Появилась служба CDPUserSvc_ххххх [Trojan-Clicker.BAT.Agent.az ]

**Бумбарам** · 11.02.2017, 22:44

Обратил внимание на такую службу CDPUserSvc_4e403.
При рестарте системы, меняется часть имени этой службы после подчеркивания "_" по моему это что-то зловредное.
В описании службы "<Не удается прочитать описание. Код ошибки: 15100 >".

Коллеги, что это у меня завелось, как с ним поступить?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 11.02.2017, 22:45

Уважаемый(ая) Бумбарам, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 14.02.2017, 07:11

Это штатная служба Connected Devices Platform User Service, не волнуйтесь.

Выполните скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\Users\Андрей\AppData\Roaming\Browsers\exe.emorhc.bat', '');
 QuarantineFile('C:\Users\Андрей\AppData\Roaming\Browsers\exe.erolpxei.bat', '');
 QuarantineFile('C:\Users\Андрей\AppData\Roaming\Browsers\exe.resworb.bat', '');
 QuarantineFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe', '');
 QuarantineFile('C:\Users\Андрей\AppData\Local\Microsoft\Windows\toolbar.exe', '');
 DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP1.job', '64');
 DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP2.job', '64');
 DeleteFile('C:\Users\Андрей\AppData\Roaming\Browsers\exe.emorhc.bat', '32');
 DeleteFile('C:\Users\Андрей\AppData\Roaming\Browsers\exe.erolpxei.bat', '32');
 DeleteFile('C:\Users\Андрей\AppData\Roaming\Browsers\exe.resworb.bat', '32');
 DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe', '32');
 DeleteFile('C:\Users\Андрей\AppData\Local\Microsoft\Windows\toolbar.exe', '32');
 DeleteFileMask('c:\program files (x86)\anyprotectex', '*', true);
 DeleteDirectory('c:\program files (x86)\anyprotectex');
 ExecuteFile('schtasks.exe', '/delete /TN "APSnotifierPP1" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "APSnotifierPP2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SystemScript" /F', 0, 15000, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(4);
 ExecuteRepair(3);
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>> [script][RO][MASK][s] "C:\Users\Андрей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yаndeх.lnk"          -> ["C:\Users\Андрей\AppData\Roaming\Browsers\exe.resworb.bat"  =>> "hxxp://2knl.org/?src=hp4&subid1=feb"] -> start "" "c:\users\A4F7~1\appdata\local\yandex\YANDEX~1\APPLIC~1\browser.exe" "hxxp://2knl.org/?src=hp4&subid1=feb" ( обфусцирован ) (805 байт.) (cp: 20127) (MD5:7DD0345D97B76AB26B96A60A301D5A4B)
>>> [script][RO][MASK][s] "C:\Users\Андрей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооgle Chrоme.lnk"   -> ["C:\Users\Андрей\AppData\Roaming\Browsers\exe.emorhc.bat"  =>> "hxxp://2knl.org/?src=hp4&subid1=feb"] -> start "" "c:\PROGRA~2\google\chrome\APPLIC~1\chrome.exe" "hxxp://2knl.org/?src=hp4&subid1=feb" ( обфусцирован ) (658 байт.) (cp: 20127) (MD5:B83C59696F24808D6F7F88AFF9E57E9D)
>>> [script][RO][MASK][s] "C:\Users\Андрей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunch Internet Ехрlоrеr Вrоwser.lnk"    -> ["C:\Users\Андрей\AppData\Roaming\Browsers\exe.erolpxei.bat"  =>> "hxxp://2knl.org/?src=hp4&subid1=feb"] -> start "" "c:\PROGRA~2\INTERN~1\iexplore.exe" "hxxp://2knl.org/?src=hp4&subid1=feb" ( обфусцирован ) (574 байт.) (cp: 20127) (MD5:E6709C5BD4E31C705138F8C11658214F)
>>> [script][RO][MASK][s] "C:\Users\Андрей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gоoglе Chromе.lnk"   -> ["C:\Users\Андрей\AppData\Roaming\Browsers\exe.emorhc.bat"  =>> "hxxp://2knl.org/?src=hp4&subid1=feb"] -> start "" "c:\PROGRA~2\google\chrome\APPLIC~1\chrome.exe" "hxxp://2knl.org/?src=hp4&subid1=feb" ( обфусцирован ) (658 байт.) (cp: 20127) (MD5:B83C59696F24808D6F7F88AFF9E57E9D)
>>> [script][RO][MASK][s] "C:\Users\Андрей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Intеrnet Еxplоrеr.lnk"         -> ["C:\Users\Андрей\AppData\Roaming\Browsers\exe.erolpxei.bat"  =>> "hxxp://2knl.org/?src=hp4&subid1=feb"] -> start "" "c:\PROGRA~2\INTERN~1\iexplore.exe" "hxxp://2knl.org/?src=hp4&subid1=feb" ( обфусцирован ) (574 байт.) (cp: 20127) (MD5:E6709C5BD4E31C705138F8C11658214F)
>>> [script][RO][MASK][s] "C:\Users\Андрей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yаndеx.lnk"          -> ["C:\Users\Андрей\AppData\Roaming\Browsers\exe.resworb.bat"  =>> "hxxp://2knl.org/?src=hp4&subid1=feb"] -> start "" "c:\users\A4F7~1\appdata\local\yandex\YANDEX~1\APPLIC~1\browser.exe" "hxxp://2knl.org/?src=hp4&subid1=feb" ( обфусцирован ) (805 байт.) (cp: 20127) (MD5:7DD0345D97B76AB26B96A60A301D5A4B)
>>> [script][RO][MASK][s] "C:\Users\Андрей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yаndeх.lnk"          -> ["C:\Users\Андрей\AppData\Roaming\Browsers\exe.resworb.bat"  =>> "hxxp://2knl.org/?src=hp4&subid1=feb"] -> start "" "c:\users\A4F7~1\appdata\local\yandex\YANDEX~1\APPLIC~1\browser.exe" "hxxp://2knl.org/?src=hp4&subid1=feb" ( обфусцирован ) (805 байт.) (cp: 20127) (MD5:7DD0345D97B76AB26B96A60A301D5A4B)
>>> [script][RO][MASK][s] "C:\Users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Eхрlorеr.lnk"  -> ["C:\Users\Андрей\AppData\Roaming\Browsers\exe.erolpxei.bat"  =>> "hxxp://2knl.org/?src=hp4&subid1=feb"] -> start "" "c:\PROGRA~2\INTERN~1\iexplore.exe" "hxxp://2knl.org/?src=hp4&subid1=feb" ( обфусцирован ) (574 байт.) (cp: 20127) (MD5:E6709C5BD4E31C705138F8C11658214F)
>>> [script][RO][MASK][s] "C:\Users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yаndeх.lnk"      -> ["C:\Users\Андрей\AppData\Roaming\Browsers\exe.resworb.bat"  =>> "hxxp://2knl.org/?src=hp4&subid1=feb"] -> start "" "c:\users\A4F7~1\appdata\local\yandex\YANDEX~1\APPLIC~1\browser.exe" "hxxp://2knl.org/?src=hp4&subid1=feb" ( обфусцирован ) (805 байт.) (cp: 20127) (MD5:7DD0345D97B76AB26B96A60A301D5A4B)
>>>  "C:\Users\Андрей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\a06d07590a3dc77d\Google Chrome.lnk"    -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"  =>> --profile-directory=Default]
>>> [script][RO][s] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Wоrld оf Tanks.lnk"   -> ["C:\Users\Андрей\AppData\Roaming\Browsers\exe.rehcnualtow.bat"  =>> "hxxp://2knl.org/?src=hp4&subid1=feb"] -> start "" "c:\games\WORLD_~1\WOTLAU~1.EXE" "hxxp://2knl.org/?src=hp4&subid1=feb" ( обфусцирован ) (553 байт.) (cp: 20127) (MD5:2735862DD47BA2DBB2D7D7130E5B72AE)
>>> [h] "C:\Users\Андрей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk"  -> ["C:\Program Files (x86)\Internet Explorer\iexplore.exe"]
>>> [h] "C:\Users\Андрей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex.lnk"        -> ["C:\Users\Андрей\AppData\Local\Yandex\YandexBrowser\Application\browser.exe"]
>>> [h] "C:\Users\Андрей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk"        -> ["C:\Users\Андрей\AppData\Local\Yandex\YandexBrowser\Application\browser.exe"]
>>> [h] "C:\Users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk"    -> ["C:\Users\Андрей\AppData\Local\Yandex\YandexBrowser\Application\browser.exe"]

