Junior Member
Вес репутации
30
Выскакивает инсталлятор [Trojan-Downloader.MSIL.Agent.ajxh, not-a-virus:Downloader.Win32.AdLoad.ujpe
]
Последнее время выскакивает в винде какие-то непонятные инсталяшки, отменить нечего нельзя, а как закрываю через диспетчер задач, так она закрывается и пишет "Finishing installation", после выкидывает на сайт thankyouinstall.com. Что делать? чем лечить ?!
Причем в диспетчере задач каждый раз инсталлятор по разному называется, то какие-то dotapitseason4, то что-то еще..
Заранее благодарю.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) iniart , спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи .
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Здравствуйте,
Не прикладывайте карантин как вложение, только загружайте по ссылке "Прислать запрошенный карантин " вверху темы.
AVZ выполнить следующий скрипт .
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
StopService('afoir');
StopService('caMyciloP');
StopService('rkdownilad');
StopService('serfev');
DeleteService('afoir');
DeleteService('caMyciloP');
DeleteService('rkdownilad');
DeleteService('serfev');
QuarantineFile('C:\Program Files (x86)\MTV20160128\MTView.exe','');
QuarantineFile('C:\Program Files (x86)\Xfer Records\Serum\MiniHostModular.exe','');
QuarantineFile('C:\Program Files\VSTPlugins\Serum_x64.dll','');
QuarantineFile('C:\ProgramData\afoir\afoir.exe','');
QuarantineFile('C:\ProgramData\caMyciloP\caMyciloP.exe','');
QuarantineFile('C:\ProgramData\serfev\Homejoyhold.dll','');
QuarantineFile('C:\ProgramData\serfev\serfev.exe','');
QuarantineFile('C:\PROGRA~2\QUICKV~1\PROGRAM\QVPSE4.DLL','');
QuarantineFile('C:\Users\Martin\AppData\Local\Domcan.exe','');
QuarantineFile('C:\Users\Martin\appdata\roaming\freevpn\freevpn.exe','');
QuarantineFile('C:\Windows\csrss.exe','');
QuarantineFile('C:\Windows\svchost.exe','');
QuarantineFile('C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_20_0_0_306_Plugin.exe','');
DeleteFile('C:\Program Files (x86)\MTV20160128\MTView.exe','32');
DeleteFile('C:\ProgramData\afoir\afoir.exe','32');
DeleteFile('C:\ProgramData\caMyciloP\caMyciloP.exe','32');
DeleteFile('C:\ProgramData\serfev\Homejoyhold.dll','32');
DeleteFile('C:\ProgramData\serfev\serfev.exe','32');
DeleteFile('C:\Users\Martin\AppData\Roaming\FreeVPN\FreeVPN.exe','32');
DeleteFile('C:\Windows\csrss.exe','32');
DeleteFile('C:\Windows\svchost.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\SystemRestore\FreeVPN','64');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','uTorrent');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин " вверху темы.
- Подготовьте лог AdwCleaner и приложите его в теме.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
30
Добрый вечер.
Спасибо за ответ, сделал всё как вы написали,
вверху темы приложил карантинный архив и сюда прикреплю лог AdwCleaner`a.
Вложения
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
30
Вложения
- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание : необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5" .
Нажмите кнопку Scan . После окончания сканирования будет создан отчет (FRST.txt ) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt ). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
30
Вложения
Сами устанавливали BitTorrent как службу?
S4 BitTorrent; "C:\Program Files\BitTorrent\BitTorrent.exe" /s iid=4752250 did=APSnapdoAMRev sid=3 ref=31fa092d-8ee2-7946-bba4-ac95dbfb87bf-PolicyMac id=9cea554aa08b9dc59ff537cae7a142cb360d19683b0e5b4 827d3c32b8c97eab1 [X]
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
CloseProcesses:
ShellExecuteHooks-x32: Quick View Plus - ShellExecute Hook - {0cab0400-7395-11d0-a5e5-0020afe2fdd9} - qvphook.dll No File [ ]
