Решена Множественные Boot Bus Extender в секции драйверов логов AVZ

[regist]

Нашел гада Яндекс 39.0

OPR Extension: (Яндекс) - C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Extensions\akkhkcocfnopiccplnimkefmaejepdlj [2014-12-29]

Оно? Он и в Хроме сидит

CHR Extension: (Яндекс) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\akkhkcocfnopiccplnimkefmaejepdlj [2014-12-29]

И если Хрома нету, то эту папку можно зачистить

C:\Users\user\AppData\Local\Google\Chrome\

А если удаляли варварски, то можно и чисткой реестра .

Пока не удалял, только отключил, закарантинить?

На них особо детект не добавляют, тут важнее знать название папки расширения. Можно удалять, правда если не лень лучше заархивируй и разошли по вирлабам. Может добавят детекты.

MBAM еще нужен?

да, MBAM нужен, чтобы проверить не остались ли хвосты от Bicololo.

Свежий анализ Яндекс 39.0

если будешь рассылать, то не один этот скрипт, а все скрипты которые там есть (css и прочее не нужно).

 

[ScriptMakeR]

Оно?

Да, оно.

C:\Users\user\AppData\Local\Google\Chrome\

Удалил. Реестром потом займусь.

если не лень лучше заархивируй и разошли по вирлабам.

Архив сделал. Попробую разослать.

Bicololo

Случаем не про New1 речь идет? Симптомы ввода телефона при входе на вконтакте были.

 

[regist]

Удалил. Реестром потом займусь.

надо было просто скриптом AVZ с эвристической чисткой .

Случаем не про New1 речь идет?

про него.

• Пожалуйста, запустите adwcleaner.exe
• Нажмите Uninstall (Удалить).
• Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.

-----------

HKCR\Typelib\{157B1AA6-3E5C-404A-9118-C1D91F537040} (PUP.Optional.Multiplug)
c:\windows\system32\drivers\etc\hоsts

это удалите.

Проверьте эти файлы на virustotal

C:\Users\user\AppData\Roaming\Founder Systems\home.js (Trojan.Agent.FS)
C:\Users\user\AppData\Roaming\Founder Systems\manifest.json (Trojan.Agent.FS)

кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

 

[ScriptMakeR]

надо было просто скриптом AVZ с эвристической чисткой

Тупанул Сделаю.

Нажмите Uninstall (Удалить).
это удалите.

Готово
C:\Users\user\AppData\Roaming\Founder Systems\home.js
C:\Users\user\AppData\Roaming\Founder Systems\manifest.json

 

[regist]

папку

C:\Users\user\AppData\Roaming\Founder Systems\

заархивируйте в zip архив с паролем virus . Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
похоже ещё Trojan.DownLoader12.20655 там сидит.

 

[ScriptMakeR]

Отправил.
Кстати, интересно стало. Почему, сайт ассоциации тут, а карантин отправляется там?

 

[regist]

этот сайт также часть ассоциации.
не вижу карантина, пошли ещё раз и в ЛС мне продублируй.

 

[ScriptMakeR]

Это понятно. Но ведь основной сайт ассоциации тут, он раньше и назывался так же, как и ассоциация. Мне кажется, что и карантин логичнее тут разместить. Или все дело в дисковом пространстве?
Или вообще вопрос не по адресу?

 

[regist]

вообще вопрос не по адресу?

не по адресу, это к админам.
Жду карантин.

 

[ScriptMakeR]

не вижу карантина, пошли ещё раз и в ЛС мне продублируй.

Упс.. Пропустил это сообщение. Карантин заново отправил. А как в ЛС файлы крепить?
logagents.exe из папки C:\Users\user\AppData\Roaming\Founder Systems\
Ссылка не прикрепилась https://www.virustotal.com/ru/file/...3757169d28f3d3d89d815b9a/analysis/1423921988/
Я архив quarantine.zip обозвал, так как там пишется, что другие не принимают.

 

[regist]

А как в ЛС файлы крепить?

Если нет возможности, прикрепить, то залить на обменник например сюда и послать ссылку.
+ удали эту папку, сделай новый лог сканирования MBAM и отпишись, что с проблемами.

 

[ScriptMakeR]

залить на обменник

Похоже, я пересмотрел в монитор. Опять туплю
Папку удалил средствами AVZ с эвристической чисткой.

новый лог сканирования MBAM

Это только в понедельник смогу сделать. До конца рабочего дня осталось 47 минут, а сканирует около 2 часов.

что с проблемами

Дык, уже давно их нет. Сразу после отключения расширения Яндекс пропали

 

[ScriptMakeR]

новый лог сканирования MBAM

MBAM сканирует. Что-нибудь нужно будет еще приложить?

 

[regist]

Что-нибудь нужно будет еще приложить?

нет, если ничего не найдет его деинсталировать и будут рекомендации после лечения.

 

[ScriptMakeR]

нет, если ничего не найдет

Что-то мне слабо верится, что MBAM ничего не найдет. Уж больно он параноидален в этом вопросе
Логи MBAM

 

[regist]

- выполните такой скрипт в AVZ

begin
ClearQuarantineEx(true);
QuarantineFile('C:\Users\user\AppData\Roaming\Installer\admeo.exe', '');
DeleteFile('C:\Users\user\AppData\Roaming\Installer\admeo.exe');
QuarantineFile('C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\File System\001\t\00\00000000', '');
DeleteFile('C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\File System\001\t\00\00000000');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Удалите в MBAM всё кроме

D:\Программы\Unlocker_Rus_Setup.exe

сделайте свежий лог сканирования MBAM.

 

[ScriptMakeR]

Карантин отправил, что не указано удалил.

сделайте свежий лог сканирования MBAM

Делаю
Отчет удаления и карантин MBAM нужны?

 

[ScriptMakeR]

Последний лог MBAM

 

[regist]

C:\Users\user\Desktop\AutoLogger\AutoLogger\AVZ\Quarantine\

эту папку удалить вручную.
MBAM деинсталировать.

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.