Неугомонный gmyens [Worm.Win32.AutoRun.iea, Trojan-Ransom.Win32.Blocker.jcen ]

**Алексей Шумов** · 05.01.2018, 17:10

Здавствуйте, недавно заметил ухудшение производительности ПК. Открыв диспетчер задач, я обнаружил незнакомые процессы с называнием gmyens.exe, которые слегка нагружают систему. В поисках объяснения в интернете я ввел название данного процесса в поисковой системе, что повлекло за собой самопроизвольное закрытие браузера через пару секунд. То же самое происходит при попытке ввести в поисковых системах слова "virus" или в адресной строке (на ваш сайт также зайти не получилось). Также при открытии свойств файла gmyens.exe окно закрывалось. В итоге удалось создать тему, закрывая дерево процессов, но через пару минут процесс снова запускается. Заранее спасибо!
P.S. запустить антивирус от Mawarebytes не дает!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 05.01.2018, 17:11

Уважаемый(ая) Алексей Шумов, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 08.01.2018, 12:50

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('c:\users\jim\appdata\local\temp\gmyens.exe');
 TerminateProcessByName('c:\users\jim\appdata\local\temp\sieunctcwjupzihr.exe');
 QuarantineFile('C:\~SAMIns.TMP', '');
 QuarantineFile('C:\autorun.inf', '');
 QuarantineFile('C:\iqemxeno.bat', '');
 QuarantineFile('C:\Users\Jim\AppData\Local\Temp\gaaurkfsqhwvjwznuebp.exe', '');
 QuarantineFile('c:\users\jim\appdata\local\temp\gmyens.exe', '');
 QuarantineFile('C:\Users\Jim\AppData\Local\Temp\sieunctcwjupzihr.exe .', '');
 QuarantineFile('c:\users\jim\appdata\local\temp\sieunctcwjupzihr.exe', '');
 QuarantineFile('C:\Users\Jim\AppData\Local\Temp\vqrmkeaonfvvkycrzkixp.exe .', '');
 QuarantineFile('C:\Users\Jim\AppData\Local\Temp\vqrmkeaonfvvkycrzkixp.exe', '');
 QuarantineFile('C:\Windows\system32\iayqlcvgcrebnyzlqy.exe', '');
 QuarantineFile('C:\Windows\system32\tmleasmyvlzxkwylraw.exe', '');
 QuarantineFile('C:\Windows\system32\zqneyogqlzlhsccnr.exe', '');
 QuarantineFile('C:\Windows\TEMP\3F22472.sys', '');
 QuarantineFile('D:\autorun.inf', '');
 QuarantineFile('D:\iqemxeno.bat', '');
 QuarantineFile('E:\autorun.inf', '');
 QuarantineFile('E:\iqemxeno.bat', '');
 DeleteFile('C:\~SAMIns.TMP', '32');
 DeleteFile('C:\autorun.inf', '32');
 DeleteFile('C:\iqemxeno.bat', '32');
 DeleteFile('C:\Users\Jim\AppData\Local\Temp\gaaurkfsqhwvjwznuebp.exe', '32');
 DeleteFile('c:\users\jim\appdata\local\temp\gmyens.exe', '32');
 DeleteFile('C:\Users\Jim\AppData\Local\Temp\sieunctcwjupzihr.exe .', '32');
 DeleteFile('c:\users\jim\appdata\local\temp\sieunctcwjupzihr.exe', '32');
 DeleteFile('C:\Users\Jim\AppData\Local\Temp\vqrmkeaonfvvkycrzkixp.exe .', '32');
 DeleteFile('C:\Users\Jim\AppData\Local\Temp\vqrmkeaonfvvkycrzkixp.exe', '32');
 DeleteFile('C:\Windows\system32\iayqlcvgcrebnyzlqy.exe', '32');
 DeleteFile('C:\Windows\system32\tmleasmyvlzxkwylraw.exe', '32');
 DeleteFile('C:\Windows\system32\zqneyogqlzlhsccnr.exe', '32');
 DeleteFile('C:\Windows\Tasks\At1.job', '32');
 DeleteFile('C:\Windows\Tasks\At2.job', '32');
 DeleteFile('D:\autorun.inf', '32');
 DeleteFile('D:\iqemxeno.bat', '32');
 DeleteFile('E:\autorun.inf', '32');
 DeleteFile('E:\iqemxeno.bat', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "At1" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "At2" /F', 0, 15000, true);
 DeleteFileMask('C:\Users\Jim\AppData\Local\Temp', '*.exe', false);
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'jwpcsesypzhzg');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'scscpyjmah');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'kysgxkzgyjslta');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'nypaoykodlr');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'kwoapansiryp');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'zixgsakmz');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'scscpyjmah');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'sieunctcwjupzihr');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'ncxmesiqjvfziqo');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'nypaoykodlr');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(8);
 ExecuteRepair(10);
 ExecuteRepair(17);
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте новый лог Autologger.

