Как удалить троян Bicololo и его последствия?

Итак, всё по порядку.

Пару раз в одно и то же время суток обнаружил, что самопроизвольно открывается некая рекламная страница в браузере. Ясно, вирус. Запустил углублённое сканирование системы. В «Корзине» были найдены и удалены следующие вирусы:

BV:Bicololo-FP[Trj]
VBS:Bicololo-DY[Trj]
VBS:Bicololo-EE[Trj]
Win32:Bicololo-MG[Trj]

Далее включил предложенное сканирование при запуске, в процессе которого было удалено ещё несколько файлов из «Корзины», снова с указанием на те же вирусы. Впоследствии более ничего подобного не обнаруживалось, запускал сканирование ещё два-три раза. На всякий случай выполнил через командную строку

ipconfig /flushdns

(читал, что этот вирус портит записи DNS). И можно было подумать, что троян удалён.

Однако, сегодня днём открылось то же самое рекламное окошко.

Подскажите, кто в курсе, как довести решение проблемы до конца.

Extralinguist,здравствуйте! Добро пожаловать на форум!
подготовьте логи OTL и Malwarebytes anti-malware по инструкции: http://forum.avast.com/index.php?topic=100566.0 и прикрепите их в следующем сообщении.

Здравствуйте.

Была вынужденная пауза, но вопрос по-прежнему актуален. Проверка на вирусы ничего не выявляет, но окно открывается. Чередуется несколько разных рекламных окон с общим заголовком (тегом ) Sponsorship, обычно после полуночи, один раз в сутки.

Сделал всё, как сказали, прилагаю требуемые файлы. Заранее спасибо за помощь.

запустите снова программу OTL by OldTimer . В окно Custom Scans/Fixes скопируйте скрипт:

:OTL
IE:[b]64bit:[/b] - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtByCtB0DyDtB0ByE0E0CtDzyyCtCtN0D0Tzu0CtAtDtAtN1L2XzutBtFtBtFtDtFtAyEyE&cr=1551567787
IE - HKCU\..\SearchScopes,DefaultScope = {67A2568C-7A0A-4EED-AECC-B5405DE63B64}
O2 - BHO: (MyAshampoo Toolbar) - {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - C:\Program Files (x86)\MyAshampoo\tbMyAs.dll (Conduit Ltd.)
O2 - BHO: (SMTTB2009 Class) - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Program Files (x86)\Video Download DB Toolbar\tbcore3.dll ()
O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (MyAshampoo Toolbar) - {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - C:\Program Files (x86)\MyAshampoo\tbMyAs.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Reg Error: Value error.) - Locked - Reg Error: Value error. File not found
[2013.07.05 21:09:01 | 000,000,278 | ---- | M] () -- C:\Windows\tasks\DSite.job
@Alternate Data Stream - 146 bytes -> C:\ProgramData\Temp:AB689DEA
@Alternate Data Stream - 138 bytes -> C:\ProgramData\Temp:5D7E5A8F
@Alternate Data Stream - 132 bytes -> C:\ProgramData\Temp:4D066AD2
@Alternate Data Stream - 129 bytes -> C:\ProgramData\Temp:1D32EC29
@Alternate Data Stream - 125 bytes -> C:\ProgramData\Temp:E3C56885
@Alternate Data Stream - 124 bytes -> C:\ProgramData\Temp:E1F04E8D
@Alternate Data Stream - 122 bytes -> C:\ProgramData\Temp:ABE89FFE
@Alternate Data Stream - 121 bytes -> C:\ProgramData\Temp:0B9176C0
@Alternate Data Stream - 116 bytes -> C:\ProgramData\Temp:C31F31E6

:Commands
[purity]
[resethosts]
[emptytemp]
[CREATERESTOREPOINT]
[Reboot]
  • Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку “Run Fix”
  • Компьютер перезагрузится.
  • После перезагрузки откройте папку “C:_OTL\MovedFiles”, найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

ВНИМАНИЕ! данный скрипт написан только для этого пользователя,использование его на другом компьютере может привести к неработоспособности ОС!

После выполнения скрипта и перезагрузки скачайте утилиту Junkware Removal Tool: http://thisisudax.org/downloads/JRT.exe
Запустите программу от имени администратора. Обратите внимание, что перед началом работы необходимо закрыть браузер, Во время проверки он может временно скрыть рабочий стол, или показать окно проводника. Однако все эти действия являются нормальными в то время как Junkware Removal Tool работает на вашей системе, так что вам не придется беспокоиться о них. Когда программа завершит работу, будет произведен отчет, прикрепите его в следующем сообщении.

