Периодически создаются папки: C:\Program Files (x86)\{B0DEC2FE-4DA0-4637-94F5-B7F11341676E}\_ALLOWDEL_1db47 [HEUR:Trojan.Win32.Generic ]

**barmer** · 20.01.2017, 22:02

Периодически создаются папки: C:\Program Files (x86)\{B0DEC2FE-4DA0-4637-94F5-B7F11341676E}\_ALLOWDEL_1db47
Касперский обнаруживает вредоносную программу "Trojan.win32.StartServ.xnp" жалуясь на файл в этой папке ClearLog.dll
Лечит с перезагрузкой. Через некоторое время всё повторяется.

Вместе с этим наблюдаю появление файлов в папке:
C:\Program Files\l5x4tf1s\{DE244DA7-D9A5-445A-9824-E24AD76CFF91}0dg04fll.olq

Внешне уже нет проявлений кроме переодического появления колеса загрузки возле курсора и возмущений "касперского".

Сканер DRWEB ничего не находит.

Файл сканирования AutoLogger я прикрепил.

Спасибо за помощь.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 20.01.2017, 22:03

Уважаемый(ая) barmer, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 21.01.2017, 17:00

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files (x86)\Common Files\Services\iThemes.dll','');
 QuarantineFile('C:\ProgramData\wintools\WintoolUprI.exe','');
 QuarantineFile('C:\Users\Дмитрий\AppData\Roaming\SafeWeb\updater.py','');
 QuarantineFile('http:\api.mhttxtv.com\crucialxct128m550ssd1_14180c1c3af30c1c3af3.exe','');
 QuarantineFile('C:\ProgramData\vCore\VCore.exe','');
 QuarantineFile('C:\Program Files (x86)\UCBrowser\Application\update_task.exe','');
 QuarantineFile('C:\Program Files (x86)\Grduseqverther System\local64spl.dll','');
 QuarantineFile('C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe','');
 QuarantineFile('C:\Users\Дмитрий\AppData\Roaming\SafeWeb\ml.py','');
 DeleteService('Hotfresh');
 DeleteService('gexejeke');
 QuarantineFile('C:\ProgramData\Hotfresh\Hotfresh.exe','');
 QuarantineFile('C:\Program Files (x86)\d45ebef0-0e6e-4b98-92ce-e2f42fc17e671483909700\knsd45ebef0-0e6e-4b98-92ce-e2f42fc17e67.tmpfs','');
 QuarantineFile('c:\programdata\winsapsvc\winsap.dll','');
 QuarantineFile('C:\Program Files\l5x4tf1s\{DE244DA7-D9A5-445A-9824-E24AD76CFF91}\0dg04fll.olq','');
 DeleteFile('C:\Program Files\l5x4tf1s\{DE244DA7-D9A5-445A-9824-E24AD76CFF91}\0dg04fll.olq','32');
 DeleteFile('c:\programdata\winsapsvc\winsap.dll','32');
 DeleteFile('C:\Program Files (x86)\d45ebef0-0e6e-4b98-92ce-e2f42fc17e671483909700\knsd45ebef0-0e6e-4b98-92ce-e2f42fc17e67.tmpfs','32');
 DeleteFile('C:\ProgramData\Hotfresh\Hotfresh.exe','32');
 DeleteFile('C:\Users\Дмитрий\AppData\Roaming\SafeWeb\ml.py','32');
 DeleteFile('C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','svchost0');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SafeWeb');
 DeleteFile('C:\Program Files (x86)\Grduseqverther System\local64spl.dll','32');
 DeleteFile('C:\Windows\Tasks\UCBrowserUpdater.job','32');
 DeleteFile('C:\Windows\Tasks\UCBrowserUpdaterCore.job','32');
 DeleteFile('C:\Program Files (x86)\UCBrowser\Application\update_task.exe','32');
 DeleteFile('C:\Windows\Tasks\Update Service for Youtube AdBlock.job','32');
 DeleteFile('C:\Windows\Tasks\Update Service for Youtube AdBlock2.job','32');
 DeleteFile('C:\ProgramData\vCore\VCore.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Media Center\VCore','64');
 DeleteFile('C:\Windows\system32\Tasks\Milimili','64');
 DeleteFile('http:\api.mhttxtv.com\crucialxct128m550ssd1_14180c1c3af30c1c3af3.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\SafeWeb','64');
 DeleteFile('C:\Windows\system32\Tasks\SafeWeb2','64');
 DeleteFile('C:\Users\Дмитрий\AppData\Roaming\SafeWeb\updater.py','32');
 DeleteFile('C:\Windows\system32\Tasks\SecureUpdater','64');
 DeleteFile('C:\Windows\system32\Tasks\UCBrowserUpdater','64');
 DeleteFile('C:\Windows\system32\Tasks\UCBrowserUpdaterCore','64');
 DeleteFile('C:\Windows\system32\Tasks\Update Service for Youtube AdBlock','64');
 DeleteFile('C:\Windows\system32\Tasks\Update Service for Youtube AdBlock2','64');
 DeleteFile('C:\Windows\system32\Tasks\WinTOOL','64');
 DeleteFile('C:\ProgramData\wintools\WintoolUprI.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

