Самопроизвольное открытие сайтов [Trojan-Downloader.Win32.AdLoad.a, UDS:DangerousObject.Multi.Generic]

Printable View

20.08.2018, 15:22
master-bit

Вложений: 1

Самопроизвольное открытие сайтов [Trojan-Downloader.Win32.AdLoad.a, UDS:DangerousObject.Multi.Generic]

Самопроизвольно открываются вкладки и сайты через несколько минут иногда секунд
20.08.2018, 15:23
Info_bot

Уважаемый(ая) [B]master-bit[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
20.08.2018, 15:36
thyrex

Выполните скрипт в AVZ из папки Autologger
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Program Files\FQJWBZ3ZXZ\TXV4A6V3L.exe','');
QuarantineFile('C:\Program Files\3F4X3AZ1GH\XUL4VDPKB.exe','');
QuarantineFile('C:\Program Files\0BTGC7L24X\0BTGC7L24.exe','');
QuarantineFile('C:\Program Files\WW03ILEQ39\WW03ILEQ3.exe','');
QuarantineFile('C:\Program Files\22PHKE4RTP\22PHKE4RT.exe','');
QuarantineFile('C:\Users\1111\AppData\Roaming\20xtxupxmpg\an44alctl3g.exe','');
QuarantineFile('C:\Users\1111\AppData\Roaming\ioze30odc33\jcaabnwokcr.exe','');
QuarantineFile('C:\Users\1111\AppData\Roaming\airzocjeffj\zccrglvqlvb.exe','');
QuarantineFile('C:\Users\1111\AppData\Roaming\qy23ri0furo\b3vmhzm35u0.exe','');
QuarantineFile('C:\Users\1111\AppData\Roaming\f3cvge5ui1d\owpzyv0rez3.exe','');
QuarantineFile('C:\Program Files\08ME1UUUYU\BWZ2H3UJF.exe','');
QuarantineFile('C:\Users\1111\AppData\Roaming\vdacjfqgtuk\bsagz3ugnqk.exe','');
QuarantineFile('C:\Program Files (x86)\zjmvnnphq5o\6BKVX.exe','');
QuarantineFile('C:\ProgramData\cpafService\cpafService.exe','');
QuarantineFile('c:\users\1111\appdata\local\xservice\xservice.dll','');
TerminateProcessByName('c:\users\1111\appdata\local\temp\is-i0k91.tmp\rs1zgix31bv.tmp');
TerminateProcessByName('c:\users\1111\appdata\roaming\bhj4sblkpu0\rs1zgix31bv.exe');
QuarantineFile('c:\users\1111\appdata\roaming\bhj4sblkpu0\rs1zgix31bv.exe','');
QuarantineFile('c:\users\1111\appdata\local\temp\is-i0k91.tmp\rs1zgix31bv.tmp','');
TerminateProcessByName('c:\users\1111\appdata\local\temp\is-nlddh.tmp\lylwssbosjt.tmp');
TerminateProcessByName('c:\users\1111\appdata\roaming\c1xclbgzkr5\lylwssbosjt.exe');
TerminateProcessByName('c:\users\1111\appdata\local\temp\is-980ec.tmp\cqqnna04emn.tmp');
TerminateProcessByName('c:\users\1111\appdata\roaming\cotlof4nzqv\cqqnna04emn.exe');
QuarantineFile('c:\users\1111\appdata\roaming\cotlof4nzqv\cqqnna04emn.exe','');
QuarantineFile('c:\users\1111\appdata\local\temp\is-nlddh.tmp\lylwssbosjt.tmp','');
QuarantineFile('c:\users\1111\appdata\roaming\c1xclbgzkr5\lylwssbosjt.exe','');
QuarantineFile('c:\users\1111\appdata\local\temp\is-980ec.tmp\cqqnna04emn.tmp','');
TerminateProcessByName('C:\Program Files\204LFB3P0M\204LFB3P0.exe');
TerminateProcessByName('C:\Program Files (x86)\zjmvnnphq5o\265HSQJ8LTOPR3S.exe');
TerminateProcessByName('C:\Program Files\2N4IDMM0VB\2N4IDMM0V.exe');
TerminateProcessByName('C:\Program Files\8DA8M6623T\2RSGEAWKY.exe');
QuarantineFile('C:\Program Files\8DA8M6623T\2RSGEAWKY.exe','');
QuarantineFile('C:\Program Files\2N4IDMM0VB\2N4IDMM0V.exe','');
QuarantineFile('C:\Program Files (x86)\zjmvnnphq5o\265HSQJ8LTOPR3S.exe','');
QuarantineFile('C:\Program Files\204LFB3P0M\204LFB3P0.exe','');
DeleteFile('C:\Program Files\204LFB3P0M\204LFB3P0.exe','32');
