Вирус в оперативной памяти, создаются ярлыки похожие на папки

**dddimmm** · 05.06.2018, 14:25

Здравствуйте!
Ноутбук на W10 x64, пробовал чистить утилитой cureit и kvrt. Первый нашел около 40 и удалил, второй нашел сначала 15, удалил и после повторного сканирования постоянно ловит вирус работающий в памяти. На рабочем столе появляются ярлыки с иконками как у папок, они без имени.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 05.06.2018, 14:27

Уважаемый(ая) dddimmm, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 05.06.2018, 22:11

Выполните скрипт в AVZ:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('C:\Program Files\Jetmedia\NativeDesktopMediaService\desktop_media_service.exe');
 StopService('NativeDesktopMediaService');
 QuarantineFile('C:\PROGRA~3\b7f51caf\b03e5905.dll', '');
 QuarantineFile('C:\Program Files\Jetmedia\NativeDesktopMediaService\checker.exe', '');
 QuarantineFile('C:\Program Files\Jetmedia\NativeDesktopMediaService\desktop_media_service.exe', '');
 QuarantineFile('C:\Users\Irina\AppData\Local\AD5E23~1\{B03E5~1.', '');
 QuarantineFile('C:\WINDOWS\System32\bstreamsvc.dll', '');
 QuarantineFile('C:\WINDOWS\System32\drivers\mracdrv.sys', '');
 QuarantineFile('C:\WINDOWS\system32\icacl.exe', '');
 QuarantineFile('C:\WINDOWS\System32\mracsvc.exe', '');
 DeleteFile('C:\PROGRA~3\b7f51caf\b03e5905.dll', '');
 DeleteFile('C:\Program Files (x86)\Smart Application Controller\smappscontroller.exe', '');
 DeleteFile('C:\Program Files\Jetmedia\NativeDesktopMediaService\checker.exe', '');
 DeleteFile('C:\Program Files\Jetmedia\NativeDesktopMediaService\desktop_media_service.exe', '');
 DeleteFile('C:\Users\Irina\AppData\Local\AD5E23~1\{B03E5~1.', '');
 DeleteFile('C:\WINDOWS\System32\bstreamsvc.dll', '32');
 DeleteFile('C:\WINDOWS\system32\icacl.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "{67DDA4BA-A4CB-0D9D-F7BF-A96BC50AA939}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "CD9ED31E-FBE4-23D9-968D-C3FC7BBCC45F" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "CheckControllerUpdatesUA" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Checker64" /F', 0, 15000, true);
 DeleteService('icacl');
 DeleteService('NativeDesktopMediaService');
 DeleteFileMask('c:\progra~3\b7f51caf', '*', true);
 DeleteFileMask('c:\program files (x86)\smart application controller', '*', true);
 DeleteFileMask('c:\program files\jetmedia', '*', true);
 DeleteFileMask('c:\users\irina\appdata\local\ad5e23~1', '*', true);
 DeleteFileMask('c:\users\irina\appdata\local\mail.ru', '*', true);
 DeleteDirectory('c:\progra~3\b7f51caf');
 DeleteDirectory('c:\program files (x86)\smart application controller');
 DeleteDirectory('c:\program files\jetmedia');
 DeleteDirectory('c:\users\irina\appdata\local\ad5e23~1');
 DelBHO('{8E8F97CD-60B5-456F-A201-73065652D099}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\BitStreamSvc\Parameters', 'ServiceDll');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Перетащите лог Check_Browsers_LNK.log из папки Autologger на утилиту ClearLNK. Отчёт о работе прикрепите.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**dddimmm** · 06.06.2018, 06:11

Карантин отправил
Файл сохранён как 180606_030523_quarantine_5b174f739e2b8.zip
Размер файла 13361535
MD5 5a210a188720c8677dda3d5f3e67f2f4

