При скачивании любых файлов с яндекс почты загружаются странные архивы с именами вроде _-25-bb9, внутри которых лежит такой же архив, внутри которого .exe'шник с таким же именем.
Странные файлы при скачивании. [not-a-virus:RiskTool.Win64.BitCoinMiner.czn, not-a-virus:AdWare.Win32.Agent.kdhz
]
При скачивании любых файлов с яндекс почты загружаются странные архивы с именами вроде _-25-bb9, внутри которых лежит такой же архив, внутри которого .exe'шник с таким же именем.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) SavedowW, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Поправочка: такие файлы не только с яндекса, перед загрузкой появляется такая страница, юрл не меняетсяСообщение от SavedowW
- - - - -Добавлено - - - - -
EXE'шник - рабочий лоадер для файла, в котором надо убирать галочки для того чтобы не установился амиго и прочая хрень
Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):Выполните скрипт в AVZ:Код:O17 - HKLM\System\CSS\Services\Tcpip\..\{782aaeb1-314e-4895-bff7-ba1f6f8cacba}: NameServer = 178.132.6.57 O17 - HKLM\System\CSS\Services\Tcpip\..\{782aaeb1-314e-4895-bff7-ba1f6f8cacba}: NameServer = 192.168.0.1 O17 - HKLM\System\CSS\Services\Tcpip\..\{782aaeb1-314e-4895-bff7-ba1f6f8cacba}: NameServer = 193.238.153.54 O17 - HKLM\System\CSS\Services\Tcpip\..\{782aaeb1-314e-4895-bff7-ba1f6f8cacba}: NameServer = 46.101.28.31 O17 - HKLM\System\CSS\Services\Tcpip\..\{782aaeb1-314e-4895-bff7-ba1f6f8cacba}: NameServer = 52.56.51.39 O17 - HKLM\System\CSS\Services\Tcpip\..\{782aaeb1-314e-4895-bff7-ba1f6f8cacba}: NameServer = 82.202.226.203 O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{782aaeb1-314e-4895-bff7-ba1f6f8cacba}: NameServer = 178.132.6.57 O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{782aaeb1-314e-4895-bff7-ba1f6f8cacba}: NameServer = 192.168.0.1 O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{782aaeb1-314e-4895-bff7-ba1f6f8cacba}: NameServer = 193.238.153.54 O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{782aaeb1-314e-4895-bff7-ba1f6f8cacba}: NameServer = 46.101.28.31 O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{782aaeb1-314e-4895-bff7-ba1f6f8cacba}: NameServer = 52.56.51.39 O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{782aaeb1-314e-4895-bff7-ba1f6f8cacba}: NameServer = 82.202.226.203Компьютер перезагрузится.Код:begin TerminateProcessByName('c:\programdata\framework\windows driver.exe'); StopService('wfcre'); QuarantineFile('c:\programdata\framework\windows driver.exe', ''); QuarantineFile('C:\Users\11\AppData\Local\wupdate\wupdate.exe', ''); QuarantineFile('C:\Users\11\appdata\roaming\system\libs\svchost.exe', ''); QuarantineFile('C:\WINDOWS\microsoft\svchost.exe', ''); QuarantineFile('C:\WINDOWS\microsoft\svchost.exe.exe', ''); QuarantineFile('C:\WINDOWS\System32\drivers\mracdrv.sys', ''); QuarantineFile('C:\WINDOWS\system32\drivers\wfcre.sys', ''); QuarantineFile('C:\Windows\System32\mracsvc.exe', ''); DeleteFile('C:\ProgramData\Framework\LIBEAY32.dll', '32'); DeleteFile('C:\ProgramData\Framework\Qt5Core.dll', '32'); DeleteFile('C:\ProgramData\Framework\Qt5Network.dll', '32'); DeleteFile('C:\ProgramData\Framework\Qt5WebSockets.dll', '32'); DeleteFile('C:\ProgramData\Framework\ssleay32.dll', '32'); DeleteFile('c:\programdata\framework\windows