервис помощи студентам

Добрый день!
Завелся вирус, запрудивший браузеры рекламой.Также блокирует скачку любых файлов в Хроме подменяя их одним и тем же exe файлом с именем Setup_11384_i14382....exe
Логи прилагаю.
Помогите,пожалуйста.

@shestale · 03.01.2015, 16:03

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\programdata\iepluginservices\pluginservice.exe');
 TerminateProcessByName('c:\program files\pricemeterliveupdate\update\pricemeterliveupdate.exe');
 StopService('IePluginServices');
 QuarantineFileF('c:\programdata\iepluginservices', '*', true, '', 0 ,0);
 QuarantineFileF('c:\program files\pricemeterliveupdate', '*', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\baidu', '*', true, '', 0 ,0);
 QuarantineFileF('C:\Users\еее\AppData\Local\PriceMeter', '*', true, '', 0 ,0);
 QuarantineFile('c:\programdata\iepluginservices\pluginservice.exe', '');
 QuarantineFile('c:\program files\pricemeterliveupdate\update\pricemeterliveupdate.exe', '');
 QuarantineFile('C:\Program Files\PriceMeterLiveUpdate\Update\1.3.23.0\goopdate.dll', '');
 QuarantineFile('C:\Program Files\baidu\BindEx.exe', '');
 QuarantineFile('C:\Users\еее\AppData\Local\PriceMeter\pricemeterw.exe', '');
 QuarantineFile('C:\Users\еее\AppData\Local\PriceMeter\pricemeterd.exe', '');
 QuarantineFile('C:\Users\еее\AppData\Local\PriceMeter\pricemeter.exe', '');
 QuarantineFile('C:\Users\A91D~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','');
 QuarantineFileF('C:\ProgramData\Baidu', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\Common Files\Baidu', '*', true, '', 0, 0);
 DeleteFile('C:\Users\A91D~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\Windows\Tasks\Digital Sites.job','32');
 DeleteFile('C:\Windows\Tasks\PriceMeterLiveUpdateUpdateTaskMachineCore.job', '32');
 DeleteFile('C:\Windows\Tasks\PriceMeterLiveUpdateUpdateTaskMachineUA.job', '32');
 DeleteFile('C:\Windows\system32\Tasks\pricemeterdownloader', '32');
 DeleteFile('C:\Windows\system32\Tasks\PriceMeterLiveUpdateUpdateTaskMachineCore', '32');
 DeleteFile('C:\Windows\system32\Tasks\PriceMeterLiveUpdateUpdateTaskMachineUA', '32');
 DeleteFile('C:\Windows\system32\Tasks\pricemetertask', '32');
 DeleteFile('C:\Windows\system32\Tasks\pricemeterwatcher', '32');
 DeleteFile('c:\programdata\iepluginservices\pluginservice.exe', '32');
 DeleteFile('c:\program files\pricemeterliveupdate\update\pricemeterliveupdate.exe', '32');
 DeleteFile('C:\Program Files\PriceMeterLiveUpdate\Update\1.3.23.0\goopdate.dll', '32');
 DeleteFile('C:\Program Files\baidu\BindEx.exe', '32');
 DeleteFile('C:\Users\еее\AppData\Local\PriceMeter\pricemeterw.exe', '32');
 DeleteFile('C:\Users\еее\AppData\Local\PriceMeter\pricemeterd.exe', '32');
 DeleteFile('C:\Users\еее\AppData\Local\PriceMeter\pricemeter.exe', '32');
 DeleteFileMask('c:\programdata\iepluginservices', '*', true);
 DeleteFileMask('c:\program files\pricemeterliveupdate', '*', true);
 DeleteFileMask('C:\Program Files\baidu', '*', true);
 DeleteFileMask('C:\Users\еее\AppData\Local\PriceMeter', '*', true);
 DeleteFileMask('C:\ProgramData\Baidu', '*', true);
 DeleteDirectory('C:\ProgramData\Baidu');
 DeleteFileMask('C:\Program Files\Common Files\Baidu', '*', true);
 DeleteDirectory('C:\Program Files\Common Files\Baidu');
 DeleteDirectory('c:\programdata\iepluginservices');
 DeleteDirectory('c:\program files\pricemeterliveupdate');
 DeleteDirectory('C:\Program Files\baidu');
 DeleteDirectory('C:\Users\еее\AppData\Local\PriceMeter');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','baidu');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PriceMeterW');
 DeleteService('IePluginServices');
 DeleteService('pricemeterliveUpdate');
 DeleteService('pricemeterliveUpdatem');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