**barmer** · 21.01.2017, 17:45

Здравствуйте!

Оба скрипта выполнил.

Quarantine.zip загрузил по ссылке.

Провел повторное сканирование, логи прикрепил к сообщению.

**thyrex** · 22.01.2017, 07:18

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

**barmer** · 22.01.2017, 15:28

Результат сканирования во вложении.
Спасибо!

**thyrex** · 24.01.2017, 21:27

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
HKLM\...\Providers\l5x4tf1s: C:\Program Files (x86)\Grduseqverther System\local64spl.dll
AppInit_DLLs: C:\ProgramData\Hotfresh\Opestring.dll => No File
AppInit_DLLs-x32: C:\ProgramData\Hotfresh\Apjob.dll => No File
ShellExecuteHooks: No Name - {8356EE00-CC37-11E6-ACF6-64006A5CFC23} - C:\Users\Дмитрий\AppData\Roaming\Plerzak\Phumaty.dll -> No File
GroupPolicy: Restriction - Chrome <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\S-1-5-21-1429776693-408959770-2126651584-1002\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxlVOCDRhYvqM9u4uYMX4gTdUTciNH8zHQpSeAC7mPSQRDQAQsJW7XPQz3ycbORAMsMnYcvooLTw6UCxtr2ZLsIn84nnVCHE-Aq6HcSEi1WiSqJ4w0--adjIgO5SOl4M_A7uZncioQjuzpQ61ORBB7KBU4pKMASabDOIrYBWTOQ,,&q={searchTerms}
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxlVOCDRhYvqM9u4uYMX4gTdUTciNH8zHQpSeAC7mPSQRDQAQsJW7XPQz3ycbORAMsMnYcvooLTw6UCxtr2ZLsIn84nnVCHE-Aq6HcSEi1WiSqJ4w0--adjIgO5SOl4M_A7uZncioQjuzpQ61ORBB7KBU4pKMASabDOIrYBWTOQ,,&q={searchTerms}
CHR Extension: (SafeWeb) - C:\Users\Дмитрий\AppData\Local\Google\Chrome\User Data\Default\Extensions\obiloekfjckpojghcgmhapimfmcjmbgi [2017-01-09]
CHR HKLM\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKU\S-1-5-21-1429776693-408959770-2126651584-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
S2 Chkerenttimuty; C:\Windows\system32\svchost.exe [43944 2015-10-30] (Microsoft Corporation)
S2 Chkerenttimuty; C:\Windows\SysWOW64\svchost.exe [37256 2015-10-30] (Microsoft Corporation)
S2 GubedZL; C:\Windows\SysWOW64\svchost.exe [37256 2015-10-30] (Microsoft Corporation)
2017-01-20 19:43 - 2017-01-20 23:44 - 00000000 ____D C:\Program Files (x86)\Gubed
2017-01-19 20:30 - 2017-01-21 20:24 - 00000000 ____D C:\Users\Все пользователи\wintools
2017-01-19 20:30 - 2017-01-21 20:24 - 00000000 ____D C:\ProgramData\wintools
2017-01-19 20:23 - 2017-01-21 20:25 - 00000000 ____D C:\Users\Все пользователи\WinSAPSvc
2017-01-19 20:23 - 2017-01-21 20:25 - 00000000 ____D C:\ProgramData\WinSAPSvc
2017-01-09 03:08 - 2017-01-09 03:08 - 00000000 ____D C:\Users\Дмитрий\AppData\Roaming\gplyra
2017-01-09 02:52 - 2017-01-09 02:52 - 00002402 _____ C:\Windows\SysWOW64\findit.xml
2017-01-09 02:51 - 2017-01-09 03:07 - 00000000 ____D C:\Users\Дмитрий\AppData\Roaming\SafeWeb
Task: {0E91436A-8A3A-42DB-AEDE-551FB492A582} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {17342905-3E6D-48F3-87FF-A3A5598D6A9A} - \SafeWeb -> No File <==== ATTENTION
Task: {1FCE92EA-67C8-4609-96C0-16143C90F5CF} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {245EE778-B6DB-4E71-B409-F1794FD13FBA} - \SecureUpdater -> No File <==== ATTENTION