DeleteFile('C:\Program Files (x86)\zjmvnnphq5o\265HSQJ8LTOPR3S.exe','32');
DeleteFile('C:\Program Files\2N4IDMM0VB\2N4IDMM0V.exe','32');
DeleteFile('C:\Program Files\8DA8M6623T\2RSGEAWKY.exe','32');
DeleteFile('c:\users\1111\appdata\local\temp\is-980ec.tmp\cqqnna04emn.tmp','32');
DeleteFile('c:\users\1111\appdata\roaming\c1xclbgzkr5\lylwssbosjt.exe','32');
DeleteFile('c:\users\1111\appdata\local\temp\is-nlddh.tmp\lylwssbosjt.tmp','32');
DeleteFile('c:\users\1111\appdata\roaming\cotlof4nzqv\cqqnna04emn.exe','32');
DeleteFile('c:\users\1111\appdata\local\temp\is-i0k91.tmp\rs1zgix31bv.tmp','32');
DeleteFile('c:\users\1111\appdata\roaming\bhj4sblkpu0\rs1zgix31bv.exe','32');
DeleteFile('c:\users\1111\appdata\local\xservice\xservice.dll','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','8578018');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','1114XJTHM6TQQFY');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','7810537');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','7KBTWJT0INUZ938');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','5989953');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RFDVQWF7BAGL8NS');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\MicroService\Parameters','ServiceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','OMEWPRODUCT_01X92');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\1956951','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\2561927','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\3872819','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\4859184','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\5881408','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\6SMTBL54L4IQR8V','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\7711976','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\8N4KITS7CKP8PJL','command');
DeleteFile('C:\Program Files (x86)\zjmvnnphq5o\6BKVX.exe','32');
DeleteFile('C:\Users\1111\AppData\Roaming\vdacjfqgtuk\bsagz3ugnqk.exe','32');
DeleteFile('C:\Program Files\08ME1UUUYU\BWZ2H3UJF.exe','32');
DeleteFile('C:\Users\1111\AppData\Roaming\f3cvge5ui1d\owpzyv0rez3.exe','32');
DeleteFile('C:\Users\1111\AppData\Roaming\qy23ri0furo\b3vmhzm35u0.exe','32');
DeleteFile('C:\Users\1111\AppData\Roaming\airzocjeffj\zccrglvqlvb.exe','32');
DeleteFile('C:\Users\1111\AppData\Roaming\ioze30odc33\jcaabnwokcr.exe','32');
DeleteFile('C:\Users\1111\AppData\Roaming\20xtxupxmpg\an44alctl3g.exe','32');
DeleteFile('C:\Program Files\22PHKE4RTP\22PHKE4RT.exe','32');
DeleteFile('C:\Program Files\WW03ILEQ39\WW03ILEQ3.exe','32');
DeleteFile('C:\Program Files\0BTGC7L24X\0BTGC7L24.exe','32');
DeleteFile('C:\Program Files\3F4X3AZ1GH\XUL4VDPKB.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PI0AZRFI7QUS92R','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\JD62Q8ETIKEJDWE','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\B0XF2FHVOEV9HDN','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\9KR9EH2NAFN2MUG','command');
DeleteFile('C:\Program Files\FQJWBZ3ZXZ\TXV4A6V3L.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Y45B6WKY2AOMKZR','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code][list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин [/b][/u][/color] [b]над первым сообщением[/b] темы.

