» Помощь при лечении компьютера от вирусов

KismetT
[more=HijackThis]Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 11:52:26, on 03.07.2014
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v11.0 (11.00.9600.17126)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Common Files\Microsoft Shared\Ink\TabTip32.exe
C:\Program Files (x86)\Skype\Phone\Skype.exe
C:\Program Files (x86)\Iomega Storage Manager\IomegaStorageManager.exe
C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe
C:\Program Files (x86)\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files (x86)\Samsung\Kies\KiesTrayAgent.exe
C:\Program Files (x86)\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:Tabs
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [IAStorIcon] C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe
O4 - HKLM\..\Run: [NUSB3MON] "C:\Program Files (x86)\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe" /hide
O4 - HKLM\..\Run: [DivXMediaServer] C:\Program Files (x86)\DivX\DivX Media Server\DivXMediaServer.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Kerio VPN Client] "C:\Program Files (x86)\Kerio\VPN Client\kvpncgui.exe" /tray
O4 - HKLM\..\Run: [KiesTrayAgent] C:\Program Files (x86)\Samsung\Kies\KiesTrayAgent.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [OfficeSyncProcess] "C:\Program Files\Microsoft Office\Office14\MSOSYNC.EXE"
O4 - HKCU\..\Run: [Skype] "C:\Program Files (x86)\Skype\Phone\Skype.exe" /minimized /regrun
O4 - HKCU\..\Run: [MAgent] C:\Users\Администратор\AppData\Roaming\Mail.Ru\Agent\magent.exe -CU
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O4 - Startup: Punto Switcher.lnk = C:\Program Files (x86)\Yandex\Punto Switcher\punto.exe
O4 - Global Startup: Iomega Storage Manager.lnk = C:\Program Files (x86)\Iomega Storage Manager\IomegaStorageManager.exe
O8 - Extra context menu item: &Отправить в OneNote - res://C:\PROGRA~1\MICROS~1\Office14\ONBttnIE.dll/105
O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office14\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: &Связанные заметки OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: &Связанные заметки OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Users\Администратор\AppData\Roaming\Mail.Ru\Agent\magent.exe (HKCU)
O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Users\Администратор\AppData\Roaming\Mail.Ru\Agent\magent.exe (HKCU)
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A7A3A1BF-70BB-4664-99FA-40E35C513796}: NameServer = 8.8.8.8
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Служба Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Служба Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Intel(R) Rapid Storage Technology (IAStorDataMgrSvc) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe
O23 - Service: @%SystemRoot%\system32\ieetwcollectorres.dll,-1000 (IEEtwCollectorService) - Unknown owner - C:\Windows\system32\IEEtwCollector.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Kerio VPN Client Service (KVPNCSvc) - Kerio Technologies Inc. - C:\Program Files (x86)\Kerio\VPN Client\kvpncsvc.exe
O23 - Service: Intel(R) Management and Security Application Local Management Service (LMS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
O23 - Service: Process Monitor (LVPrcS64) - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: NVIDIA Update Service Daemon (nvUpdatusService) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
O23 - Service: PCloudd - Iomega Corp - C:\Program Files (x86)\Iomega Storage Manager\pCloudd.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files (x86)\Skype\Updater\Updater.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: Intel(R) Management and Security Application User Notification Service (UNS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 9691 bytes
[/more]
Скрипт выполнил
KIS удалил - не помогло
Откатиться на ранее восстановленную точку не возможно: не вели.
из cmd успешно пингуется все по имени и ip. В браузерах ничего не стартует по имени и ip. Skype не цепляется.
P.S. Систему зачистил последним Ccleaner 4.15
В журнале только одна ошибка по WMI
Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected.

obtim
в AVZ
файл -- восстановление системы -- (отметить все кроме 18-го пункта)
перезагрузка

opt_step
появился прогресс: после выполнения в AVZ и ребута , смог зацепиться Skype и kerio vpn client(по ip). В настройках сетевухи прописывал разные днс(родные провайдерские, гугл)-Не работают браузеры(не открывают сайти по имени и ip)-Opera и IE. Прокси никакой нет(в них настроено автоопределение настроек). При этом пинги по имени идут.