Код

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1419327094&from=wpm12233&uid=WDCXWD3200AAJS-22L7A0_WD-WCAV2257349873498
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1405867332&from=cor&uid=WDCXWD3200AAJS-22L7A0_WD-WCAV2257349873498&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1405867332&from=cor&uid=WDCXWD3200AAJS-22L7A0_WD-WCAV2257349873498&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1419327094&from=wpm12233&uid=WDCXWD3200AAJS-22L7A0_WD-WCAV2257349873498
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1419327094&from=wpm12233&uid=WDCXWD3200AAJS-22L7A0_WD-WCAV2257349873498
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1405867332&from=cor&uid=WDCXWD3200AAJS-22L7A0_WD-WCAV2257349873498&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1405867332&from=cor&uid=WDCXWD3200AAJS-22L7A0_WD-WCAV2257349873498&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1419327094&from=wpm12233&uid=WDCXWD3200AAJS-22L7A0_WD-WCAV2257349873498
O4 - HKCU\..\Run: [PriceMeterW] "C:\Users\еее\AppData\Local\PriceMeter\pricemeterw.exe"
O4 - HKCU\..\Run: [baidu] C:\Program Files\baidu\BindEx.exe

Удалите параметры запуска ярлыков.
Подготовьте лог AdwCleaner.
Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

@Егор В · 03.01.2015, 17:11 **[ТС]**

Вот какие логи получились

@shestale · 04.01.2015, 06:40

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('C:\Users\A91D~1\AppData\Roaming\DigitalSites', '*', true, '', 0 ,0);
 QuarantineFileF('C:\Users\еее\appdata\roaming\digitalsites', '*', true, '', 0 ,0);
 QuarantineFileF('C:\Users\еее\applic~1\digitalsites', '*', true, '', 0 ,0);
 QuarantineFile('C:\Users\A91D~1\AppData\Local\Temp\nw3720_13201\node_modules\gameo_utils\Build\Release\gameo_utils_node.node', '');
 QuarantineFile('C:\Users\A91D~1\AppData\Local\Temp\nw3720_13201\node_modules\gameo_utils\Build\Release\gameo_utils.dll', '');
 QuarantineFile('C:\Users\A91D~1\AppData\Local\Temp\nw3720_13201\node_modules\is-reaction\gg.node', '');
 QuarantineFile('C:\Users\A91D~1\AppData\Local\Temp\nw3720_13201\node_modules\is-reaction\REACTION.dll', '');
 QuarantineFile('C:\Users\A91D~1\AppData\Roaming\DigitalSites\UpdateProc\bkup.dat', '');
 QuarantineFile('C:\Users\еее\appdata\roaming\digitalsites\updateproc\updatetask.exe', '');
 QuarantineFile('C:\Users\еее\appdata\roaming\digita~1\update~1\update~1.exe', '');
 QuarantineFile('C:\Users\еее\applic~1\digitalsites\updateproc\updatetask.exe', '');
 QuarantineFile('C:\Users\еее\applic~1\digita~1\update~1\update~1.exe', '');
 DeleteFile('C:\Users\A91D~1\AppData\Local\Temp\nw3720_13201\node_modules\gameo_utils\Build\Release\gameo_utils_node.node', '32');
 DeleteFile('C:\Users\A91D~1\AppData\Local\Temp\nw3720_13201\node_modules\gameo_utils\Build\Release\gameo_utils.dll', '32');
 DeleteFile('C:\Users\A91D~1\AppData\Local\Temp\nw3720_13201\node_modules\is-reaction\gg.node', '32');
 DeleteFile('C:\Users\A91D~1\AppData\Local\Temp\nw3720_13201\node_modules\is-reaction\REACTION.dll', '32');
 DeleteFile('C:\Users\A91D~1\AppData\Roaming\DigitalSites\UpdateProc\bkup.dat', '32');
 DeleteFile('C:\Users\еее\appdata\roaming\digitalsites\updateproc\updatetask.exe', '32');
 DeleteFile('C:\Users\еее\appdata\roaming\digita~1\update~1\update~1.exe', '32');
 DeleteFile('C:\Users\еее\applic~1\digitalsites\updateproc\updatetask.exe', '32');
 DeleteFile('C:\Users\еее\applic~1\digita~1\update~1\update~1.exe', '32');
 DeleteFileMask('C:\Users\A91D~1\AppData\Roaming\DigitalSites', '*', true);
 DeleteFileMask('C:\Users\еее\appdata\roaming\digitalsites', '*', true);
 DeleteFileMask('C:\Users\еее\applic~1\digitalsites', '*', true);
 DeleteDirectory('C:\Users\A91D~1\AppData\Roaming\DigitalSites');
 DeleteDirectory('C:\Users\еее\appdata\roaming\digitalsites');
 DeleteDirectory('C:\Users\еее\applic~1\digitalsites');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','DigitalSites');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

Код

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1419327094&from=wpm12233&uid=WDCXWD3200AAJS-22L7A0_WD-WCAV2257349873498
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1405867332&from=cor&uid=WDCXWD3200AAJS-22L7A0_WD-WCAV2257349873498&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1405867332&from=cor&uid=WDCXWD3200AAJS-22L7A0_WD-WCAV2257349873498&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1419327094&from=wpm12233&uid=WDCXWD3200AAJS-22L7A0_WD-WCAV2257349873498

Удалите в AdwCleaner все найденные объекты.
Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

@Егор В · 04.01.2015, 11:51 **[ТС]**

Спасибо
Помогло вроде

@shestale · 04.01.2015, 14:26

Для закрытия уязвимостей вашей системы, сделайте лог SecurityCheck by glax24.
Лог, который откроется, скопируйте и выложите, сам файл выкладывать не нужно, затем скачайте и установите все обновления по ссылкам.