[b][color="Red"]Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи. [/color][/b]
20.08.2018, 16:09
master-bit

Вложений: 1

Повторный лог
20.08.2018, 16:17
thyrex

Скачайте [url=https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]https://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Файлы [b]FRST.txt[/b] и [b]Addition.txt[/b] заархивируйте (в [b]один общий архив[/b]) и прикрепите к сообщению.
20.08.2018, 16:22
master-bit

Вложений: 1

Отчёт
20.08.2018, 17:02
thyrex

1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
S2 MicroService; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== ATTENTION <==== ATTENTION (no ServiceDLL)
S2 MicroService; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION <==== ATTENTION (no ServiceDLL)
S3 WinRing0_1_2_0; \??\C:\Users\1111\AppData\Local\Temp\7ZipSfx.001\bin\tools\openhardwaremonitor\OpenHardwareMonitor.sys [X] <==== ATTENTION
2018-08-20 15:15 - 2018-08-20 15:39 - 000000000 ____D C:\Users\1111\AppData\Roaming\c1xclbgzkr5
2018-08-20 15:15 - 2018-08-20 15:15 - 000000000 ____D C:\Program Files\8DA8M6623T
2018-08-20 14:53 - 2018-08-20 15:39 - 000000000 ____D C:\Users\1111\AppData\Roaming\bhj4sblkpu0
2018-08-20 14:53 - 2018-08-20 14:53 - 000000000 ____D C:\Program Files\2N4IDMM0VB
2018-08-20 13:23 - 2018-08-20 15:39 - 000000000 ____D C:\Users\1111\AppData\Roaming\cotlof4nzqv
2018-08-20 13:23 - 2018-08-20 13:23 - 000000000 ____D C:\Program Files\204LFB3P0M
2018-08-20 11:52 - 2018-08-20 15:39 - 000000000 ____D C:\Users\1111\AppData\Roaming\qy23ri0furo
2018-08-20 11:52 - 2018-08-20 15:39 - 000000000 ____D C:\Program Files\3F4X3AZ1GH
2018-08-16 12:07 - 2018-08-20 15:39 - 000000004 _____ C:\Users\Все пользователи\lock.dat
2018-08-16 12:07 - 2018-08-20 15:39 - 000000004 _____ C:\ProgramData\lock.dat
2018-08-16 11:07 - 2018-08-20 15:39 - 000000000 ____D C:\Program Files (x86)\zjmvnnphq5o
2018-08-16 11:05 - 2018-08-20 15:40 - 000000000 ____D C:\Users\1111\AppData\Local\XService
2018-08-16 11:05 - 2018-08-16 11:06 - 000294912 _____ C:\Program Files\a.exe
1601-01-03 21:33 - 1601-01-03 21:33 - 000186368 ____N (Microsoft Corporation) C:\Program Files (x86)\Common Files\kuIBaw.exe
1601-01-03 21:33 - 1601-01-03 21:33 - 000186368 ____N (Microsoft Corporation) C:\Users\1111\AppData\Roaming\woiiV.exe
1601-01-03 21:33 - 1601-01-03 21:33 - 000073216 ____N (Microsoft Corporation) C:\Users\1111\AppData\Roaming\YeSCxVEjEm.exe
2018-08-16 11:05 - 2018-08-16 11:05 - 000935927 _____ (W422YyzL5dml3o0IN2Zc ) C:\Users\1111\AppData\Local\Temp\installer.exe
2018-08-16 11:05 - 2018-08-16 11:05 - 002206151 _____ (pluwfotbni) C:\Users\1111\AppData\Local\Temp\installer_campaign_19354.exe
2018-08-16 11:06 - 2018-08-16 11:06 - 000884736 _____ (Sokira) C:\Users\1111\AppData\Local\Temp\installer_mi (1).exe
2018-08-16 11:05 - 2018-08-16 11:05 - 000884736 _____ (Sokira) C:\Users\1111\AppData\Local\Temp\installer_mi.exe
2018-08-16 11:06 - 2018-08-16 11:06 - 000253200 _____ () C:\Users\1111\AppData\Local\Temp\ketup.exe
2018-08-16 11:05 - 2018-08-16 11:05 - 002188520 _____ () C:\Users\1111\AppData\Local\Temp\novol.exe
2018-08-16 11:05 - 2018-08-16 11:05 - 000488652 _____ (LL ) C:\Users\1111\AppData\Local\Temp\speedownloader.exe
2018-08-16 11:06 - 2018-08-16 11:06 - 001129939 _____ (Your.Software ) C:\Users\1111\AppData\Local\Temp\whiteclick (1).exe
2018-08-16 11:05 - 2018-08-16 11:05 - 001129939 _____ (Your.Software ) C:\Users\1111\AppData\Local\Temp\whiteclick.exe
CustomCLSID: HKU\S-1-5-21-293488384-3794675700-3911585182-1000_Classes\CLSID\{162C6FB5-44D3-435B-903D-E613FA093FB5}\InprocServer32 -> C:\Users\1111\AppData\Local\Microsoft\OneDrive\17.3.6743.1212\amd64\FileCoAuthLib64.dll => No File
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File
Task: {EA321389-C3F7-477E-B3BB-6E40BFCA38EB} - \DRPNPS -> No File <==== ATTENTION
MSCONFIG\startupreg: 1956951 =>
MSCONFIG\startupreg: 2561927 =>
MSCONFIG\startupreg: 3872819 =>
MSCONFIG\startupreg: 4859184 =>
MSCONFIG\startupreg: 5881408 =>
MSCONFIG\startupreg: 6SMTBL54L4IQR8V =>
MSCONFIG\startupreg: 7711976 =>
MSCONFIG\startupreg: 8N4KITS7CKP8PJL =>
MSCONFIG\startupreg: 9KR9EH2NAFN2MUG =>
MSCONFIG\startupreg: B0XF2FHVOEV9HDN =>
MSCONFIG\startupreg: JD62Q8ETIKEJDWE =>
MSCONFIG\startupreg: PI0AZRFI7QUS92R =>
MSCONFIG\startupreg: Y45B6WKY2AOMKZR =>
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]
20.08.2018, 17:43
master-bit