Можно пофиксить это:

Код: O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

obtim

Цитата:

появился прогресс: после выполнения в AVZ и ребута

это только начало

Цитата:

Не работают браузеры(не открывают сайти по имени и ip)-Opera

удалите оперу, почистите руками и заново поставьте и проверьте инет в ней
удалите сет.адаптер из диспечера устройств и заново его установите

KismetT
Не помогло
opt_step
Оперу не убивал.
Поставил Firefox 30-ку+залил портабл - работаю с ними(не работают).
Удалил дрова сетевухи(полностью). Ребутнулся. Поставил последние с последнего SamDrivers pack.
К сожалению результат тот же: skype - работает, пинги-идут. Ни в одном из браузеров не работает

obtim
удалить:
1. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock
2. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2
перезагрузка
в настройках брузера прокси-сервер провайдера не прописан?

Цитата:

Не помогло

И не должно было, это очистка от разных ненужных тулбаров и BHO.

Сброс SPI/LSP и TCP/IP - Выполнить в командной строке от Администратора

Код: netsh int ip reset c:\resetlog.txt

opt_step
Почти помогло: после ребута восстановилось только значение Winsock2 - пропали пинги по имени. Взял со здоровой машины ветки Winsock и winsock2 и залил на эту машину. Ребутнулся: все пошло.
opt_step
KismetT
regist123
Спасибо за помощь!

Господа! Возникла проблема. При включении компа вылазит окно с приглашением воспользоваться "PC SpeedScan Pro". Пробовал искать откуда оно выходит? Не нашел.
Сначала у меня с обновлением Кодеков инсталлировалась программа Нортон PC SpeedScan Pro. Я нашел ее и стер. После этого стер некоторое количества мусора из темп папки и куки. Сейчас всплывает окно, что PC SpeedScan Pro - эра (ошибка) №9. При этом в окне указано, эта ошибка "GetAscentiveCookies Error et line 750". Название модуля: "clsIEService"
Кто-нибудь сталкивался с такой проблемой? Подскажите, как ее убрать?

Цитата:

Пробовал искать откуда оно выходит? Не нашел.

Autoruns не помогла?

Ну, что Вы ! Эта штучка не такая примитивная, чтобы через ауторан работать. Я ее и в рабочих папаках винды и в реестре и через HiJackThis искал... Ничего даже похожего. Скорее всего в системе эта прога имеет другое имя.

Попробуй почистить этим
http://forum.ru-board.com/topic.cgi?forum=5&topic=29149
и WinTools v.14

IgorM
Autoruns не такая примитивная, как Вы думаете. Она показывает практически все, что может запускаться в Windowsе. Отфильтруйте по имени производителя - Нортон.
А еще скорей всего лучше скачать снова эту спид скан от Нортона, установить ее, а затем удалить - может все компоненты тогда нормально удалятся. В момент установки и по окончании как раз можно еще и снапшоты реестра и системных файлов сделать, а затем сравнить и так найти что-куда ставится.
Также можно стандартное восстановление системы запустить, может при установке кодеков создавалась контрольная точка. Попробовать откатиться на нее и поставить кодеки правильно.

IgorM AdwCleaner (by Xplode) попробуй, только внимательно смотри, что она предложит удалить.
PS. здесь на ру-борде также есть тема по обсуждению AdwCleaner.

restore1972
Спасибо за помощь. Прогнал рекомендованной прогой, после чего, как-то неожиданно увидел эту гадость в авторане (прежде ее не было там видно). После чего, я как "правоверный" решил ее стереть Тотал Анинсталом. Как бы ни так! Анинстал эту гадость в упор не видел! Пришлось вручную добиираться до каждой папки и стирать все по очереди. И еще. Навязчивая гадость называлась PC SpeedScan Pro, а в папках ее название было Ascentive, по причине чего я ее долго не мог найти. Предлагалась она вместе с Нортоном. Но нигде в папках этой штучки слова Нортон не было. Повторно скачать ее я не смог бы при всем желании. Она попала ко мне совершенно случайно. Я ставил обновление кодеков и с ними она влезла ко мне! Восстановление тоже не удалось. Среди точек восстановления доступны были только последние точки, когда я эту прогу стирал. Попытка открыть "другие точки восстановления" ничего не дала.
Но, вроде бы убрал эту навязчивую гадость! Большое спасибо всем, кто помог. Проблема решена!

