Вирус AmuleC [HEUR:Trojan.Win32.Generic ]

[7SEA]

Здравствуйте. Проблема в следующем:
На ноутбуке постоянно устанавливается сама по себе программа AmuleC (windows 10), открывается поисковик Амуле при запуске браузера (Chrome), иногда браузер закрывается самопроизвольно. На ноутбуке стоит стандартный Защитник windows. Удалял этот AmuleC через панель управления/Ccleaner, чистил/переустанавливал хром, пытался чистить ноутбук программами Malwarebytes Anti-Malware и другими подобными (и даже после всего этого в последнее время этот поисковик все равно открывается), но все бесполезно - через какое-то время программа снова устанавливается и все по новой. Уже не знаю что делать. Надеюсь на вашу помощь.
Файлы-отчеты прикрепил.

[Info_bot]

Уважаемый(ая) 7SEA, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe', '');
 QuarantineFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys', '');
 QuarantineFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys', '');
 QuarantineFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys', '');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\iSafeKrnlBoot.sys', '');
 QuarantineFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys', '');
 QuarantineFile('C:\WINDOWS\system32\GroupPolicy\Machine\Registry.pol', '');
 QuarantineFile('C:\Users\wertuall113\AppData\Roaming\bestsalesprofit\ml.py', '');
 QuarantineFile('C:\Program Files (x86)\Cosupy\GhrControls.dll', '');
 QuarantineFile('C:\ProgramData\WinSAPSvc\WinSAP.dll', '');
 QuarantineFile('C:\Users\wertuall113\AppData\Roaming\WinSnare\WinSnare.dll', '');
 QuarantineFile('C:\Users\wertuall113\AppData\Roaming\bestsalesprofit\updater.py', '');
 QuarantineFile('"C:\Program Files (x86)\MIO\MIO.exe"  -bindurl http://api.mhttxtv.com/hgstxhts541010a9e680_ja1000101rrdxm1rrdxmx.exe cmd=', '');
 QuarantineFile('C:\Program Files (x86)\MIO\MIO.exe', '');
 QuarantineFile('C:\Program Files (x86)\Cosupy\phergagh.exe', '');
 QuarantineFile('C:\ProgramData\wintools\WintoolUprI.exe', '');
 QuarantineFile('C:\Program Files (x86)\Elex-tech\YAC\uninstall.exe', '');
 DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe', '32');
 DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys', '32');
 DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys', '32');
 DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys', '32');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\iSafeKrnlBoot.sys', '32');
 DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys', '32');
 DeleteFile('C:\WINDOWS\system32\GroupPolicy\Machine\Registry.pol', '32');
 DeleteFile('C:\Users\wertuall113\AppData\Roaming\bestsalesprofit\ml.py', '32');
 DeleteFile('C:\Program Files (x86)\Cosupy\GhrControls.dll', '32');
 DeleteFile('C:\ProgramData\WinSAPSvc\WinSAP.dll', '32');
 DeleteFile('C:\Users\wertuall113\AppData\Roaming\WinSnare\WinSnare.dll', '32');
 DeleteFile('C:\Users\wertuall113\AppData\Roaming\bestsalesprofit\updater.py', '32');
 DeleteFile('"C:\Program Files (x86)\MIO\MIO.exe"  -bindurl http://api.mhttxtv.com/hgstxhts541010a9e680_ja1000101rrdxm1rrdxmx.exe cmd=', '32');
 DeleteFile('C:\Program Files (x86)\MIO\MIO.exe', '32');
 DeleteFile('C:\Program Files (x86)\Cosupy\phergagh.exe', '32');
 DeleteFile('C:\ProgramData\wintools\WintoolUprI.exe', '32');
 DeleteFile('C:\Program Files (x86)\Elex-tech\YAC\uninstall.exe', '32');
 DeleteService('iSafeService');
 DeleteService('iSafeKrnl');
 DeleteService('iSafeKrnlMon');
 DeleteService('iSafeKrnlR3');
 DeleteService('iSafeKrnlBoot');
 DeleteService('iSafeKrnlKit');
 DeleteFileMask('c:\program files (x86)\elex-tech', '*', true);
 DeleteFileMask('c:\users\wertuall113\appdata\roaming\bestsalesprofit', '*', true);
 DeleteFileMask('c:\program files (x86)\cosupy', '*', true);
 DeleteFileMask('c:\users\wertuall113\appdata\roaming\winsnare', '*', true);
 DeleteFileMask('"c:\program files (x86)\mio', '*', true);
 DeleteFileMask('c:\program files (x86)\mio', '*', true);
 DeleteFileMask('c:\programdata\wintools', '*', true);
 DeleteDirectory('c:\program files (x86)\elex-tech');
 DeleteDirectory('c:\users\wertuall113\appdata\roaming\bestsalesprofit');
 DeleteDirectory('c:\program files (x86)\cosupy');
 DeleteDirectory('c:\users\wertuall113\appdata\roaming\winsnare');
 DeleteDirectory('"c:\program files (x86)\mio');
 DeleteDirectory('c:\program files (x86)\mio');
 DeleteDirectory('c:\programdata\wintools');
