Показано с 1 по 20 из 20.

caMyciloP.exe; coneholdings.exe etc. [not-a-virus:AdWare.Win32.Amonetize.cblg ] (заявка № 195246)

  1. #1
    Junior Member Репутация
    Регистрация
    31.12.2015
    Сообщений
    9
    Вес репутации
    31

    Thumbs up caMyciloP.exe; coneholdings.exe etc. [not-a-virus:AdWare.Win32.Amonetize.cblg ]

    Добрый вечер.
    Юное поколение поймало на машину всякой дряни по паре: snapdo, webalta, еще что-то.
    Несколько раз прогнала в безопасном режиме CureIT, AVZ, Malwarebytes и AdwCleaner. Отрапортовали, что всё чисто, но при обычной загрузке в процессах висят указанные в заголовке экзешники. Повторила процесс с тем же результатом: в сейфмоде зараженные файлы/папки удаляются, при загрузке в обычном режиме - по-прежнему на своих местах.

    P.S.
    С наступающим НГ...
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,285
    Вес репутации
    377
    Уважаемый(ая) VitaKapella, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.


    Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.

  5. #4
    Junior Member Репутация
    Регистрация
    31.12.2015
    Сообщений
    9
    Вес репутации
    31
    Ссылка.
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Выполните скрипт в uVS и пришлите карантин

    Код:
    ;uVS v3.86.8 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    BREG
    delref %SystemDrive%\TEMP\1.EXE
    zoo %SystemDrive%\USERS\МИХАЛЫЧ\APPDATA\LOCAL\CONEHOLDINGS.EXE
    bl EF930344CC20C4C5164D06F6E21F56C4 66048
    delall %SystemDrive%\USERS\МИХАЛЫЧ\APPDATA\LOCAL\CONEHOLDINGS.EXE
    delall %SystemDrive%\USERS\МИХАЛЫЧ\APPDATA\LOCAL\TIMETASKS\TIMETASKS.EXE
    delall HTTP://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?P=MKO_AWFZXIPYRYEQQAO2TXTGPTBOXPBNEFYXTYM6MATBQ1EV82UMCTHOLRFQCJGRFFJTRAFRH9RJECIYO7VENNSDM9DYBGHAMYBSKJBDN07MA1V2QIM1KGEHVMBYRK4H2OVJLM8WGFTGZSPEASK7QI7LU4UBIZCELFI2AWOK_BTAMFTVNRLXMWFYMSOG
    delall HTTP://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?P=MKO_AWFZXIPYRYEQQAO2TXTGPTBOXPBNEFYXTYM6MATBQ1EV82UMCTHOLRFQCJGRFFJTRAFRH9RJECIYO7VENNSDM9DYBGHAMYBSKJBDN07MA1KKKQF3SO4Z1KR2QKH2TQRRBC4REO6PHA4W1GSPIIKTTAJFFI4OK7-ZQRCGEZG_0SYC1N9HPHBNOM5F&Q=
    dirzooex %SystemDrive%\PROGRAM FILES (X86)\ADOBE UPDATE
    dirzooex %SystemDrive%\PROGRAM FILES\CMDIDX
    dirzooex %SystemDrive%\PROGRAMDATA\CAMYCILOP
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL
    delall %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\IOBITUNINSTALER.EXE
    delall %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\UNINSTALLMENURIGHT64.DLL
    delall %SystemDrive%\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE 8\ASC.EXE
    czoo
    restart
    сделайте новый образ автозапуск.

  7. #6
    Junior Member Репутация
    Регистрация
    31.12.2015
    Сообщений
    9
    Вес репутации
    31
    В менеджере вложений отсутствует возможность удалять ранее загруженные файлы.
    Не могу загрузить новый образ автозапуска, потому что кончилось допустимое место...

