Самопроизвольное открытие браузера [not-a-virus:AdWare.Win32.Agent.xxdhrx, Trojan.Win32.SelfDel.fmcx ]

Printable View

12.06.2017, 21:52
Mister Simply

Вложений: 1

Самопроизвольное открытие браузера [not-a-virus:AdWare.Win32.Agent.xxdhrx, Trojan.Win32.SelfDel.fmcx ]

Доброго времени суток

ОС - Windows 10 Pro
Анивирус - защитник Windows

При загрузке и во время работы Microsoft Edge самопроизвольно запускается и открывает 12kotov.ru и другие сайты

Файл журнала прилагаю
12.06.2017, 21:55
Info_bot

Уважаемый(ая) [B]Mister Simply[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
13.06.2017, 13:29
thyrex

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Dmitry\appdata\locallow\searchgo\searchgo.dll','');
QuarantineFile('C:\Users\Dmitry\AppData\Local\SearchGo\searchgo.exe','');
QuarantineFile('C:\Users\Dmitry\AppData\Roaming\SETUPS~1\ml.py','');
QuarantineFile('C:\Users\Dmitry\AppData\Roaming\setupsk\ml.py','');
QuarantineFile('C:\Users\Dmitry\AppData\Local\FreeU\Application\freeu.exe','');
SetServiceStart('netfilter2', 4);
DeleteService('netfilter2');
SetServiceStart('SvcHost Service Host', 4);
DeleteService('SvcHost Service Host');
QuarantineFile('C:\Users\Dmitry\AppData\Local\packagest\packagest.exe','');
TerminateProcessByName('c:\windows\microsoft\svchost.exe');
QuarantineFile('c:\windows\microsoft\svchost.exe','');
DeleteFile('c:\windows\microsoft\svchost.exe','32');
DeleteFile('C:\WINDOWS\system32\drivers\packagest.sys','32');
DeleteFile('C:\Users\Dmitry\AppData\Local\FreeU\Application\freeu.exe','32');
DeleteFile('C:\Users\Dmitry\AppData\Roaming\setupsk\ml.py','32');
DeleteFile('C:\Users\Dmitry\AppData\Roaming\SETUPS~1\ml.py','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','setupsk_upd');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','setupsk');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','tsuomauogw');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','freeu');
DeleteFile('C:\Users\Dmitry\AppData\Local\packagest\packagest.exe','32');
DeleteFile('C:\Users\Dmitry\AppData\Local\SearchGo\searchgo.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\setupsk_upd','64');
DeleteFile('C:\WINDOWS\system32\Tasks\setupsk','64');
DeleteFile('C:\WINDOWS\system32\Tasks\SearchGo Task','64');
DeleteFile('C:\WINDOWS\system32\Tasks\packagest','64');
DeleteFile('C:\Users\Dmitry\appdata\locallow\searchgo\searchgo.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] темы.

[B][COLOR="Red"]Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger[/COLOR][/B]
13.06.2017, 18:58
Mister Simply

Вложений: 1

Скрипты выполнил, файлы с карантином и логом прилагаю
13.06.2017, 19:27
thyrex

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.
13.06.2017, 19:39
Mister Simply

Вложений: 1

Инструкции выполнил, архив с логами прилагаю
15.06.2017, 13:21
Mister Simply

После выполнения скриптов и формирования логов количество самопроизвольных открытий Microsoft Edge значительно уменьшилось, но не исчезло полностью
17.06.2017, 08:38
thyrex

Ace Stream Media 3.0.1 удалите через Установку программ.