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://api.youqian.baidu.com/v1/nav?soft=12&uid=50123650&guid=1a997b4c944a03621a8429db2758b855&vd=2120409124
SearchScopes: HKLM-x32 -> DefaultScope value is missing
BHO-x32: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files (x86)\Microsoft Office\Office14\URLREDIR.DLL => No File
FF Plugin HKU\.DEFAULT: @hola.org/FlashPlayer -> C:\Users\Martin\AppData\Local\Hola\firefox_hola\app\flash\NPSWF32_18_0_0_232.dll [No File]
FF HKLM-x32\...\Firefox\Extensions: [[email protected] ] - C:\Users\Martin\AppData\Roaming\Mozilla\Firefox\Profiles\en0lhjw5.default\extensions\[email protected] => not found
CHR HKLM-x32\...\Chrome\Extension: [ckjefchnfjhjfedoccjbhjpbncimppeg] - hxxps://clients2.google.com/service/update2/crx
Folder: C:\Users\Martin\AppData\Roaming\vnlgp
Folder: C:\Users\Martin\AppData\Roaming\Xfer
Folder: C:\ProgramData\Waves Audio
2016-02-18 11:21 - 2016-02-18 11:21 - 3068556 _____ () C:\Program Files\Common Files\31nu2vr0.exe
2016-02-17 00:20 - 2016-02-17 00:20 - 3066974 _____ () C:\Program Files\Common Files\33pmu3bc.exe
2016-02-18 12:21 - 2016-02-18 12:21 - 3303779 _____ () C:\Program Files\Common Files\lbuwfweu.exe
2016-02-16 04:49 - 2016-02-16 04:49 - 3067100 _____ () C:\Program Files\Common Files\mzj5vzt2.exe
2016-02-16 22:33 - 2016-02-16 22:33 - 3070787 _____ () C:\Program Files\Common Files\oj3i3vsf.exe
2016-02-16 16:42 - 2016-02-16 16:42 - 3064632 _____ () C:\Program Files\Common Files\pmflcqoq.exe
2016-02-16 03:49 - 2016-02-16 03:49 - 3052388 _____ () C:\Program Files\Common Files\ryjjug3n.exe
2016-02-11 21:12 - 2016-02-11 21:12 - 7767040 _____ () C:\Users\Martin\AppData\Roaming\agent.dat
2016-02-11 21:12 - 2016-02-11 21:12 - 0062976 _____ () C:\Users\Martin\AppData\Roaming\Config.xml
2016-02-11 21:12 - 2016-02-11 21:12 - 0189511 _____ () C:\Users\Martin\AppData\Roaming\Dingstring.bin
2016-02-11 21:12 - 2016-02-11 21:12 - 0015552 _____ () C:\Users\Martin\AppData\Roaming\InstallationConfiguration.xml
2016-02-11 21:12 - 2016-02-11 21:12 - 0126976 _____ () C:\Users\Martin\AppData\Roaming\Installer.dat
2016-02-11 21:12 - 2016-02-11 21:12 - 0018432 _____ () C:\Users\Martin\AppData\Roaming\Main.dat
2016-02-11 21:12 - 2016-02-11 21:12 - 0005568 _____ () C:\Users\Martin\AppData\Roaming\md.xml
2016-02-11 21:12 - 2016-02-11 21:12 - 0566314 _____ () C:\Users\Martin\AppData\Roaming\Medfind.bin
2016-02-11 21:12 - 2016-02-11 21:12 - 0126464 _____ () C:\Users\Martin\AppData\Roaming\noah.dat
2016-02-11 21:12 - 2016-02-11 21:12 - 0666112 _____ () C:\Users\Martin\AppData\Roaming\StatTraxfan.exe
2016-02-11 21:12 - 2016-02-11 21:12 - 1827635 _____ () C:\Users\Martin\AppData\Roaming\StatTraxfan.tst
2016-02-11 21:12 - 2016-02-11 21:12 - 0848437 _____ () C:\Users\Martin\AppData\Roaming\SubLight.bin
2016-02-11 21:13 - 2016-02-11 21:13 - 0001150 _____ () C:\Users\Martin\AppData\Roaming\uninstall_temp.ico
2016-02-11 21:13 - 2016-02-11 21:13 - 0041472 _____ () C:\Users\Martin\AppData\Local\Domcan.dat
2016-02-11 21:13 - 2016-02-11 21:13 - 0028160 _____ () C:\Users\Martin\AppData\Local\Domcan.exe
2016-02-11 21:13 - 2016-02-11 21:13 - 0000187 _____ () C:\Users\Martin\AppData\Local\Domcan.exe.config
2014-06-20 14:08 - 2014-06-20 14:08 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
C:\Users\Martin\AppData\Local\Temp\14A2.tmp.exe
C:\Users\Martin\AppData\Local\Temp\18B.tmp.exe
C:\Users\Martin\AppData\Local\Temp\1B1E.tmp.exe
C:\Users\Martin\AppData\Local\Temp\1C2B.tmp.exe
C:\Users\Martin\AppData\Local\Temp\232C.tmp.exe
C:\Users\Martin\AppData\Local\Temp\28F8.tmp.exe
C:\Users\Martin\AppData\Local\Temp\2AB3.tmp.exe
C:\Users\Martin\AppData\Local\Temp\2B5E.tmp.exe
C:\Users\Martin\AppData\Local\Temp\2DE8.tmp.exe