**Алексей Шумов** · 08.01.2018, 14:30

готово

**Vvvyg** · 08.01.2018, 15:41

Выполните скрипт в AVZ:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\jim\appdata\local\temp\gmyens.exe');
 TerminateProcessByName('c:\windows\zqneyogqlzlhsccnr.exe');
 QuarantineFile('C:\autorun.inf', '');
 QuarantineFile('C:\iqemxeno.bat', '');
 QuarantineFile('C:\Users\Jim\AppData\Local\Temp\gaaurkfsqhwvjwznuebp.exe .', '');
 QuarantineFile('c:\users\jim\appdata\local\temp\gmyens.exe', '');
 QuarantineFile('C:\Users\Jim\AppData\Local\Temp\sieunctcwjupzihr.exe', '');
 QuarantineFile('C:\Users\Jim\AppData\Local\Temp\vqrmkeaonfvvkycrzkixp.exe', '');
 QuarantineFile('C:\Users\Jim\AppData\Local\Temp\zqneyogqlzlhsccnr.exe .', '');
 QuarantineFile('C:\Windows\system32\gaaurkfsqhwvjwznuebp.exe', '');
 QuarantineFile('C:\Windows\system32\iayqlcvgcrebnyzlqy.exe', '');
 QuarantineFile('C:\Windows\system32\sieunctcwjupzihr.exe', '');
 QuarantineFile('C:\Windows\system32\zqneyogqlzlhsccnr.exe', '');
 QuarantineFile('c:\windows\zqneyogqlzlhsccnr.exe', '');
 QuarantineFile('D:\autorun.inf', '');
 QuarantineFile('D:\iqemxeno.bat', '');
 QuarantineFile('E:\autorun.inf', '');
 QuarantineFile('E:\iqemxeno.bat', '');
 DeleteFile('C:\autorun.inf', '32');
 DeleteFile('C:\iqemxeno.bat', '32');
 DeleteFile('C:\Users\Jim\AppData\Local\Temp\gaaurkfsqhwvjwznuebp.exe .', '32');
 DeleteFile('c:\users\jim\appdata\local\temp\gmyens.exe', '32');
 DeleteFile('C:\Users\Jim\AppData\Local\Temp\sieunctcwjupzihr.exe', '32');
 DeleteFile('C:\Users\Jim\AppData\Local\Temp\vqrmkeaonfvvkycrzkixp.exe', '32');
 DeleteFile('C:\Users\Jim\AppData\Local\Temp\zqneyogqlzlhsccnr.exe .', '32');
 DeleteFile('C:\Windows\system32\gaaurkfsqhwvjwznuebp.exe', '32');
 DeleteFile('C:\Windows\system32\iayqlcvgcrebnyzlqy.exe', '32');
 DeleteFile('C:\Windows\system32\sieunctcwjupzihr.exe', '32');
 DeleteFile('C:\Windows\system32\zqneyogqlzlhsccnr.exe', '32');
 DeleteFile('c:\windows\zqneyogqlzlhsccnr.exe', '32');
 DeleteFile('D:\autorun.inf', '32');
 DeleteFile('D:\iqemxeno.bat', '32');
 DeleteFile('E:\autorun.inf', '32');
 DeleteFile('E:\iqemxeno.bat', '32');
 DeleteFileMask('C:\Users\Jim\AppData\Local\Temp', '*.exe', false);
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'jwpcsesypzhzg');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'scscpyjmah');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'kysgxkzgyjslta');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'nypaoykodlr');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'kwoapansiryp');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'zixgsakmz');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'scscpyjmah');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'sieunctcwjupzihr');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'ncxmesiqjvfziqo');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'nypaoykodlr');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(8);
 ExecuteRepair(10);
 ExecuteRepair(17);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