Отчёт о работе прикрепите.

Сделайте лог Malwarebytes AdwCleaner

**Бумбарам** · 14.02.2017, 22:43

Прикладываю запрошенные логи

Вложение 655115
Вложение 655117

**Vvvyg** · 14.02.2017, 22:51

Куда я просил карантин, перечитайте

Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.
Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.

**Бумбарам** · 14.02.2017, 23:44

С карантином исправился

логи прикладываю, кеш почистил, по проблемам все в норме
Вложение 655122

Спасибо.

**Vvvyg** · 15.02.2017, 09:40

Запустите AdwCleaner и нажмите Файл (File) -> Деинсталлировать (Uninstall).

Выполните рекомендации после лечения.

**CyberHelper** · 15.02.2017, 09:50

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 3
В ходе лечения обнаружены вредоносные программы:
1. c:\users\андрей\appdata\roaming\browsers\exe.emorh c.bat - Trojan-Clicker.BAT.Agent.az ( DrWEB: BAT.Hosts.147 )
2. c:\users\андрей\appdata\roaming\browsers\exe.erolp xei.bat - Trojan-Clicker.BAT.Agent.az ( DrWEB: BAT.Hosts.147 )
3. c:\users\андрей\appdata\roaming\browsers\exe.reswo rb.bat - Trojan-Clicker.BAT.Agent.az ( DrWEB: BAT.Hosts.147 )

Появилась служба CDPUserSvc_ххххх [Trojan-Clicker.BAT.Agent.az ] (заявка № 209271)

Опции темы