 ExecuteFile('schtasks.exe', '/delete /TN "bestsalesprofit" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "bestsalesprofit2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Milimili" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Vohphstomt Cloud" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "WinTOOL" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{C08BD056-3557-455A-B027-0B35EED19C83}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{C2751620-E04E-47A5-A7F4-65A52322355B}" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'bestsalesprofit');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Atomily\Parameters', 'ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\WinSAPSvc\Parameters', 'ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\WinSnare\Parameters', 'ServiceDll');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>> [HTTP] "C:\Users\Public\Desktop\Google Chrome.lnk"       -> ["C:\Program Files (x86)\Shutness\Application\chrome.exe"  =>> hxxp://vvv.amisites.com/?type=sc&ts=1484830264&z=10aa9af20d02ac889feacedg6zdb6z1b3oaqbm0gcg&from=che0812&uid=HGSTXHTS541010A9E680_JA1000101RRDXM1RRDXMX]
>>> [HTTP] "C:\Users\wertuall113\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk"   -> ["C:\Program Files (x86)\Shutness\Application\chrome.exe"  =>> hxxp://vvv.amisites.com/?type=sc&ts=1484830264&z=10aa9af20d02ac889feacedg6zdb6z1b3oaqbm0gcg&from=che0812&uid=HGSTXHTS541010A9E680_JA1000101RRDXM1RRDXMX]
>>> [HTTP] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk"        -> ["C:\Program Files (x86)\Shutness\Application\chrome.exe"  =>> hxxp://vvv.amisites.com/?type=sc&ts=1484830264&z=10aa9af20d02ac889feacedg6zdb6z1b3oaqbm0gcg&from=che0812&uid=HGSTXHTS541010A9E680_JA1000101RRDXM1RRDXMX]
>>> [HTTP] "C:\Users\wertuall113\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk"   -> ["C:\Program Files (x86)\Shutness\Application\chrome.exe"  =>> hxxp://vvv.amisites.com/?type=sc&ts=1484830264&z=10aa9af20d02ac889feacedg6zdb6z1b3oaqbm0gcg&from=che0812&uid=HGSTXHTS541010A9E680_JA1000101RRDXM1RRDXMX]
>>> [HTTP] "C:\Users\wertuall113\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk"   -> ["C:\Program Files (x86)\Shutness\Application\chrome.exe"  =>> hxxp://vvv.amisites.com/?type=sc&ts=1484830264&z=10aa9af20d02ac889feacedg6zdb6z1b3oaqbm0gcg&from=che0812&uid=HGSTXHTS541010A9E680_JA1000101RRDXM1RRDXMX]
>>> [MASK] "C:\Users\wertuall113\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе Саnаry.lnk"      -> ["C:\Users\wertuall113\AppData\Local\Google\Chrome\Application\chrome.exe"  =>> hxxp://vvv.amisites.com/?type=sc&ts=1484830264&z=10aa9af20d02ac889feacedg6zdb6z1b3oaqbm0gcg&from=che0812&uid=HGSTXHTS541010A9E680_JA1000101RRDXM1RRDXMX]
>>> [MASK] "C:\Users\wertuall113\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk"   -> ["C:\Users\wertuall113\AppData\Local\Google\Chrome\Application\chrome.exe"  =>> hxxp://vvv.amisites.com/?type=sc&ts=1484830264&z=10aa9af20d02ac889feacedg6zdb6z1b3oaqbm0gcg&from=che0812&uid=HGSTXHTS541010A9E680_JA1000101RRDXM1RRDXMX]
>>>  "C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk"   -> ["C:\Program Files\Internet Explorer\iexplore.exe"]
>>>  "C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (3).lnk"         -> ["C:\Program Files\Internet Explorer\iexplore.exe"]
>>>  "C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer (2).lnk"         -> ["C:\Program Files\Internet Explorer\iexplore.exe"]
>>>  "C:\Users\wertuall113\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\KMPlayer.lnk"    -> ["C:\The KMPlayer\KMPlayer.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Chaos Group\V-Ray for SketchUp adv\Documentation\V-Ray for SketchUp Online Documentation.lnk"         -> ["C:\ProgramData\ASGVIS\Documentation\V-Ray for SketchUp 1.5 Documentation.url"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Chaos Group\V-Ray for SketchUp adv\Tools\OBJ GEO PLY to .vrmesh converter.lnk"    -> ["C:\Users\wertuall113\Desktop\AutoLogger\CheckBrowsersLNK\"C:\WINDOWS\system32\cmd.exe"  =>> /k ply2vrmesh.exe]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Chaos Group\V-Ray for SketchUp adv\Tools\VRImg to OpenEXR converter.lnk"          -> ["C:\Users\wertuall113\Desktop\AutoLogger\CheckBrowsersLNK\"C:\WINDOWS\system32\cmd.exe"  =>> /k vrimg2exr.exe]
>>>  "C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\CyberLink YouCam.lnk"    -> ["C:\Program Files (x86)\CyberLink\YouCam\Youcam_webcam_camera_video.exe"]
>>>  "C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\CyberLink Media Suite.lnk"         -> ["C:\Program Files (x86)\CyberLink\Media Suite\PS.exe"]