**Алексей Шумов** · 08.01.2018, 16:50

Vvvyg, готово

- - - - -Добавлено - - - - -

забыл сказать, что во многих старых папках были созданы файлы с названием этих папок и расширениями "bat" и "scr"

**Vvvyg** · 08.01.2018, 17:17

Скопируйте скрипт из окна "код" ниже в буфер обмена:

Код:

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
sreg
bl F63830039A3F64717BC8508B5308B64B 704512
delmz %SystemDrive%\USERS\ПОВЕЛИТЕЛЬ\APPDATA\LOCAL\TEMP\GMYENS.EXE
bl 0626ECE4589E979ADE9DEFA912B57DF3 606208
addsgn 988C1FEA242A4C9A74D7AEB1DB5C120525013B1E0AEA1F780CA62D37A45F4F1ADC02B7277E5516073B09895FB55049713BDB4BBEA69CB0A77B7F2D3A17F56473 8 Worm.Win32.AutoRun.iea [Kaspersky] 7

zoo %SystemDrive%\USERS\ПОВЕЛИТЕЛЬ\APPDATA\LOCAL\TEMP\GMYENS.EXE
addsgn 988C1F62E2284C9AE623514EDB5C120525013B1ECC08E0870CA62D37A45F4F1ADC0243F77C5516073B0989E77C5049713BDB4BF66F9CB0A77B7F2D3A4F3C6473 8 Trojan.Win32.AntiAV.pqv [Kaspersky] 7
zoo E:\ПРОЧЕЕ\ЗАГОТОВКА HTML\ЗАГОТОВКА HTML.PIF
chklst
delvir
delmz %SystemRoot%\GAAURKFSQHWVJWZNUEBP.EXE
delmz %SystemRoot%\SIEUNCTCWJUPZIHR.EXE
delmz %SystemDrive%\USERS\ПОВЕЛИТЕЛЬ\APPDATA\LOCAL\TEMP\TMLEASMYVLZXKWYLRAW.EXE
delmz %SystemDrive%\USERS\ПОВЕЛИТЕЛЬ\APPDATA\LOCAL\TEMP\ZQNEYOGQLZLHSCCNR.EXE
regt 2
deltmp
czoo
delref %SystemDrive%\USERS\ПОВЕЛИТЕЛЬ\APPDATA\LOCAL\MAIL.RU\GAMECENTER\[email protected]
apply
areg

Закройте все броузеры, запустите командный файл script.cmd из папки с uVS. Когда откроется окно со скриптом, нажмите "Выполнить".
Компьютер перезагрузится.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Сделайте новый полный образ автозапуска uVS, загрузите в доступное облачное хранилище или на файлообменник (rghost.ru, например) и дайте ссылку в личном сообщении.

**Алексей Шумов** · 08.01.2018, 17:25

Vvvyg, компьютер словно отказывается запустить script.cmd. Окно появляется меньше чем на секунду и закрывается. От имени администратора также пробовал.

**Vvvyg** · 08.01.2018, 17:32

Тогда так.
Скопируйте скрипт в буфер обмена (выделить и нажать Ctrl-C). Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.
Далее как написано выше.

**Алексей Шумов** · 08.01.2018, 18:07

Vvvyg, Готово, но хотелось бы отметить что после выполнения скрипта появилось окно, в котором было написано что-то типа "Не удалось заменить реестр, нажмите ОК для перезагрузки системы" (точной формулировки не помню).
Лог выполнения скрипта загрузил на rghost тоже, тк менеджер вложений больше не разрешает загружать файлы

Лог выполнения скрипта
Полный образ автозапуска

**Vvvyg** · 08.01.2018, 18:17

Всё штатно прошло, справились, судя по логу и образу.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Загрузите эти файлы и дайте ссылку (лучше оба в одном архиве).