Вложений: 1

Вот лог
20.08.2018, 17:56
thyrex

Проблема решена?
21.08.2018, 06:24
master-bit

Да, Огромное спасибо.
Скажите пожалуйста, как этому всему научится ?
21.08.2018, 07:09
thyrex

[url]https://virusinfo.info/showthread.php?t=96026[/url]
21.08.2018, 07:19
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files (x86)\zjmvnnphq5o\265hsqj8ltopr3s.exe - [B]Trojan-Downloader.Win32.AdLoad.a[/B][*] c:\program files (x86)\zjmvnnphq5o\6bkvx.exe - [B]Trojan-Downloader.Win32.AdLoad.a[/B][*] c:\program files\2n4idmm0vb\2n4idmm0v.exe - [B]Trojan-Downloader.Win32.AdLoad.a[/B][*] c:\program files\204lfb3p0m\204lfb3p0.exe - [B]Trojan-Downloader.Win32.AdLoad.a[/B][*] c:\program files\3f4x3az1gh\xul4vdpkb.exe - [B]Trojan-Downloader.Win32.AdLoad.a[/B][*] c:\program files\8da8m6623t\2rsgeawky.exe - [B]Trojan-Downloader.Win32.AdLoad.a[/B][*] c:\programdata\cpafservice\cpafservice.exe - [B]HEUR:Trojan.Win32.Generic[/B][*] c:\users\1111\appdata\local\xservice\xservice.dll - [B]Trojan-PSW.Win32.Agent.thgb[/B][*] c:\users\1111\appdata\roaming\bhj4sblkpu0\rs1zgix31bv.exe - [B]UDS:DangerousObject.Multi.Generic[/B][*] c:\users\1111\appdata\roaming\cotlof4nzqv\cqqnna04emn.exe - [B]UDS:DangerousObject.Multi.Generic[/B][*] c:\users\1111\appdata\roaming\c1xclbgzkr5\lylwssbosjt.exe - [B]UDS:DangerousObject.Multi.Generic[/B][*] c:\users\1111\appdata\roaming\qy23ri0furo\b3vmhzm35u0.exe - [B]UDS:DangerousObject.Multi.Generic[/B][/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]