Отчёт о работе прикрепите.

Сделайте лог Malwarebytes AdwCleaner.

[7SEA]

Сделал все так, как указано.
Логи прикрепил.

[Vvvyg]

Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.

Сделайте новый лог такой версией Autologger.
И не пропадайте снова на месяц.

[7SEA]

Прикрепил.

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 QuarantineFile('c:\program files (x86)\bilibili\bilibili.dll', '');
 DeleteFile('c:\program files (x86)\bilibili\bilibili.dll', '32');
 DeleteFileMask('c:\program files (x86)\bilibili', '*', true);
 DeleteDirectory('c:\program files (x86)\bilibili');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\bilibili\Parameters', 'ServiceDll');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Удалите все установленные версии Java, они устаревшие и со множеством критических уязвимостей.
Если Java вообще нужна для каких- либо приложений, игр (и Вы точно знаете, для каких именно) - установите Java 8 Update 111.
Учтите, что 64-bit версия Java нужна только для очень ограниченного круга приложений.

Сообщите, что с проблемой.

[7SEA]

Java удалил.

[Vvvyg]

Уведомление

Куда я просил quarantine.zip загрузить?

Вы вирусы через форум распространяете
И что с проблемой не ответили.

[7SEA]

Ой, извиняюсь.
Пока вроде бы все тихо...ничего не устанавливается, не вылетает.

