При скачивании любых файлов с яндекс почты загружаются странные архивы с именами вроде _-25-bb9, внутри которых лежит такой же архив, внутри которого .exe'шник с таким же именем.
Printable View
При скачивании любых файлов с яндекс почты загружаются странные архивы с именами вроде _-25-bb9, внутри которых лежит такой же архив, внутри которого .exe'шник с таким же именем.
Уважаемый(ая) [B]SavedowW[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[QUOTE=SavedowW;1467337]При скачивании любых файлов с яндекс почты загружаются странные архивы с именами вроде _-25-bb9, внутри которых лежит такой же архив, внутри которого .exe'шник с таким же именем.[/QUOTE]
Поправочка: такие файлы не только с яндекса, перед загрузкой появляется такая страница, юрл не меняется
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
[QUOTE=SavedowW;1467337]При скачивании любых файлов с яндекс почты загружаются странные архивы с именами вроде _-25-bb9, внутри которых лежит такой же архив, внутри которого .exe'шник с таким же именем.[/QUOTE]
EXE'шник - рабочий лоадер для файла, в котором надо убирать галочки для того чтобы не установился амиго и прочая хрень
Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите[/url] (в [B]Windows Vista/7/8/10[/B] необходимо запускать через правую кнопку мыши [B]Запуск от имени администратора)[/B]):[code]O17 - HKLM\System\CSS\Services\Tcpip\..\{782aaeb1-314e-4895-bff7-ba1f6f8cacba}: NameServer = 178.132.6.57
O17 - HKLM\System\CSS\Services\Tcpip\..\{782aaeb1-314e-4895-bff7-ba1f6f8cacba}: NameServer = 192.168.0.1
O17 - HKLM\System\CSS\Services\Tcpip\..\{782aaeb1-314e-4895-bff7-ba1f6f8cacba}: NameServer = 193.238.153.54
O17 - HKLM\System\CSS\Services\Tcpip\..\{782aaeb1-314e-4895-bff7-ba1f6f8cacba}: NameServer = 46.101.28.31
O17 - HKLM\System\CSS\Services\Tcpip\..\{782aaeb1-314e-4895-bff7-ba1f6f8cacba}: NameServer = 52.56.51.39
O17 - HKLM\System\CSS\Services\Tcpip\..\{782aaeb1-314e-4895-bff7-ba1f6f8cacba}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{782aaeb1-314e-4895-bff7-ba1f6f8cacba}: NameServer = 178.132.6.57
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{782aaeb1-314e-4895-bff7-ba1f6f8cacba}: NameServer = 192.168.0.1
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{782aaeb1-314e-4895-bff7-ba1f6f8cacba}: NameServer = 193.238.153.54
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{782aaeb1-314e-4895-bff7-ba1f6f8cacba}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{782aaeb1-314e-4895-bff7-ba1f6f8cacba}: NameServer = 52.56.51.39
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{782aaeb1-314e-4895-bff7-ba1f6f8cacba}: NameServer = 82.202.226.203[/code]
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
TerminateProcessByName('c:\programdata\framework\windows driver.exe');
StopService('wfcre');
QuarantineFile('c:\programdata\framework\windows driver.exe', '');
QuarantineFile('C:\Users\11\AppData\Local\wupdate\wupdate.exe', '');
QuarantineFile('C:\Users\11\appdata\roaming\system\libs\svchost.exe', '');
QuarantineFile('C:\WINDOWS\microsoft\svchost.exe', '');
QuarantineFile('C:\WINDOWS\microsoft\svchost.exe.exe', '');
QuarantineFile('C:\WINDOWS\System32\drivers\mracdrv.sys', '');
QuarantineFile('C:\WINDOWS\system32\drivers\wfcre.sys', '');
QuarantineFile('C:\Windows\System32\mracsvc.exe', '');
DeleteFile('C:\ProgramData\Framework\LIBEAY32.dll', '32');
DeleteFile('C:\ProgramData\Framework\Qt5Core.dll', '32');
DeleteFile('C:\ProgramData\Framework\Qt5Network.dll', '32');
DeleteFile('C:\ProgramData\Framework\Qt5WebSockets.dll', '32');
DeleteFile('C:\ProgramData\Framework\ssleay32.dll', '32');
DeleteFile('c:\programdata\framework\windows driver.exe', '32');
DeleteFile('C:\Users\11\AppData\Local\wupdate\wupdate.exe', '32');
