Решена Подозрение на кейлоггены и может руткит

[Milla]

Здравствуйте
Я сомневаюсь в чистоте моего ноутбука Toshiba, и причины такие:
при интернет-серфинге иногда подвисает, страницы загружаются очень долго, и выдается "скрипт не может быть выполнен"

не могу полностью просканировать систему с помощью Dr. Web CureIt, ноут начинает шуметь, кочегарится и отключается, и никогда не дает провести полное сканирование, даже если выбираю тщательную нескоростную проверку вручную, папку за папкой на диске С. Сканирую всегда в Safe Mode.

Делаю все под уч записью Админа. Отключается всегда при сканировании папок Data and Setting, и при сканировании папки system32

Антивирус - стоит бесплатная Авира. На антивирусе сканирование проходит до конца. Иногда находится и чистится что-то по мелочи.

Я нахожусь за границей. Обнаружилось, что на нескольких разных кредитных картах примерно в один период были списаны небольшие суммы ($24, $29 and $29) от одного и того же "сервиса" с нахождением в др штате, не там где я живу.
Карты всегда находятся дома и никто кроме меня не имеет к ним доступ физически, я иногда их использую для он-лайн покупок, очень нечасто, и к банковскому аккаунту также никто из др людей не привязан и доступа не имеет. Детей нет. Т.е. потеря карт и кража данных из кармана исключена.

Как мне кажется, взяты или при ранее сделанных оплатах нечесными работниками, или при вводе паролей в онлайн-банкинги, где может быть видна инфа, или перехватывается при оплате и вводе он-лайн руткитом (?)

Моя система - Windows 7 Pro Eng, SP1, x64

Программы, которые могут быть непонятны в логах:
PRO100 DEMO v.5 - для создания интерьеров
Stamps.com - для печати лейблов для посылок
Tencent QQ - настоящий китайский мессенджер ку-ку, загружался для общения с китайцами, уже не нужен, удаляла штатно, но вот виден еще в логах
VUDU To Go - сервис для просмотра фильмов, официальный, типа Netflix
Zuma Deluxe - игра аркада, примитив

Спасибо всем откликнувшимся!

 

[Кирилл]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\1\AppData\Roaming\UpdaterService\FSSUpdaterService.exe', '');
 QuarantineFileF('C:\Program Files (x86)\PC SpeedUp\PCSUSD.exe', '*', true, '', 0 , 0);
 QuarantineFile('C:\Users\ADMINI~1\AppData\Local\Temp\C52E41F.sys', '');
 QuarantineFile('C:\Users\ADMINI~1\AppData\Local\Temp\23B22339.sys', '');
 DeleteFile('C:\Windows\Tasks\PC SpeedUp Service Deactivator.job', '64');
 DeleteFile('C:\Windows\system32\Tasks\FSSUpdaterService', '64');
 DeleteFile('C:\Users\1\AppData\Roaming\UpdaterService\FSSUpdaterService.exe', '32');
 DeleteFile('C:\Windows\system32\Tasks\PC SpeedUp Service Deactivator', '64');
 DeleteFileMask('C:\Program Files (x86)\PC SpeedUp\PCSUSD.exe', '*', true);
 DeleteDirectory('C:\Program Files (x86)\PC SpeedUp\PCSUSD.exe', '');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

[Milla]

Спасибо за быстрый ответ
Проведено сканирование AVZ и файл-архив уже отправлен Вам через указанную форму. AVZ был скачен с офф сайта авз (если это имеет значение)

Прикрекпляю 2 файла AdwCleaner, это логи сканирования, №1 - с включенным антивирусом и файерволом (т.к. не было указания выгрузить защиту), и №2 - лог с отключенным антивирусом и файерволом (на всякий случай)

 

[Кирилл]

• Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

Скачайте Malwarebytes' Anti-Malware или с зеркала. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
Подробнее читайте в руководстве.

 

[Milla]

я должна повторно сканировать adwcleaner-ом и malwarebytes с выгруженным антивирусом и закрытыми программами или нет?

 

[Кирилл]

adwcleaner с выгруженным антивирусом,mbam без разницы.