1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
AppInit_DLLs: C:\Windows\system32\nvinitx.dll => No File
AppInit_DLLs: ,C:\WINDOWS\system32\nvinitx.dll => No File
ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File
ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => -> No File
ShellIconOverlayIdentifiers: [TortoiseOverlay] -> {CBF88FC2-F150-4F29-BC80-CE30EFD1B62C} => C:\Users\Dmitry\AppData\Roaming\Subversion\TortoiseSVN.dll [2017-06-07] ()
SearchScopes: HKLM-x32 -> DefaultScope {BB82DE59-BC4C-4172-9AC4-73315F71CFFE} URL = hxxp://websearch.searchtotal.info/?l=1&q={searchTerms}&pid=714&r=2015/06/01&hid=1158207862373668321&lg=EN&cc=UA&unqvl=88
SearchScopes: HKLM-x32 -> {BB82DE59-BC4C-4172-9AC4-73315F71CFFE} URL = hxxp://websearch.searchtotal.info/?l=1&q={searchTerms}&pid=714&r=2015/06/01&hid=1158207862373668321&lg=EN&cc=UA&unqvl=88
SearchScopes: HKU\S-1-5-21-2538799498-2361975936-4181149169-1000 -> {71DD77C7-0188-407D-9CC1-1025ABF4942E} URL = hxxp://rusearcher.com/search.php?us=searcher&pcid=3A776249-0782-42EA-BBD9-08285F42F9BC&pid=12&query={searchTerms}
SearchScopes: HKU\S-1-5-21-2538799498-2361975936-4181149169-1000 -> {BB82DE59-BC4C-4172-9AC4-73315F71CFFE} URL = hxxp://websearch.searchtotal.info/?l=1&q={searchTerms}&pid=714&r=2015/06/01&hid=1158207862373668321&lg=EN&cc=UA&unqvl=88
Toolbar: HKU\S-1-5-21-2538799498-2361975936-4181149169-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - No File
FF DefaultSearchEngine,S: Mozilla\Firefox\Profiles\xzygxhqc.default-1418425715375 -> WebSearch
FF SearchEngineOrder.1: Mozilla\Firefox\Profiles\xzygxhqc.default-1418425715375 -> WebSearch
FF SearchEngineOrder.1,S: Mozilla\Firefox\Profiles\xzygxhqc.default-1418425715375 -> WebSearch
FF SelectedSearchEngine,S: Mozilla\Firefox\Profiles\xzygxhqc.default-1418425715375 -> WebSearch
CHR Extension: (ProiuceMinuS) - C:\ProgramData\kgljdmnnkgaoflpicmgnfmkoclfinmpd\ []
CHR HKU\S-1-5-21-2538799498-2361975936-4181149169-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mbckjcfnjmoiinpgddefodcighgikkgn] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2538799498-2361975936-4181149169-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bgknpfancpeamejmcooedljjnaddldhg] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gndaciceccgapjhpniecknjlmmlanaem] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lanabbpahpjnaljebnpgkjemcbkepiak] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Users\Dmitry\AppData\Local\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pganlglbhgfjfgopijbhemcpbehjnpia] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pnooffjhclkocplopffdbcdghmiffhji] - hxxps://clients2.google.com/service/update2/crx
OPR Extension: (AS Magic Player) - C:\Users\Dmitry\AppData\Roaming\Opera Software\Opera Stable\Extensions\mfhnkgpdlogbknkhlgdjlejeljbhflim [2015-05-28]
2017-06-07 19:15 - 2017-06-13 18:22 - 00000000 ____D C:\Users\Dmitry\AppData\Local\packagest
2017-06-07 19:15 - 2017-06-07 19:15 - 00055080 _____ (Windows (R) Win 7 DDK provider) C:\WINDOWS\system32\Drivers\packagest.sys
2017-06-07 19:13 - 2017-06-07 19:13 - 00000000 ____D C:\Users\Dmitry\AppData\Roaming\Subversion
2017-06-06 21:35 - 2017-06-13 18:22 - 00000000 ____D C:\Users\Dmitry\AppData\Roaming\setupsk_upd
2017-06-06 21:35 - 2017-06-13 18:22 - 00000000 ____D C:\Users\Dmitry\AppData\Roaming\setupsk