  8. #7

  9. #8
    Junior Member Репутация
    Регистрация
    31.12.2015
    Сообщений
    9
    Вес репутации
    31

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Выполните скрипт в uVS
    Код:
    ;uVS v3.86.8 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    BREG
    zoo %SystemDrive%\PROGRAM FILES (X86)\ADOBE UPDATE\KEEPUP_SVC.EXE
    bl 0B803F577D86B185447FED760DA4CF7A 19456
    delall %SystemDrive%\PROGRAM FILES (X86)\ADOBE UPDATE\KEEPUP_SVC.EXE
    zoo %SystemDrive%\PROGRAM FILES (X86)\ADOBE UPDATE\SETUP.EXE
    bl 793C31CB5A1B80E2C7152695FD80DCC2 852480
    delall %SystemDrive%\PROGRAM FILES (X86)\ADOBE UPDATE\SETUP.EXE
    delall %SystemDrive%\PROGRAMDATA\\CAMYCILOP\CAMYCILOP.EXE
    delall %SystemDrive%\PROGRAMDATA\\CAMYCILOP\\CAMYCILOP.EXE
    zoo %SystemDrive%\PROGRAMDATA\CAMYCILOP\CAMYCILOP.EXE
    bl A000E70244D468A7EC0BEA3C24696CF0 534016
    delall %SystemDrive%\PROGRAMDATA\CAMYCILOP\CAMYCILOP.EXE
    czoo
    restart
    сделайте свежий образ.

    Заодно о проблеме отпишитесь.

  11. #10
    Junior Member Репутация
    Регистрация
    31.12.2015
    Сообщений
    9
    Вес репутации
    31
    Образ

    Реклама из всех щелей лезть перестала.
    Процессы/их файлы живы-здоровы, висят и не удаляются. Прогнала ещё раз AdwCleaner'ом - безрезультатно. Говорит, что вычистил, но после перезагрузки - как живые.

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от VitaKapella Посмотреть сообщение
    Прогнала ещё раз AdwCleaner'ом - безрезультатно. Говорит, что вычистил, но после перезагрузки - как живые.
    вы бы лог прикрепили

    - - - - -Добавлено - - - - -

    + выполните скрипт и пришлите карантин
    Код:
    ;uVS v3.86.8 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    BREG
    delall %SystemDrive%\PROGRAMDATA\CAMYCILOPS\FF.HP
    delall %SystemDrive%\PROGRAMDATA\CAMYCILOPS\FF.NT
    delall %SystemDrive%\PROGRAMDATA\\CAMYCILOP\CAMYCILOP.EXE
    delall %SystemDrive%\PROGRAMDATA\\CAMYCILOP\\CAMYCILOP.EXE
    zoo %SystemDrive%\PROGRAMDATA\CAMYCILOP\CAMYCILOP.EXE
    bl E067B8D54AFE69BB13C6F1C46E62BEC5 508416
    delall %SystemDrive%\PROGRAMDATA\CAMYCILOP\CAMYCILOP.EXE
    dirzooex %SystemDrive%\PROGRAM FILES\CMDIDX
    zoo %SystemDrive%\PROGRAM FILES\CMDIDX\CMDIDX.EXE
    bl 192D5F8E9AFEC1C0BDAC0306469E600D 383488
    delall %SystemDrive%\PROGRAM FILES\CMDIDX\CMDIDX.EXE
    delall HTTP://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?P=MKO_AWFZXIPYRYEQQAO2TXTGPTBOXPBNEFYXTYM6MATBQ1EV82UMCTHOLRFQCJGRFFJTRAFRH9RJECIYO7VENNSDM9DYBGHAMYBSKJBDN07MA1V2QIM1KGEHVMBYRK4H2OYQJLTXGAVNYRS51J7SCWLGITNNWJEIF1_FDJDKKJUNBVBBB5D2FHF2RAPH
    delall HTTP://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?P=MKO_AWFZXIPYRYEQQAO2TXTGPTBOXPBNEFYXTYM6MATBQ1EV82UMCTHOLRFQCJGRFFJTRAFRH9RJECIYO7VENNSDM9DYBGHAMYBSKJBDN07MA1KKKQF3SO4Z1KR2QKH2TQE9LH4MULO25NFTSRTKXX_WAR4QK25CAQJHTFXKEQEYKPKWR4EWEOGEGRIL&Q=
    delref %SystemDrive%\TEMP\1.EXE
    czoo
    restart

  13. #12
    Junior Member Репутация
    Регистрация
    31.12.2015
    Сообщений
    9
    Вес репутации
    31
    AdwCleaner log

    Карантин отправила.

    В процессах всё чисто, подозрительных нет.

  14. #13

  15. #14
    Junior Member Репутация
    Регистрация
    31.12.2015
    Сообщений
    9
    Вес репутации
    31
    Log

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    • Пожалуйста, запустите adwcleaner.exe
    • Нажмите Uninstall (Деинсталлировать).
    • Подтвердите удаление нажав кнопку: Да.