 

[Milla]

прикрепляю 2 файла от adwcleaner - S4: сохранен программой сразу послу сканирования и очистки, С1: сам появился после перезагрузки

mbam лог в .тхт, программа у меня еще открыта в своем окне, найдены 6 файлов и папок - программа спрашивает что с ними делать

 

[Vvvyg]

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

Подробнее читайте в руководстве.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{1146AC44-2F03-4431-B4FD-889BC837521F}{372ab9f0} (PUP.Optional.MultiPlug) -> No action taken.
C:\Users\1\AppData\Local\CRE (PUP.Optional.ConduitTB.Gen) -> No action taken.
C:\Users\1\AppData\Local\CRE\ejpbbhjlbipncjklfjjaedaieimbmdda.crx (PUP.Optional.ConduitTB.Gen) -> No action taken.

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

Сообщите, что с проблемами.

 

[Milla]

программа открыта, 3 ваши строки были отмечены и удалены
авира сразу же выдала сообщение что ваш реест заблокирован. хотите просканировать сейчас? - я ответила нет авире

идет второе сканирование mbam

 

[Milla]

результат 2го сканирования

 

[Кирилл]

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

Подробнее читайте в этом разделе форума поддержки утилиты.


Какие то проблемы еще наблюдаются?

 

[Milla]

спасибо,
прикрепляю файл секьюрити чек (антивирус был включен)

у меня там в логе видно что 3 нежелательные apps висят, как их убрать?
переодически при серфинге вылазиют сообщения при скрипты, которые не могут быть исполнены
вот сейчас закрыла скрипт
Script: http://i.mgicinjs.info/opt_con…&ip=71.32.188.73 line 9 > eval:1

 

[Milla]

у меня сейчас в браузере сидит Offers4u - adware program которая видимо пришла вместе с adwcleaner и/или
Malwarebytes. Это поп-ап окно, которое появляется и предлагает ревалентные товары и ссылки.
Как программа в контрольной панели - я ее не вижу и не могу деинсталлировать, вижу как ads

вот здесь по этой ссылке пишут в статье: Remove Offers4U Ads (Virus Removal Guide)

The Offers4U infection is designed specifically to make money. It generates web traffic, collects sales leads for other dubious sites, and will display advertisements and sponsored links within your web browser.
Offers4U it’s technically not a virus, but it does exhibit plenty of malicious traits, such as rootkit capabilities to hook deep into the operating system, browser hijacking, and in general just interfering with the user experience. The industry generally refers to it as a “PUP,” or potentially unwanted program.

 

[Vvvyg]

у меня сейчас в браузере сидит Offers4u - adware program которая видимо пришла вместе с adwcleaner и/или
Malwarebytes. Это поп-ап окно, которое появляется и предлагает ревалентные товары и ссылки.

Если скачивали AdwCleaner и MBAM по ссылкам, которые Вам здесь давали - ничего лишнего подцепить не могли. Если вместо этого искали и далее по ссылкам "Скачать бесплатно" - всякое могло быть.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

 

[Кирилл]

+ Milla, у вас перегрев на аппарате похоже.

Предоставьте скрин замера температур.
А то может плохо закончиться в итоге.

 

[Milla]

to Vvvyg: скачивала только строго поссылкам, никакой самодеятельности, что вы! завтра все просканирую, сейчас к сожалению ночь у нас

to Koza Nozdri: подскажите как снять скрин замера температур? это в Task Manager?

 

[Milla]

прилагаю 3 отчета после сканирования. антивирус был включен

спасибо, что помогаете мне!

to Koza Nozdri: думаю вы правы! область тачпода и вентилятора бывает оч горячей,
сканировать температуры боюсь - вдруг ноут откинется?

помогите удалить всякие гадости, плиз, и я пойду искать сервис где могут посмотреть железо.
я не в россии сейчас, если до октября ноут не умрет - повезу домой чинить чип и т.п. !!!

 

[iskander-k]

ноут начинает шуметь, кочегарится

В этот момент прислоните руку к вентиляционному отверстию ноубука, обычно расположено в торцевой части слева либо в левой части в месте петли крышки и имеет вид решетчатой щели , за которыми видны металические пластинки. Если хорошо ощутимого горячего потока воздуха нет, то у вас забит теплообменник радиатора(те самые металлические пластинки) надо его чистить от набитой пыли и ворса от одежды. В 90% перегрев из-за этого как минимум через полгода использования ноутбука. В зависимости от конструкции это можно сделать самому или в сервисе.