Task: {4D946547-CA39-41A2-928A-FF2CE27D6646} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {527FFA46-E153-4EA3-A2E6-FE068989D34E} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {5411C62C-3DB9-4C13-BB05-F82C414A6F59} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {62B80165-DBFE-4D1F-BA4B-659E68FEF49A} - \KMSAutoNet -> No File <==== ATTENTION
Task: {674EC8EE-13F7-4407-8DC1-DB846155FC2D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {6C3875D6-4A96-4646-9E2A-C4F74429AFAD} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION
Task: {8D330768-A1BB-41DC-9637-031992D4E168} - \Milimili -> No File <==== ATTENTION
Task: {9A5DC67D-4646-4F88-A65F-2D5BC4F780EA} - \WinTOOL -> No File <==== ATTENTION
Task: {A0D36EC5-6142-469E-9DBB-D774FEA4F8EC} - \Microsoft\Windows\Media Center\VCore -> No File <==== ATTENTION
Task: {A53D0205-E636-4288-959C-4EFBD72EC37B} - \Microsoft\Windows\Multimedia\Manager -> No File <==== ATTENTION
Task: {B0AD63EB-2391-413B-87E0-01A6AD3D2460} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {B86206C5-5D27-4F0F-A852-ADF93EBED974} - \SafeWeb2 -> No File <==== ATTENTION
Task: {DB239AEE-DBEE-424A-A4A9-E8521179D458} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {DC6B56C3-07B4-4A90-B296-9C1E1B8D71CC} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
Task: {EB71DCA5-D0D2-44E4-8C01-BAB5916AA6E6} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {F37145C9-4C9F-4B05-B58E-D20A6FB97E08} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {FDAB15BE-2D77-4F1F-9361-AAE112757C83} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> No File <==== ATTENTION
AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x64.sys [80850]
AlternateDataStreams: C:\Windows\system32\drivers:x64 [364744]
AlternateDataStreams: C:\Windows\system32\drivers:x86 [1176354]
FirewallRules: [{3D32A025-F101-49F6-AAA2-6E61E318C625}] => C:\Program Files\UBar\ubar.exe
FirewallRules: [{DE3ACBD6-F2CF-43EA-8BF1-6212BEEBF679}] => C:\Users\Дмитрий\AppData\Local\Amigo\Application\amigo.exe
FirewallRules: [{90ABF05B-DFFF-4100-A799-20546AD05839}] => C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
FirewallRules: [{C3542E50-1C7B-4B24-ACB5-0822B9F2B6B2}] => C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание, что будет выполнена перезагрузка компьютера.

**barmer** · 25.01.2017, 17:14

Выполнил указанные действия.
Fixlog.txt прикрепил.

**thyrex** · 25.01.2017, 21:18

Что с проблемой?

**barmer** · 25.01.2017, 21:24

Внешне проблемы не наблюдаю.
Касперский молчит.
Папки с файлами не создаются.

Спасибо!

ps.
Ещё надо предпринимать какие либо меры?

Как впредь себя обезопасить от такой заразы?

**CyberHelper** · 25.01.2017, 21:34

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 4
В ходе лечения обнаружены вредоносные программы:
1. c:\program files (x86)\common files\services\ithemes.dll - not-a-virus:HEUR:AdWare.Win32.ELEX.heur
2. c:\program files (x86)\grduseqverther system\local64spl.dll - UDS:DangerousObject.Multi.Generic
3. c:\programdata\winsapsvc\winsap.dll - not-a-virus:AdWare.Win32.Agent.xxdejx

Периодически создаются папки: C:\Program Files (x86)\{B0DEC2FE-4DA0-4637-94F5-B7F11341676E}\_ALLOWDEL_1db47 [HEUR:Trojan.Win32.Generic ] (заявка № 208360)

Опции темы