    Проблема решена?

  17. #16
    Junior Member Репутация
    Регистрация
    31.12.2015
    Сообщений
    9
    Вес репутации
    31
    Кажется, да. Спасибо.

    - - - - -Добавлено - - - - -

    Нет, в стиме при нажатии куда либо во встроенном браузере вылезает реклама.

    hijackthis.log
    virusinfo_syscheck.zip

    upd2.
    Ага, Malwarebytes перехватила кучу исходящих обращений от steamwebhelper.exe.

    Безымянный.jpg
    Последний раз редактировалось VitaKapella; 02.01.2016 в 18:11.

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от VitaKapella Посмотреть сообщение
    Ага, Malwarebytes перехватила кучу исходящих обращений
    MBAM постоянно так ругается в том числе и на легальные соединения. Так что это ни о чём не говорит.

    - Сделайте лог полного сканирования MBAM.

    + - Сделайте аппаратный сброс настроек роутера на заводские, введите правильные настройки, смените пароль на роутере.
    - Очистите кеш и куки браузеров

    Проверяйте работу в Интернете

  19. #18
    Junior Member Репутация
    Регистрация
    31.12.2015
    Сообщений
    9
    Вес репутации
    31
    Я привела скрин. Судя по сайтам в логах это вряд ли легальные соединения.
    Более того, такое происходит только из под одного конкретного аккаунта. Зашла в стиме под другим - нет рекламы, нет исходящих обращений, MBAM молчит.

    Сделаю, логи прикреплю позднее.

    - - - - -Добавлено - - - - -

    Проблема решена, спасибо.
    Лог девственно чистый, поэтому не привожу.

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    MBAM деинсталируйте.

    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    Советы и рекомендации после лечения компьютера

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 19
    • В ходе лечения обнаружены вредоносные программы:
      1. \camycilop.exe._fee8eabdccca86c0213d200dee74d68586 9dab44 - Trojan-Dropper.Win32.Agent.sbfz ( BitDefender: Gen:Trojan.Heur.JP.GuW@auWUQlp )
      2. \cmdidx.exe._291e46ff5d26a9b09d2439ad8815055c7abc0 516 - not-a-virus:AdWare.Win32.Amonetize.cblg
      3. \keepup_svc.exe._dcaa5b980ebbe1248f2cabd383736f5c5 d7d79c6 - Trojan.MSIL.Agent.foar


  • Уважаемый(ая) VitaKapella, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Карантин 9ED1BCB05B9EAB77E7D5A9D9C6AEC367 [Trojan.MSIL.Agent.foar, Trojan-Dropper.Win32.Agent.sbfz ]
      От CyberHelper в разделе VirusDetector - Бесплатный онлайн-сервис проверки компьютера
      Ответов: 2
      Последнее сообщение: 08.01.2016, 20:08
    2. Ответов: 13
      Последнее сообщение: 10.12.2015, 22:11
    3. Карантин 7139AA5E5B249D0EBB5DA7834EF0BDD1 [Trojan.BAT.StartPage.nu, not-a-virus:AdWare.Win32.CrossRider.fbv]
      От CyberHelper в разделе VirusDetector - Бесплатный онлайн-сервис проверки компьютера
      Ответов: 2
      Последнее сообщение: 17.10.2015, 08:30
    4. Карантин B57E87E6EE3C69D97F9A6DCACADD106D [not-a-virus:UDS:AdWare.Win32.Amonetize.bgos, not-a-virus:VHO:AdWare.Wi= n32.Amonetize.bdos]
      От CyberHelper в разделе VirusDetector - Бесплатный онлайн-сервис проверки компьютера
      Ответов: 2
      Последнее сообщение: 29.09.2015, 04:26
    5. Карантин 63FCB9C12BC884CCD5F64C9822EEF2AD [not-a-virus:AdWare.Win32.Amonetize.bcxm, not-a-virus:AdWare.Win32.Amon= etize.bemb]
      От CyberHelper в разделе VirusDetector - Бесплатный онлайн-сервис проверки компьютера
      Ответов: 2
      Последнее сообщение: 29.09.2015, 03:46

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01227 seconds with 20 queries