Скачайте утилиту Kaspersky tdsskiller: http://media.kaspersky.com/utilities/VirusUtilities/RU/tdsskiller.exe
Все, что будет найдено, пробуйте лечить, если лечение невозможно, то ничего не предпринимайте. Прикрепите отчет в следующем сообщении.

Спасибо.

Выполнил первый пункт.

Log-файл довольно большой, прикрепляю вложением.

Дальше ждать вашего заключения или есть смысл сразу выполнить следующие пункты?

Выполняйте все пункты последовательно, если иное не указано прямо.

Выполнил всё.

Прилагаю два оставшихся лога. TDSS Killer сначала запустил с настройками по умолчанию, потом настроил на проверку и загружаемых модулей тоже. Обе проверки не обнаружили никаких угроз.

После выполнения скрипта OTL, ночью, в то время, когда обычно активизировался вирус, никакой активности замечено не было. Тем не менее, выполнил полностью то, что вы порекомендовали. Надо ли полагать, что вирус добит?

В любом случае, что это было? В чём состоит угроза? Что делать, чтобы избежать заражения снова? Если нужна дополнительная информация для того, чтобы в дальнейшем этот вирус блокировался программой Avast с самого начала, я могу её предоставить, подняв по логам проверок Avast. В частности, имя зараженного файла и, возможно, сайт, с которого он был загружен (под видом инструкции к лекарственному средству).

Спасибо за помощь.

Думаю, что вирус побежден, в любом случае, если реклама снова будет появляться, сообщите об этом.
Чтобы избежать заражения, рекомендую не использовать не лицензионное ПО или программы загруженные из сомнительных источников. Также будьте внимательны при установке программ, которые предлагают в довесок нежелательные программы (панели инструментов и расширения для браузеров)
Прочитать о вирусе Bicololo можно на официальном блоге аваст: http://blog.avast.com/ru/2012/10/10/спам-одноклассников/
Было бы неплохо, если Вы сможете привести ссылку на загрузку вредоносного файла, я сообщу об этом вирусным аналитикам, чтобы другие пользователи были в безопасности.

Увы, пару часов назад узнал, что это не так :frowning: Снова злосчастное рекламное окно! Причём, что интересно, вчера в это время, после выполнения п. 1 вашей инструкции (OTL, Run Fix) - вирус в своё обычное время не проявился.

Однако, я обнаружил, что рекомендованная вами чистка, JRT.exe, удалила важную кнопку из дополнения Google Shortcuts в Firefox. Это кнопка задач Google, она выполняла открытие вот этой гугловской страницы (будет видна вам, если у вас есть аккаунт на Гугле, после авторизации там):
https://mail.google.com/tasks/canvas?pli=1

Сама панель взята из вроде бы надёжного источника, вот она:
https://addons.mozilla.org/ru/firefox/addon/google-shortcuts-all-google-se/?src=ss

Когда я после всех чисток запустил браузер, то обнаружил, что кнопка удалена вообще из состава панели (не только из моего набора, но из списка доступных кнопок в приложении). Тогда я прописал эту ссылку вручную, создав пользовательскую кнопку (там есть такая возможность) и прикрутив к ней указанный URL.

Может ли быть в этом дело? Или какая-то другая причина, и вирус не был удалён первоначально?.. Однако, странно, что на рабочем компе, где тоже установлена данная панель кнопок, и тоже используется аналогичная встроенная кнопка, рекламное окошко не появлялось ни разу.

Посоветуйте, пожалуйста, с какого этапа мне повторить процедуру очистки.

Не думаю, что проблема в этом расширении, это всего лишь ошибка JRT :slight_smile:

Скачайте ComboFix :
Ссылка 1
Ссылка 2

ОЧЕНЬ ВАЖНО !!! Сохраните ComboFix.exe на Рабочий стол

  • ВАЖНО - Отключите антивирус и антишпионское ПО, обычно это можно сделать, нажав правой кнопкой мыши по значку в системном трее. Они могут мешать работе программы. Если у Вас возникли трудности по поводу правильного отключения защитных программ см. здесь

[*]Дважды щелкните по иконке программы ComboFix.exe и следуйте инструкциям на экране.
[*]Примите соглашение и согласитесь на обновление, если программа попросит об этом

http://img.photobucket.com/albums/v706/ried7/NSIS_disclaimer_ENG.png

http://img.photobucket.com/albums/v706/ried7/NSIS_extraction.png

[*]После окончания, будет произведен отчет.
[*]Пожалуйста, прикрепите C:\ComboFix.txt в следующем сообщении.