2017-06-06 21:11 - 2017-06-07 19:16 - 00002058 _____ C:\Users\Dmitry\Desktop\Вoйти в Интeрнет.lnk
2017-06-06 21:11 - 2017-06-06 21:11 - 00000000 ____D C:\Users\Dmitry\AppData\Local\Вoйти в Интeрнет
2017-06-06 21:09 - 2017-06-13 19:03 - 00000000 ____D C:\Users\Dmitry\AppData\Local\nvfontcache
2017-06-06 21:09 - 2017-06-13 18:22 - 00000000 ____D C:\Users\Dmitry\AppData\LocalLow\SearchGo
2017-06-06 21:09 - 2017-06-07 19:13 - 00003668 _____ C:\WINDOWS\System32\Tasks\nvfontcache
2017-06-06 21:09 - 2017-06-07 19:08 - 00000000 ____D C:\Users\Dmitry\AppData\Local\SearchGo
2017-06-06 21:08 - 2017-06-06 21:08 - 00001666 _____ C:\Users\Dmitry\Desktop\Поиcк в Интeрнете.lnk
2017-06-06 21:08 - 2017-06-06 21:08 - 00000000 ____D C:\Users\Dmitry\AppData\Local\Поиcк в Интeрнете
2017-05-23 22:40 - 2017-06-04 01:22 - 00000000 ____D C:\Users\Dmitry\AppData\Local\FreeU
2017-05-23 22:40 - 2017-05-23 22:40 - 00002352 _____ C:\Users\Dmitry\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FreeU.lnk
2017-05-23 22:40 - 2017-05-23 22:40 - 00002344 _____ C:\Users\Dmitry\Desktop\FreeU.lnk
Task: {2DA30D99-6A6E-4EB2-8A06-95FFBC029D37} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {4B103CB7-A2F9-4189-9E5E-327918ACAF99} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {4E96B705-0F8F-45A8-BFC6-0ADAE396C8DE} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {6EB28E1B-0028-4887-A0A0-4C040A4F297E} - \packagest -> No File <==== ATTENTION
Task: {7AFBC4FE-F219-4CD2-8389-98FE84B0B8D9} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {7EEC69EE-E665-4587-A888-755BA4F06C16} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {8F8DB3D2-6A74-4D5D-BA9C-BB1247EEA224} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {ABB937AA-231D-49D8-B2D9-8F668C167E78} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {AE6E258F-3459-47DA-9BF6-57402EB49789} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {AEBB4FD8-10EB-4BF7-9338-71AD8CC4B004} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {B5FD4E62-0B6C-456A-A9A5-DC3574E1C1CE} - \setupsk -> No File <==== ATTENTION
Task: {CB66B8C4-BCE9-4E04-A418-246A8985FC50} - \setupsk_upd -> No File <==== ATTENTION
Task: {CC6BEA9A-E5CD-4A7F-8D3B-CD3A6A3C6E1C} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {CFA3546A-C779-45A8-82DF-B540683197D8} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {E3FD6553-0F41-4883-AE26-149663B42508} - \SearchGo Task -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [152]
AlternateDataStreams: C:\ProgramData\TEMP:373E1720 [119]
AlternateDataStreams: C:\ProgramData\TEMP:3D0E56AC [151]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:07BF512B [152]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:373E1720 [119]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:3D0E56AC [151]
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание, что будет выполнена [b]перезагрузка компьютера[/b].[/list]
19.06.2017, 20:55
Mister Simply

Вложений: 1

Прилагаю обновленный лог
21.06.2017, 21:08
thyrex

Проблема решена?
22.06.2017, 15:53
Mister Simply

Да, спасибо. Проблема решена
22.06.2017, 16:03
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\users\dmitry\appdata\locallow\searchgo\searchgo.dll - [B]not-a-virus:AdWare.Win32.Agent.xxdhrx[/B][*] c:\windows\microsoft\svchost.exe - [B]Trojan.Win32.SelfDel.fmcx[/B][/LIST][/LIST]