 

[Milla]

to Iskander-k: вентиляция слева, да. Поток горячего воздуха сильный, когда работает с напряжением, дует и шумит. Все же наверное чип нуждается в пасте специальном уходе рук профессионалов ... В сервис обращусь обязательно!

как убрать Offers4U и др программки, если они есть? Какие тесты еще провести, кроме жизненно опасных, как температурный?

спасибо

 

[Кирилл]

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

start
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
GroupPolicyScripts: Group Policy detected <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-3429072821-1591228939-576740570-500\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
FF Plugin-x32: @qq.com/npqscall -> C:\Program Files (x86)\Common Files\Tencent\NPQSCALL\npqscall.dll [No File]
CHR HKLM-x32\...\Chrome\Extension: [ejpbbhjlbipncjklfjjaedaieimbmdda] - C:\Users\1\AppData\Local\CRE\ejpbbhjlbipncjklfjjaedaieimbmdda.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [jfmjfhklogoienhpfnppmbcbjfjnkonk] - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Chrome\Ext\rphtml5video.crx [2012-11-12]
S3 4F973B49DD2A1752; \??\C:\Users\1\AppData\Local\Temp\206DDC94.sys [X]
S3 4F978E00D89BA4B4; \??\C:\Users\ADMINI~1\AppData\Local\Temp\10859619.sys [X]
S3 4F978E09B6A17DB4; \??\C:\Users\ADMINI~1\AppData\Local\Temp\E04B135.sys [X]
S3 4F978E1B6D393872; \??\C:\Users\ADMINI~1\AppData\Local\Temp\211247DE.sys [X]
S3 4F978E1D5DBA9312; \??\C:\Users\ADMINI~1\AppData\Local\Temp\CA6E685.sys [X]
S3 4F978E1F4C582D72; \??\C:\Users\ADMINI~1\AppData\Local\Temp\1356E888.sys [X]
S3 4F978F3627F299F2; \??\C:\Users\ADMINI~1\AppData\Local\Temp\1253C769.sys [X]
S3 4F978F3761473172; \??\C:\Users\ADMINI~1\AppData\Local\Temp\1325D135.sys [X]
S3 4F978FDD7422FF13; \??\C:\Users\ADMINI~1\AppData\Local\Temp\CF0F9C6.sys [X]
S3 4F97CA2F96737D13; \??\C:\Users\ADMINI~1\AppData\Local\Temp\288F2B5B.sys [X]
S3 4F97CA44407BF3F2; \??\C:\Users\ADMINI~1\AppData\Local\Temp\C9AC6C3.sys [X]
S3 4F97CA58FB678912; \??\C:\Users\ADMINI~1\AppData\Local\Temp\1866597A.sys [X]
S3 4F97CB6DDF71A8F2; \??\C:\Users\ADMINI~1\AppData\Local\Temp\23B22339.sys [X]
S3 4F97CB7BF287B1F2; \??\C:\Users\ADMINI~1\AppData\Local\Temp\C52E41F.sys [X]
S3 4F97CB92CA87F9F2; \??\C:\Users\ADMINI~1\AppData\Local\Temp\106F5E40.sys [X]
S3 4F97CBF744960AD2; \??\C:\Users\ADMINI~1\AppData\Local\Temp\22F23553.sys [X]
S3 4F97ED30619C8C53; \??\C:\Users\ADMINI~1\AppData\Local\Temp\1098D5B7.sys [X]
C:\$Recycle.Bin\S-1-5-21-3429072821-1591228939-576740570-1000\$3d31b5996141b3ed18ba154606d14d87
C:\$Recycle.Bin\S-1-5-18\$3d31b5996141b3ed18ba154606d14d87
AlternateDataStreams: C:\ProgramData\TEMP:DF30C7A6
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.


WPS Office это ваше?

1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
2. Запустите файл TDSSKiller.exe.
3. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
4. В процессе проверки могут быть обнаружены объекты двух типов:
   • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
   • подозрительные (тип вредоносного воздействия точно установить невозможно).
5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
8. Самостоятельно без указания консультанта ничего не удаляйте!!!
9. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
10. Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.3.0.0.44_10.05.2015_13.39.01_log.txt