Примечания:

  1. Не щелкайте мышью по окну Combofix, во время работы. Это может привести к зависанию.
  2. Не делайте повторные сканирования с помощью Combofix. Если у Вас возникли проблемы, сообщите об этом для получения дальнейших инструкций.
  3. Если после перезагрузки Вы получите ошибки о программах, помеченных для удаления, перезагрузите компьютер для их лечения

Пожалуйста не забудьте прикрепить отчет работы ComboFix в следующем сообщении, также сообщите, проявляется ли проблема.

Увы, лечение пока не помогает.

В тот же день, как получил вашу инструкцию, выполнил её - в воскресенье днём. Ждал, проявится ли вирус. В тот же день не проявился (может, потому, что я не перезагружал компьютер до того времени, когда обычно срабатывает вирус), но я решил выждать ещё сутки. И, к сожалению, не зря: сегодня ночью, сразу после 01:00 - злополучное окно тут как тут.

Адреса этих страниц каждый раз разные, даже тег , как выяснилось, совпадает не всегда. Но в большинстве случаев в них присутствует некий общий код. На всякий случай прилагаю в текстовом файле несколько адресов, может, пригодятся для анализа. У меня Аваст на них не ругается. Но возможно, молчание Аваста объясняется вирусом.

Прилагаю также требуемый лог ComboFix. Заранее спасибо за помощь.

Extralinguist, каким браузером Вы пользуетесь? Мне кажется, что рекламу выдает одно из установленных вами дополнений для браузера.
Если Вы используете браузер Firefox, то нажмите справка-> перезапустить с отключенными дополнениями и последите, будет ли с отключенными дополнениями появляться реклама.

Пользуюсь Файрфоксом, однако, боюсь, дело не в дополнениях. Последние два раза (предпоследний - совершенно точно) браузер вообще не был запущен. В час ночи он запустился самопроизвольно, без моего участия, а затем в нём открылось рекламное окно.

Некоторые дополнения, такие как Элементы и Визуальные закладки от Яндекса, панель Гугл - установлены и на других компьютерах. Никаких окон не открывается.

Extralinguist, я знаю, как вылечить Ваш ПК, но для этого мне нужен новый лог программы OTL.

Пришёл домой, включил компьютер. Рекламное окно открылось снова, второй раз за сутки.

Новый лог OTL прилагаю (как я понял, это первая из двух инструкций по OTL). Заранее спасибо.

запустите снова программу OTL by OldTimer . В окно Custom Scans/Fixes скопируйте скрипт:

:OTL
O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

:Files
C:\Users\Mih\AppData\Roaming\DSite
c:\windows\system32\DRIVERS\eamonm.sys

:Commands
[purity]
[resethosts]
[emptytemp]
[CREATERESTOREPOINT]
[Reboot]
  • Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку “Run Fix”
  • Компьютер перезагрузится.
  • После перезагрузки откройте папку “C:_OTL\MovedFiles”, найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

ВНИМАНИЕ! данный скрипт написан только для этого пользователя,использование его на другом компьютере может привести к неработоспособности ОС!

Настройки OTL строго те же, что в самой первой инструкции?

нет, при выполнении скрипта выставлять настройки уже не нужно.

Итак, вот результат выполнения скрипта:

All processes killed
========== OTL ==========
========== FILES ==========
C:\Users\Mih\AppData\Roaming\DSite\UpdateProc folder moved successfully.
C:\Users\Mih\AppData\Roaming\DSite folder moved successfully.
File\Folder c:\windows\system32\DRIVERS\eamonm.sys not found.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Mih
->Temp folder emptied: 40242049 bytes
->Temporary Internet Files folder emptied: 143878 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 115696670 bytes
->Google Chrome cache emptied: 17122731 bytes
->Apple Safari cache emptied: 0 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 1076 bytes

User: Public
->Temp folder emptied: 0 bytes

User: Все пользователи

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 6422 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 165,00 mb

Restore point Set: OTL Restore Point

OTL by OldTimer - Version 3.2.69.0 log created on 07092013_211640

Files\Folders moved on Reboot…
C:\Users\Mih\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Users\Mih\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat moved successfully.
File move failed. C:\Windows\temp_avast_\Webshlock.txt scheduled to be moved on reboot.

PendingFileRenameOperations files…

Registry entries deleted on Reboot…

====
Честно говоря, настораживает строка:
File\Folder c:\windows\system32\DRIVERS\eamonm.sys not found.

не стоит так беспокоиться по этому поводу, на всякий случай проверьте: в папке c:\windows\SYSNATIVE\DRIVERS\ есть файл eamonm.sys? До этого у Вас был установлен ESET Nod 32?