**Алексей Шумов** · 08.01.2018, 18:25

Vvvyg, принимайте.
Отчет

**Vvvyg** · 08.01.2018, 19:25

Источник заразы, видимо, этот файл: E:\ПРОЧЕЕ\ЗАГОТОВКА HTML\ЗАГОТОВКА HTML.PIF
Уже зачистили.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
2018-01-08 15:52 - 2018-01-08 18:12 - 000606208 __RSH C:\Windows\SysWOW64\tmleasmyvlzxkwylraw.exe
2017-12-31 14:04 - 2018-01-08 18:12 - 000606208 __RSH C:\Windows\vqrmkeaonfvvkycrzkixp.exe
2017-12-31 14:04 - 2018-01-08 18:12 - 000606208 __RSH C:\Windows\tmleasmyvlzxkwylraw.exe
2017-12-31 14:04 - 2018-01-08 18:12 - 000606208 __RSH C:\Windows\SysWOW64\vqrmkeaonfvvkycrzkixp.exe
2017-12-31 14:04 - 2018-01-08 18:12 - 000606208 __RSH C:\Windows\SysWOW64\mikgfaxmmfwxnchxgsrhai.exe
2017-12-31 14:04 - 2018-01-08 18:12 - 000606208 __RSH C:\Windows\mikgfaxmmfwxnchxgsrhai.exe
2017-12-31 14:04 - 2018-01-08 18:12 - 000606208 __RSH C:\Windows\iayqlcvgcrebnyzlqy.exe
2018-01-08 18:09 - 2016-10-01 13:16 - 000000272 ____H C:\Windows\xwbacaasvrlpiaibncext.eaz
2018-01-08 18:09 - 2016-10-01 13:16 - 000000272 ____H C:\Windows\SysWOW64\xwbacaasvrlpiaibncext.eaz
2018-01-08 18:09 - 2016-10-01 13:16 - 000000272 ____H C:\Users\Jim\AppData\Local\xwbacaasvrlpiaibncext.eaz
2018-01-08 18:09 - 2016-10-01 13:16 - 000000272 ____H C:\Program Files (x86)\xwbacaasvrlpiaibncext.eaz
2018-01-07 22:58 - 2016-10-02 23:21 - 000000272 ____H C:\Users\Повелитель\AppData\Local\xwbacaasvrlpiaibncext.eaz
2016-10-01 13:16 - 2016-10-01 13:16 - 000004088 ____H () C:\Program Files (x86)\scscpyjmahmbfibfccptawhoyoylufiw.ixb
2016-10-01 13:16 - 2016-10-01 13:16 - 000004088 ____H () C:\Users\Jim\AppData\Local\scscpyjmahmbfibfccptawhoyoylufiw.ixb
2016-10-01 13:16 - 2018-01-08 18:09 - 000000272 ____H () C:\Users\Jim\AppData\Local\xwbacaasvrlpiaibncext.eaz
S2 AODDriver4.3; \??\C:\Program Files\AMD\ATI.ACE\Fuel\amd64\AODDriver2.sys [X]
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

**Алексей Шумов** · 08.01.2018, 19:41

Кстати, заметил что те неизвестные ярлыки находятся только в папках того локального диска, в котором находится папка "прочее".

**Vvvyg** · 08.01.2018, 19:55

Сделайте лог сканирования МВАМ.

**Алексей Шумов** · 09.01.2018, 00:40

уже 3 часа проверки, это нормальное явление?

- - - - -Добавлено - - - - -

Vvvyg, MBAM

**Vvvyg** · 09.01.2018, 06:56

Да, норм.

Удалите в MBAM всё найденное.

**Алексей Шумов** · 09.01.2018, 20:52

Vvvyg, Все удалил вроде бы...

**Vvvyg** · 09.01.2018, 21:09

Тогда порядок.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt, прикрепите его к сообщению.

**Алексей Шумов** · 09.01.2018, 21:21

Vvvyg, готово. Но у меня есть подозрения, что MBAM не удалил некоторые защищенные файлы. К примеру, на диске "С" остались непонятные "scscpyjmah.bat" и "kwoapansiryp.bat".
P.S. эти 2 файла, оказывается, есть на каждом из локальных дисков.

Неугомонный gmyens [Worm.Win32.AutoRun.iea, Trojan-Ransom.Win32.Blocker.jcen ] (заявка № 217013)

Опции темы