остальные файлы прикрепил к сообщению

**Vvvyg** · 06.06.2018, 08:53

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
Closeprocesses:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
SearchScopes: HKLM -> DefaultScope {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = hxxp://go-search.ru/search?q={searchTerms}
SearchScopes: HKLM -> {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = hxxp://go-search.ru/search?q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = hxxp://go-search.ru/search?q={searchTerms}
SearchScopes: HKLM-x32 -> {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = hxxp://go-search.ru/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-3204552949-3596739902-3127209903-1001 -> 2e98e2ca-1faf-11e8-a607-b870f48a3c89 URL = hxxp://go-search.ru/search?q={searchTerms}
FF Extension: (No Name) - C:\Users\Irina\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\2ce5-76d8-d67c-2213 [2018-02-24] [not signed]
FF Extension: (Пульт) - C:\Users\Irina\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7}.xpi [2018-03-03]
FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [No File]
FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.33.7\npGoogleUpdate3.dll [No File]
FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.33.7\npGoogleUpdate3.dll [No File]
FF Plugin HKU\S-1-5-21-3204552949-3596739902-3127209903-1001: @mail.ru/GameCenter -> C:\Users\Irina\AppData\Local\Mail.Ru\GameCenter\NPDetector.dll [No File]
CHR HKU\S-1-5-21-3204552949-3596739902-3127209903-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3204552949-3596739902-3127209903-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gkdkfnbddpdpidbpnljcocpjeaafngdb] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3204552949-3596739902-3127209903-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3204552949-3596739902-3127209903-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3204552949-3596739902-3127209903-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ajflepegnononcfmoikdnephfleldnbh] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [cpegcopcfajiiibidlaelhjjblpefbjk] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [epgjfmblhacacphaljkdcjllkomdcjpc] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [geidjeefddhgefeplhdlegoldlgiodon] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [glcimepnljoholdmjchkloafkggfoijh] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lgdnilodcpljomelbbnpgdogdbmclbni] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pcodcgbpjdphncjkengnfigoiemaiapc] - hxxps://clients2.google.com/service/update2/crx
S2 BitStreamSvc; C:\WINDOWS\System32\svchost.exe [44496 2016-07-16] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 BitStreamSvc; C:\WINDOWS\SysWOW64\svchost.exe [38792 2016-07-16] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
S2 DirectX11b; C:\ProgramData\DirectX11b\System.exe [8192 2016-02-17] () [File not signed] <==== ATTENTION
S2 Framework; C:\ProgramData\WindowsSQL\System.exe [8192 2016-02-17] () [File not signed] <==== ATTENTION
S2 MinerGate; C:\ProgramData\Framework\System.exe [8192 2016-02-17] () [File not signed] <==== ATTENTION
2018-06-06 08:07 - 2018-03-04 21:49 - 000000000 ____D C:\Users\Irina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Lite
2018-06-04 15:44 - 2018-03-03 19:32 - 000000000 ____D C:\Users\Irina\AppData\Roaming\wget
2018-06-04 15:36 - 2018-03-03 19:32 - 000000000 ____D C:\Users\Irina\AppData\LocalLow\DuckGo
2018-06-04 15:35 - 2017-09-23 16:02 - 000000000 ____D C:\Users\Irina\AppData\Roaming\System
C:\ProgramData\DirectX11b
C:\ProgramData\WindowsSQL
C:\ProgramData\Framework
Task: {38FA60C7-4EAD-4041-89FC-666E1307492E} - System32\Tasks\MailRuUpdater => C:\Users\Irina\AppData\Local\Mail.Ru\MailRuUpdater.exe <==== ATTENTION
Task: {5F36201D-B86E-4305-B351-1CD8DD642865} - \wget -> No File <==== ATTENTION
Task: {7D9F5414-0C35-4586-B2AF-77F2B30EAF70} - \Yandex.Stroka.User.S-1-5-21-3204552949-3596739902-3127209903-1001 -> No File <==== ATTENTION
FirewallRules: [TCP Query User{024F04FA-DBA9-4F43-AD6B-D1A7109919B0}C:\programdata\ubar\ubar\ubar.exe] => (Allow) C:\programdata\ubar\ubar\ubar.exe
FirewallRules: [UDP Query User{99F2FBCC-891A-4583-9A5D-7F7507E5E63A}C:\programdata\ubar\ubar\ubar.exe] => (Allow) C:\programdata\ubar\ubar\ubar.exe
FirewallRules: [{F9B8FE13-9BAC-4403-9265-793D1EA76448}] => (Allow) C:\Users\Irina\AppData\Local\Amigo\Application\amigo.exe
FirewallRules: [{211CDE8C-2E88-4351-83DB-9426700CD8B3}] => (Allow) C:\Program Files (x86)\Opera\48.0.2685.32\opera.exe
FirewallRules: [{EA1ADE79-1CF5-4225-9A40-B9AC57000DE3}] => (Allow) C:\WINDOWS\SysWOW64\msiexec.exe
FirewallRules: [{F0483399-BBFD-46E9-9C24-7837F7EB3E09}] => (Allow) C:\Users\Irina\IOeauKyS.exe
FirewallRules: [{CCDFA3E2-2730-4195-9AA2-1EBBC5B56718}] => (Allow) C:\WINDOWS\SysWOW64\vbwBr.exe
FirewallRules: [{1BFAF40B-1A71-4F9C-AD9C-192494B152CD}] => (Allow) C:\Users\Irina\AppData\Local\yc\Application\yc.exe
FirewallRules: [{34B9DBF4-EA56-48C1-AD81-31DE25571376}] => (Allow) C:\Users\Irina\AppData\Local\Lite\Application\lite.exe
FirewallRules: [{AF74606D-6F96-48C8-8B1E-7CB0C0546466}] => (Allow) C:\Program Files\Jetmedia\NativeDesktopMediaService\desktop_media_service.exe
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Удалите программы:
ScreenUp
NativeDesktopMediaService
setupsk
Smart Application Controller
Менеджер браузеров

Если игры от Mail.Ru не используете - ещё и эти: Игровой центр, Служба автоматического обновления программ.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

**dddimmm** · 06.06.2018, 09:20

прикрепил

**Vvvyg** · 06.06.2018, 20:41

Обновите обязательно:

--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 25 PPAPI v.25.0.0.171 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Google Chrome v.66.0.3359.117 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^

Проблема решена?

**dddimmm** · 07.06.2018, 11:26

Сообщение от Vvvyg

Обновите обязательно:
Проблема решена?

проблема осталась, на рабочем столе создаются пустые папки без имени

- - - - -Добавлено - - - - -

спасибо вам за помощь, очистил я SSD диск с помощью Secure Erase и установил систему заново.

**CyberHelper** · 07.06.2018, 11:36

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 4
В ходе лечения вредоносные программы в карантинах не обнаружены

Вирус в оперативной памяти, создаются ярлыки похожие на папки (заявка № 219192)

Опции темы