[Vvvyg]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Кроме уже установленных, отметьте галочками также "90 Days Files".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

[7SEA]

готово

[Vvvyg]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
ShellExecuteHooks: No Name - {30902D2E-C680-11E6-BC65-64006A5CFC23} -  -> No File
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
SearchScopes: HKLM -> {7BA7F417-8D7B-4F53-9B7B-CFBC677B6BBB} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM-x32 -> {7BA7F417-8D7B-4F53-9B7B-CFBC677B6BBB} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms}
hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms}
FF Plugin-x32: adobe.com/AdobeExManDetect -> C:\Program Files (x86)\Adobe\Adobe Extension Manager CS6\npAdobeExManDetectX86.dll [No File]
FF Plugin HKU\.DEFAULT: @hola.org/vlc,version=1.8.328 -> C:\Users\wertuall113\AppData\Local\Hola\firefox_hola\app\vlc [No File]
FF Plugin HKU\S-1-5-21-1731174191-128569435-878101062-1002: @hola.org/vlc,version=1.8.328 -> C:\Users\wertuall113\AppData\Local\Hola\firefox\app\vlc [No File]
CHR HKLM-x32\...\Chrome\Extension: [gbccghhdjglljkekkhmlfnmnjiipdfcb] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [kojodkdnpiidbiicdjbfkoknpekkikpb] - C:\Users\wertuall113\AppData\Roaming\Crx\Files\kojodkdnpiidbiicdjbfkoknpekkikpb_0.2.3.crx [2014-04-22]
S2 Atomily; C:\WINDOWS\system32\svchost.exe [44496 2016-07-16] (Microsoft Corporation)
S2 Atomily; C:\WINDOWS\SysWOW64\svchost.exe [38792 2016-07-16] (Microsoft Corporation)
S2 bilibili; C:\WINDOWS\SysWoW64\svchost.exe [38792 2016-07-16] (Microsoft Corporation)
2017-02-14 19:00 - 2017-02-19 13:59 - 00000000 ____D C:\Program Files (x86)\bilibili
Task: {23239856-C1F8-4006-9122-0120E12CF90D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {2B8433FA-2062-480C-9A89-37D57D681D6A} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {B20CBBBB-3D8D-4DFA-B659-E1040AECAC98} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {B217EF28-9942-4186-B850-72BCE636791C} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {BA99CE33-C0F4-46B6-B66C-7C8ACFB348FF} - \Format Factory -> No File <==== ATTENTION
Task: {BD79D46B-6712-4791-9F76-95C8AC102503} - \Microsoft\Windows\Setup\GWXTriggers\Logon-URT -> No File <==== ATTENTION
Task: {CED0DEDE-2054-481C-8D07-B69A87A60F04} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {D1036714-57A5-41A3-9D7B-AFCD159EAA34} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {D4E74BA3-A439-49A7-B38F-1C363B019DDB} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {E740A30C-46DC-47AD-A39E-2FD163081E49} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {E91AED02-9473-49DF-B939-C936A59107EE} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {EB57D7F0-9F07-46BE-8440-07618C4D2FD8} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {F8164534-5ED4-4306-BD97-CE86C729620A} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`26hfm [0]
AlternateDataStreams: C:\ProgramData\Temp:A1EDB939 [230]
HKU\S-1-5-21-1731174191-128569435-878101062-1002\...\StartupApproved\StartupFolder: => "bestsalesprofit.lnk"
HKU\S-1-5-21-1731174191-128569435-878101062-1002\...\StartupApproved\Run: => "mailruhomesearch"
HKU\S-1-5-21-1731174191-128569435-878101062-1002\...\StartupApproved\Run: => "bestsalesprofit"
C:\Users\wertuall113\AppData\Roaming\bestsalesprofit
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

[7SEA]

вот

[Vvvyg]

Теперь чисто, подтвердите.

[7SEA]

Dr.web cureit -чисто
adwcleaner нашел каких-то 3 "вируса"(или что-то вроде того)

[Vvvyg]

Прикрепите лог.

[7SEA]

Судя по дате и времени создания, это должны быть они (либо один из них)

[Vvvyg]

После очистки в AdwCleaner снова эти записи находятся?

[7SEA]

я после очистки их и скинул вроде как