DeleteFile('C:\Users\11\AppData\Roaming\curl\curl.exe', '32');
DeleteFile('C:\Users\11\AppData\Roaming\curl\curl_7_54.exe', '32');
DeleteFile('C:\Users\11\appdata\roaming\system\libs\svchost.exe', '32');
DeleteFile('C:\Users\11\Favorites\Links\Интернет.url');
DeleteFile('C:\WINDOWS\microsoft\svchost.exe', '32');
DeleteFile('C:\WINDOWS\microsoft\svchost.exe.exe', '32');
DeleteFile('C:\WINDOWS\System32\drivers\mracdrv.sys', '32');
DeleteFile('C:\WINDOWS\system32\drivers\wfcre.sys', '32');
DeleteFile('C:\Windows\System32\mracsvc.exe', '32');
DeleteFile('wupdate.job', '64');
ExecuteFile('ipconfig.exe', '/flushdns', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "curls" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "wupdate" /F', 0, 15000, true);
DeleteService('mracdrv');
DeleteService('mracsvc');
DeleteService('wfcre');
DeleteFileMask('c:\programdata\framework', '*', true);
DeleteFileMask('c:\users\11\appdata\local\wupdate', '*', true);
DeleteFileMask('c:\users\11\appdata\roaming\curl', '*', true);
DeleteFileMask('c:\users\11\appdata\roaming\system', '*', true);
DeleteDirectory('c:\programdata\framework');
DeleteDirectory('c:\users\11\appdata\local\wupdate');
DeleteDirectory('c:\users\11\appdata\roaming\curl');
DeleteDirectory('c:\users\11\appdata\roaming\system');
DelBHO('{8E8F97CD-60B5-456F-A201-73065652D099}');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SunJavaUpdateSched');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteRepair(21);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Сделайте новый лог Autologger.
Сделайте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]Malwarebytes AdwCleaner[/URL].
Логи
Майнер C:\cnight\cpuminer-sse2.exe сами запустили, осознанно?
Я его не запускал, и, видимо, он появился только вчера, 27
Значит, зачистим.
Выполните скрипт в AVZ:[code]begin
TerminateProcessByName('C:\cnight\cpuminer-sse2.exe');
TerminateProcessByName('C:\Program Files (x86)\Maskit\MaskitService.exe');
StopService('MaskitService');
QuarantineFile('C:\cnight\cpuminer-sse2.exe', '');
QuarantineFile('C:\Program Files (x86)\Maskit\MaskitService.exe', '');
DeleteFile('C:\cnight\cpuminer-sse2.exe', '32');
DeleteFile('C:\Program Files (x86)\Maskit\MaskitService.exe', '32');
DeleteService('MaskitService');
DeleteFileMask('c:\cnight', '*', true);
DeleteFileMask('c:\program files (x86)\maskit', '*', true);
DeleteDirectory('c:\program files (x86)\maskit');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
[url="http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864"]Удалите всё найденное в [B]AdwCleaner[/B][/URL], дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
логи. В архиве frst, additional и ADW'шные
Аккуратнее с обновлениями/модами/кряками, они сплошь содержат adware и/или майнеры.
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CreateRestorePoint:
() C:\ProgramData\DirectX11b\System.exe
R2 DirectX11b; C:\ProgramData\DirectX11b\System.exe [8192 2016-02-17] () [File not signed] <==== ATTENTION
SearchScopes: HKU\S-1-5-21-228507632-4209997878-3055416944-1002 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B8DEB4969-CBC6-4102-97A6-30FD3CDC44C2%7D&gp=811014
SearchScopes: HKU\S-1-5-21-228507632-4209997878-3055416944-1002 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B8DEB4969-CBC6-4102-97A6-30FD3CDC44C2%7D&gp=811014
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\kwl9w50x.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\kwl9w50x.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\kwl9w50x.default -> hxxp://mail.ru/cnt/10445?gp=811013
FF Keyword.URL: Mozilla\Firefox\Profiles\kwl9w50x.default -> hxxp://go.mail.ru/distib/ep/?fr=ntg&product_id=%7B84EE039A-51FA-45E5-AF9A-F0846571AC3F%7D&gp=812209