А никто не подскажет , где найти лекарство для R-Wipe&Scan?

http://forum.ru-board.com/topic.cgi?forum=35&bm=1&topic=28275&start=240#lt
Через поиск легко можно найти.
Деинсталлировать программы и хвосты лучше этой прогой
http://forum.ru-board.com/topic.cgi?forum=5&topic=16735

А скажи, пожалуйста, restore1972, есть ли в рекомендуемой Вами программе, функция, через которую можно стереть все хвосты ранее неудачно анинсталиированной проги?
Вот в Тотал Анинстал есть такая ф-ция! В прежних Нортонах была (сейчас почему-то нет).

Да есть, удаляет более корректно ее конкурентов.

Я поставил Анинстал Тулс. Подскажите, пожалуйста, как этой функцией воспользоваться?

IgorM
Вам ссылку дали на топик программы. Вот вопросы по функционалу там задавайте.

Утром на одном из компьютеров, видимо по почте, что то схватили, зашифровались все документы excel, word и почта outlook.
С виндой то фиг с ней, переустанавливаю сейчас ,чтоб наверняка избавиться от вируса. Но документы восстановить надо, причем зашифровало и на сетевом диске.
Отчеты AVZ прикладывать уже смысла нет.
Вот зашифрованный файл
http://rghost.ru/60452912

с большей долей вероятности вирус был из этого письма http://rghost.ru/60453697
вложение instituter.zip nod32 уже идентифицирует как elenoocka.a троянская программа

Цитата:

вирус был из этого письма http://rghost.ru/60453697

Вытащить его из письма можешь, а то под рукой outlook-а нет?
Вероятность расшифровки мала, разве, что кто поделился подобным кодом, но попробуй на Virusinfo или запрос в DR.WEB, при наличии лицензии.

KismetT
там внутри instituter.zip файл с instituter.sc который Win32/TrojanDownloader.Elenoocka.A. , а он уже скачал какой то шифровальщик.
Отчет вирустотал https://www.virustotal.com/ru/file/8a4115f9f7ec4aadb8fcb439354943b9969680668ac253a3169c9a9205811cd3/analysis/1421753822/

Maza777, вопрос был:

Цитата:

Вытащить его из письма можешь

KismetT
base64 и так можно распаковать.
ссылка в приват, пароль: virus

Цитата:

но попробуй на Virusinfo или запрос в DR.WEB, при наличии лицензии.

на virusinfo.info только помогают почистить через AVZ следы и вирусню (пробовал посчитать сколько тем за день там создают с вирусом шифровщиком, сбился после >50 темы, при чем это пол дня только было), с расшифровкой не помогают, предлагают обратится на drweb где нужна лицензия ихняя, без нее даже заявку не рассматривают. Но и с заявкой нужна почта злоумышленника для идентификации энкодера. Готовых программок-декодеров, которые надо перебирать, я так там и не увидел. С лицензионными пользователями техподдержка делится утилитой бесплатно и даже рассказывает с какими параметрами ее надо запускать.
Плохо, то что меня не было на раб.месте в этот момент и я не видел на какую почту требовали денег злоумышленники. А вирус все равно прибил потом Nod32, когда в 10:00 обновил базы. Потому что в 10:00 шифрование файлов закончилось, сетевой диск только наполовину зашифровало
Вообщем все грустно.

Maza777 21:28 20-01-2015
Цитата:

Плохо, то что меня не было на раб.месте в этот момент и я не видел на какую почту требовали денег злоумышленники.

плохо не это, а то что вы сразу перестали систему. Так требование на какую почту отправить обычно указано на заставке рабочего стола или в тектовом документе и т.д.
А также в темпе и в других местах могут остаться необходимые для расшифровки остатки вируса. После переустановки виндоус шансы на расшифровку падают. Это же вам скажут и в Др. Веб.
PS. конкретно ваш вирус не смотрел, это так общие рекомендации.

Цитата:

Готовых программок-декодеров, которые надо перебирать, я так там и не увидел. С лицензионными пользователями техподдержка делится утилитой бесплатно и даже рассказывает с какими параметрами ее надо запускать.

и хорошо, что не увидели. После таких переборов обычно даже автор шифровальщика восстановить не может.

доктор веб расшифровкой занимается, но нужна ихняя лицензия. Может кто с лицензией покажет им мои файлы, чтобы они прислали дешифратор ?