driver.exe', '32'); DeleteFile('C:\Users\11\AppData\Local\wupdate\wupdate.exe', '32'); DeleteFile('C:\Users\11\AppData\Roaming\curl\curl.exe', '32'); DeleteFile('C:\Users\11\AppData\Roaming\curl\curl_7_54.exe', '32'); DeleteFile('C:\Users\11\appdata\roaming\system\libs\svchost.exe', '32'); DeleteFile('C:\Users\11\Favorites\Links\Интернет.url'); DeleteFile('C:\WINDOWS\microsoft\svchost.exe', '32'); DeleteFile('C:\WINDOWS\microsoft\svchost.exe.exe', '32'); DeleteFile('C:\WINDOWS\System32\drivers\mracdrv.sys', '32'); DeleteFile('C:\WINDOWS\system32\drivers\wfcre.sys', '32'); DeleteFile('C:\Windows\System32\mracsvc.exe', '32'); DeleteFile('wupdate.job', '64'); ExecuteFile('ipconfig.exe', '/flushdns', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "curls" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "wupdate" /F', 0, 15000, true); DeleteService('mracdrv'); DeleteService('mracsvc'); DeleteService('wfcre'); DeleteFileMask('c:\programdata\framework', '*', true); DeleteFileMask('c:\users\11\appdata\local\wupdate', '*', true); DeleteFileMask('c:\users\11\appdata\roaming\curl', '*', true); DeleteFileMask('c:\users\11\appdata\roaming\system', '*', true); DeleteDirectory('c:\programdata\framework'); DeleteDirectory('c:\users\11\appdata\local\wupdate'); DeleteDirectory('c:\users\11\appdata\roaming\curl'); DeleteDirectory('c:\users\11\appdata\roaming\system'); DelBHO('{8E8F97CD-60B5-456F-A201-73065652D099}'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SunJavaUpdateSched'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteRepair(21); ExecuteWizard('SCU', 2, 2, true); RebootWindows(true); end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Сделайте новый лог Autologger.
Сделайте лог Malwarebytes AdwCleaner.
WBR,
Vadim
Логи
Майнер C:\cnight\cpuminer-sse2.exe сами запустили, осознанно?
WBR,
Vadim
Я его не запускал, и, видимо, он появился только вчера, 27
Значит, зачистим.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin TerminateProcessByName('C:\cnight\cpuminer-sse2.exe'); TerminateProcessByName('C:\Program Files (x86)\Maskit\MaskitService.exe'); StopService('MaskitService'); QuarantineFile('C:\cnight\cpuminer-sse2.exe', ''); QuarantineFile('C:\Program Files (x86)\Maskit\MaskitService.exe', ''); DeleteFile('C:\cnight\cpuminer-sse2.exe', '32'); DeleteFile('C:\Program Files (x86)\Maskit\MaskitService.exe', '32'); DeleteService('MaskitService'); DeleteFileMask('c:\cnight', '*', true); DeleteFileMask('c:\program files (x86)\maskit', '*', true); DeleteDirectory('c:\program files (x86)\maskit'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; RebootWindows(true); end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
логи. В архиве frst, additional и ADW'шные
Аккуратнее с обновлениями/модами/кряками, они сплошь содержат adware и/или майнеры.
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.Код:CreateRestorePoint: () C:\ProgramData\DirectX11b\System.exe R2 DirectX11b; C:\ProgramData\DirectX11b\System.exe [8192 2016-02-17] () [File not signed] <==== ATTENTION SearchScopes: HKU\S-1-5-21-228507632-4209997878-3055416944-1002 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B8DEB4969-CBC6-4102-97A6-30FD3CDC44C2%7D&gp=811014 SearchScopes: HKU\S-1-5-21-228507632-4209997878-3055416944-1002 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B8DEB4969-CBC6-4102-97A6-30FD3CDC44C2%7D&gp=811014 FF DefaultSearchEngine: Mozilla\Firefox\Profiles\kwl9w50x.default -> Поиск@Mail.Ru FF SelectedSearchEngine: Mozilla\Firefox\Profiles\kwl9w50x.default -> Поиск@Mail.Ru FF Homepage: Mozilla\Firefox\Profiles\kwl9w50x.default -> hxxp://mail.ru/cnt/10445?gp=811013 FF Keyword.URL: Mozilla\Firefox\Profiles\kwl9w50x.default -> hxxp://go.mail.ru/distib/ep/?fr=ntg&product_id=%7B84EE039A-51FA-45E5-AF9A-F0846571AC3F%7D&gp=812209 FF Plugin HKU\S-1-5-21-228507632-4209997878-3055416944-1002: @mail.ru/GameCenter -> C:\Users\11\AppData\Local\Mail.Ru\GameCenter\NPDetector.dll [No File] CHR Profile: C:\Users\11\AppData\Local\Google\Chrome\User Data\System Profile [2017-10-14] CHR Extension: (No Name) - C:\Users\11\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\ahggfmgiidlaceichjfemgbaggnbaloe [2017-10-08] CHR HKU\S-1-5-21-228507632-4209997878-3055416944-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-228507632-4209997878-3055416944-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [enafhpjmlnpmbdnbpjkihmadnkfnpiim] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-228507632-4209997878-3055416944-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-228507632-4209997878-3055416944-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [indjgiebmakhmnaplnlnanodkfiejfjd] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [enafhpjmlnpmbdnbpjkihmadnkfnpiim] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [indjgiebmakhmnaplnlnanodkfiejfjd] - hxxps://clients2.google.com/service/update2/crx S3 PRProt; \??\G:\download\TheAion_3.0_RU\bin32\active64_10.sys [X] 2017-10-30 20:08 - 2017-10-30 20:08 - 000000000 ____D C:\ProgramData\Glerexofags 2017-10-30 20:08 - 2017-08-02 10:04 - 003688092 ____H C:\Users\Все пользователи\aFakgjagaga.exe 2017-10-30 20:08 - 2017-08-02 10:04 - 003688092 ____H C:\ProgramData\aFakgjagaga.exe 2017-10-30 20:08 - 2017-07-29 06:08 - 002343337 _____ C:\Users\Все пользователи\Tjahhnjfa.exe 2017-10-30 20:08 - 2017-07-29 06:08 - 002343337 _____ C:\ProgramData\Tjahhnjfa.exe 2017-10-10 21:57 - 2017-10-10 21:57 - 000000001 _RHOT C:\Users\11\AppData\Roaming\curl 2017-10-10 21:57 - 2017-10-10 21:57 - 000000001 _RHOT C:\Users\11\AppData\Local\yc 2017-10-10 21:57 - 2017-10-10 21:57 - 000000001 _RHOT C:\Users\11\AppData\Local\wupdate 2017-10-10 21:57 - 2017-10-10 21:57 - 000000001 _RHOT C:\Users\11\AppData\Local\PowerMonitor 2017-10-08 16:13 - 2017-10-09 22:27 - 000000000 ____D C:\Users\11\AppData\Local\DuckGo 2017-10-08 16:10 - 2017-10-10 21:57 - 000000001 _RHOT C:\WINDOWS\system32\icacl.exe 2017-06-23 19:32 - 2017-06-23 19:38 - 000000063 _____ () C:\ProgramData\ijhg.vbs 2017-10-30 20:08 - 2017-07-29 06:06 - 002021888 ____H () C:\Users\11\AppData\Local\Temp\4828226d.dll 2017-10-30 20:08 - 2017-07-29 06:06 - 002021888 ____H () C:\Users\11\AppData\Local\Temp\878d87bf.dll 2017-10-30 20:12 - 2017-10-30 20:12 - 001531658 _____ ( ) C:\Users\11\AppData\Local\Temp\ICReinstall_DLLInjector v2.0 Installer_0189797056.exe 2017-10-28 22:44 - 2017-08-18 13:57 - 000157768 _____ () C:\Users\11\AppData\Local\Temp\Uninstall.exe 2017-06-23 19:32 - 2016-02-17 18:43 - 000008192 ____H () C:\ProgramData\DirectX11b\System.exe C:\ProgramData\DirectX11b HKU\S-1-5-21-228507632-4209997878-3055416944-1002\...\StartupApproved\Run: => "GoogleChromeAutoLaunch_4AB876F6CBA5D58370AB9F096647EA16" Reboot:
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.
WBR,
Vadim
Вроде все нормально
Удалите папку C:\FRST со всем содержимым.
Выполните рекомендации после лечения.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\cnight\cpuminer-sse2.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.czn
- c:\program files (x86)\maskit\maskitservice.exe - not-a-virus:AdWare.Win32.Agent.kdhz
- c:\programdata\framework\windows driver.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.hxao
- c:\windows\microsoft\svchost.exe - Trojan.Win32.SelfDel.gccw
- c:\windows\microsoft\svchost.exe.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.dio
Уважаемый(ая) SavedowW, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