FF Plugin HKU\S-1-5-21-228507632-4209997878-3055416944-1002: @mail.ru/GameCenter -> C:\Users\11\AppData\Local\Mail.Ru\GameCenter\NPDetector.dll [No File]
CHR Profile: C:\Users\11\AppData\Local\Google\Chrome\User Data\System Profile [2017-10-14]
CHR Extension: (No Name) - C:\Users\11\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\ahggfmgiidlaceichjfemgbaggnbaloe [2017-10-08]
CHR HKU\S-1-5-21-228507632-4209997878-3055416944-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-228507632-4209997878-3055416944-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [enafhpjmlnpmbdnbpjkihmadnkfnpiim] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-228507632-4209997878-3055416944-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-228507632-4209997878-3055416944-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [indjgiebmakhmnaplnlnanodkfiejfjd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [enafhpjmlnpmbdnbpjkihmadnkfnpiim] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [indjgiebmakhmnaplnlnanodkfiejfjd] - hxxps://clients2.google.com/service/update2/crx
S3 PRProt; \??\G:\download\TheAion_3.0_RU\bin32\active64_10.sys [X]
2017-10-30 20:08 - 2017-10-30 20:08 - 000000000 ____D C:\ProgramData\Glerexofags
2017-10-30 20:08 - 2017-08-02 10:04 - 003688092 ____H C:\Users\Все пользователи\aFakgjagaga.exe
2017-10-30 20:08 - 2017-08-02 10:04 - 003688092 ____H C:\ProgramData\aFakgjagaga.exe
2017-10-30 20:08 - 2017-07-29 06:08 - 002343337 _____ C:\Users\Все пользователи\Tjahhnjfa.exe
2017-10-30 20:08 - 2017-07-29 06:08 - 002343337 _____ C:\ProgramData\Tjahhnjfa.exe
2017-10-10 21:57 - 2017-10-10 21:57 - 000000001 _RHOT C:\Users\11\AppData\Roaming\curl
2017-10-10 21:57 - 2017-10-10 21:57 - 000000001 _RHOT C:\Users\11\AppData\Local\yc
2017-10-10 21:57 - 2017-10-10 21:57 - 000000001 _RHOT C:\Users\11\AppData\Local\wupdate
2017-10-10 21:57 - 2017-10-10 21:57 - 000000001 _RHOT C:\Users\11\AppData\Local\PowerMonitor
2017-10-08 16:13 - 2017-10-09 22:27 - 000000000 ____D C:\Users\11\AppData\Local\DuckGo
2017-10-08 16:10 - 2017-10-10 21:57 - 000000001 _RHOT C:\WINDOWS\system32\icacl.exe
2017-06-23 19:32 - 2017-06-23 19:38 - 000000063 _____ () C:\ProgramData\ijhg.vbs
2017-10-30 20:08 - 2017-07-29 06:06 - 002021888 ____H () C:\Users\11\AppData\Local\Temp\4828226d.dll
2017-10-30 20:08 - 2017-07-29 06:06 - 002021888 ____H () C:\Users\11\AppData\Local\Temp\878d87bf.dll
2017-10-30 20:12 - 2017-10-30 20:12 - 001531658 _____ ( ) C:\Users\11\AppData\Local\Temp\ICReinstall_DLLInjector v2.0 Installer_0189797056.exe
2017-10-28 22:44 - 2017-08-18 13:57 - 000157768 _____ () C:\Users\11\AppData\Local\Temp\Uninstall.exe
2017-06-23 19:32 - 2016-02-17 18:43 - 000008192 ____H () C:\ProgramData\DirectX11b\System.exe
C:\ProgramData\DirectX11b
HKU\S-1-5-21-228507632-4209997878-3055416944-1002\...\StartupApproved\Run: => "GoogleChromeAutoLaunch_4AB876F6CBA5D58370AB9F096647EA16"
Reboot:[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U], в FRST нажмите один раз [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
[URL="http://virusinfo.info/showthread.php?t=128635"]Очистите кэш и cookies-файлы браузеров[/URL] и сообщите, что с проблемами.
Вроде все нормально
Удалите папку C:\FRST со всем содержимым.
Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\cnight\cpuminer-sse2.exe - [B]not-a-virus:RiskTool.Win64.BitCoinMiner.czn[/B][*] c:\program files (x86)\maskit\maskitservice.exe - [B]not-a-virus:AdWare.Win32.Agent.kdhz[/B][*] c:\programdata\framework\windows driver.exe - [B]not-a-virus:RiskTool.Win32.BitCoinMiner.hxao[/B][*] c:\windows\microsoft\svchost.exe - [B]Trojan.Win32.SelfDel.gccw[/B][*] c:\windows\microsoft\svchost.exe.exe - [B]not-a-virus:RiskTool.Win64.BitCoinMiner.dio[/B][/LIST][/LIST]