Рекомендации после удаления вредоносного ПО

@Егор В · 04.01.2015, 19:50 **[ТС]**

Security Check by glax24 version 0.2.5.61 rc2
WebSite: www.safezone.cc
DateLog: 04.01.2015 19:49:42
Run directory: C:\Users\еее\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: False
FileVersionInet: 8.5
__________________________________________________

Windows Vista (6.0.6001) Service Pack 1 (x86) HomeBasic Lang: Russian(0419)
Дата установки ОС: 10.10.2006 09:32:27
Статус лицензии: Windows(TM) Vista, HomeBasic edition Постоянная активация прошла успешно.
Системный диск: C:\ ФС: NTFS Емкость: [141.3 Гб] Занято: [67.9 Гб] Свободно: [73.4 Гб]
Браузер по умолчанию: C:\Program Files\Google\Chrome\Application\chrome.exe
-------------Windows------------------------------
Service Pack 1 Внимание! Скачать обновления
^Возможно потребуется повторная активация Windows^
Internet Explorer 8.0.6001.19088 Внимание! Скачать обновления
Контроль учётных записей пользователя включен
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2014-11-16 17:19:00
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
Kaspersky Total Security
Антивирус обновлен
-------------Firewall_WMI-------------------------
Kaspersky Total Security
-------------AntiSpyware_WMI----------------------
Kaspersky Total Security
Windows Defender
-------------AntiVirusFirewallInstall-------------
Kaspersky Total Security v.15.0.1.415
-------------OtherUtilities-----------------------
TeamViewer 9 v.9.0.25942
-------------AdobeProduction----------------------
Adobe Flash Player 10 ActiveX v.10.0.12.36 Внимание! Скачать обновления
Adobe Reader 9 - Russian v.9.0.0 Внимание! Скачать обновления
-------------Browser------------------------------
Google Chrome v.39.0.2171.95
-------------RunningProcess-----------------------
C:\Program Files\Google\Chrome\Application\chrome.exe v.39.0.2171.95
-------------EndLog-------------------------------

@shestale · 05.01.2015, 07:46

Установите, обновите...Удачи!

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	04.01.2015, 14:26	6
	Для закрытия уязвимостей вашей системы, сделайте лог SecurityCheck by glax24. Лог, который откроется, скопируйте и выложите, сам файл выкладывать не нужно, затем скачайте и установите все обновления по ссылкам. Рекомендации после удаления вредоносного ПО 0

@Егор В 0 / 0 / 0 Регистрация: 03.01.2015 Сообщений: 4
	04.01.2015, 19:50 [ТС]	7
	Security Check by glax24 version 0.2.5.61 rc2 WebSite: www.safezone.cc DateLog: 04.01.2015 19:49:42 Run directory: C:\Users\еее\AppData\Local\Temp\SecurityCheck\ Log directory: C:\SecurityCheck\ IsAdmin: False FileVersionInet: 8.5 __________________________________________________ Windows Vista (6.0.6001) Service Pack 1 (x86) HomeBasic Lang: Russian(0419) Дата установки ОС: 10.10.2006 09:32:27 Статус лицензии: Windows(TM) Vista, HomeBasic edition Постоянная активация прошла успешно. Системный диск: C:\ ФС: NTFS Емкость: [141.3 Гб] Занято: [67.9 Гб] Свободно: [73.4 Гб] Браузер по умолчанию: C:\Program Files\Google\Chrome\Application\chrome.exe -------------Windows------------------------------ Service Pack 1 Внимание! Скачать обновления ^Возможно потребуется повторная активация Windows^ Internet Explorer 8.0.6001.19088 Внимание! Скачать обновления Контроль учётных записей пользователя включен Загружать автоматически обновления и устанавливать по заданному расписанию Дата установки обновлений: 2014-11-16 17:19:00 Центр обновления Windows (wuauserv) - Служба работает Центр обеспечения безопасности (wscsvc) - Служба работает -------------Antivirus_WMI------------------------ Kaspersky Total Security Антивирус обновлен -------------Firewall_WMI------------------------- Kaspersky Total Security -------------AntiSpyware_WMI---------------------- Kaspersky Total Security Windows Defender -------------AntiVirusFirewallInstall------------- Kaspersky Total Security v.15.0.1.415 -------------OtherUtilities----------------------- TeamViewer 9 v.9.0.25942 -------------AdobeProduction---------------------- Adobe Flash Player 10 ActiveX v.10.0.12.36 Внимание! Скачать обновления Adobe Reader 9 - Russian v.9.0.0 Внимание! Скачать обновления -------------Browser------------------------------ Google Chrome v.39.0.2171.95 -------------RunningProcess----------------------- C:\Program Files\Google\Chrome\Application\chrome.exe v.39.0.2171.95 -------------EndLog------------------------------- 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	05.01.2015, 07:46	8
	Установите, обновите...Удачи! 0