C:\Users\Martin\AppData\Local\Temp\3106.tmp.exe
C:\Users\Martin\AppData\Local\Temp\3478.tmp.exe
C:\Users\Martin\AppData\Local\Temp\3730.tmp.exe
C:\Users\Martin\AppData\Local\Temp\390.tmp.exe
C:\Users\Martin\AppData\Local\Temp\3961.tmp.exe
C:\Users\Martin\AppData\Local\Temp\42CB.tmp.exe
C:\Users\Martin\AppData\Local\Temp\4372.tmp.exe
C:\Users\Martin\AppData\Local\Temp\4395.tmp.exe
C:\Users\Martin\AppData\Local\Temp\46B.tmp.exe
C:\Users\Martin\AppData\Local\Temp\53D1.tmp.exe
C:\Users\Martin\AppData\Local\Temp\53E2.tmp.exe
C:\Users\Martin\AppData\Local\Temp\5C1F.tmp.exe
C:\Users\Martin\AppData\Local\Temp\605.tmp.exe
C:\Users\Martin\AppData\Local\Temp\6C64.tmp.exe
C:\Users\Martin\AppData\Local\Temp\6E31.tmp.exe
C:\Users\Martin\AppData\Local\Temp\6F74.tmp.exe
C:\Users\Martin\AppData\Local\Temp\7738.tmp.exe
C:\Users\Martin\AppData\Local\Temp\7972.tmp.exe
C:\Users\Martin\AppData\Local\Temp\7D9A.tmp.exe
C:\Users\Martin\AppData\Local\Temp\871E.tmp.exe
C:\Users\Martin\AppData\Local\Temp\8799.tmp.exe
C:\Users\Martin\AppData\Local\Temp\88C6.tmp.exe
C:\Users\Martin\AppData\Local\Temp\88F2.tmp.exe
C:\Users\Martin\AppData\Local\Temp\8EB2.tmp.exe
C:\Users\Martin\AppData\Local\Temp\9593.tmp.exe
C:\Users\Martin\AppData\Local\Temp\98D0.tmp.exe
C:\Users\Martin\AppData\Local\Temp\9A60.tmp.exe
C:\Users\Martin\AppData\Local\Temp\9BC3.tmp.exe
C:\Users\Martin\AppData\Local\Temp\9C0A.tmp.exe
C:\Users\Martin\AppData\Local\Temp\9E2A.tmp.exe
C:\Users\Martin\AppData\Local\Temp\9E67.tmp.exe
C:\Users\Martin\AppData\Local\Temp\A057.tmp.exe
C:\Users\Martin\AppData\Local\Temp\A1F7.tmp.exe
C:\Users\Martin\AppData\Local\Temp\A6A6.tmp.exe
C:\Users\Martin\AppData\Local\Temp\AA24.tmp.exe
C:\Users\Martin\AppData\Local\Temp\AD1D.tmp.exe
C:\Users\Martin\AppData\Local\Temp\AFE2.tmp.exe
C:\Users\Martin\AppData\Local\Temp\amisetup1067__10235_il1.exe
C:\Users\Martin\AppData\Local\Temp\amisetup1142__10235_il1.exe
C:\Users\Martin\AppData\Local\Temp\amisetup1195__16582_il1.exe
C:\Users\Martin\AppData\Local\Temp\amisetup1217__16582_il1.exe
C:\Users\Martin\AppData\Local\Temp\amisetup3619__10235.exe
C:\Users\Martin\AppData\Local\Temp\amisetup3642__10235.exe
C:\Users\Martin\AppData\Local\Temp\amisetup3681__16582.exe
C:\Users\Martin\AppData\Local\Temp\amisetup3697__16582.exe
C:\Users\Martin\AppData\Local\Temp\amisetup8496__10235.exe
C:\Users\Martin\AppData\Local\Temp\amisetup8518__10235.exe
C:\Users\Martin\AppData\Local\Temp\amisetup8561__16582.exe
C:\Users\Martin\AppData\Local\Temp\amisetup8581__16582.exe
C:\Users\Martin\AppData\Local\Temp\B00A.tmp.exe
C:\Users\Martin\AppData\Local\Temp\B11E.tmp.exe
C:\Users\Martin\AppData\Local\Temp\B2C4.tmp.exe
C:\Users\Martin\AppData\Local\Temp\B919.tmp.exe
C:\Users\Martin\AppData\Local\Temp\BDEC.tmp.exe
C:\Users\Martin\AppData\Local\Temp\C0F6.tmp.exe
C:\Users\Martin\AppData\Local\Temp\C0FD.tmp.exe
C:\Users\Martin\AppData\Local\Temp\C53D.tmp.exe
C:\Users\Martin\AppData\Local\Temp\C7CE.tmp.exe
C:\Users\Martin\AppData\Local\Temp\D582.tmp.exe
C:\Users\Martin\AppData\Local\Temp\D867.tmp.exe
C:\Users\Martin\AppData\Local\Temp\DB10.tmp.exe
C:\Users\Martin\AppData\Local\Temp\E3C8.tmp.exe
C:\Users\Martin\AppData\Local\Temp\E45A.tmp.exe
C:\Users\Martin\AppData\Local\Temp\E51B.tmp.exe
C:\Users\Martin\AppData\Local\Temp\F1E.tmp.exe
C:\Users\Martin\AppData\Local\Temp\F699.tmp.exe
C:\Users\Martin\AppData\Local\Temp\F840.tmp.exe
C:\Users\Martin\AppData\Local\Temp\F9EC.tmp.exe
C:\Users\Martin\AppData\Local\Temp\F9EF.tmp.exe
C:\Users\Martin\AppData\Local\Temp\MBSetup_helper-loader.exe
C:\Users\Martin\AppData\Local\Temp\prepreinstaller_win.exe
C:\Users\Martin\AppData\Local\Temp\websafecooly.dll
Task: {FCEC56B5-472D-4828-A02E-35584944B768} - \Microsoft\Windows\SystemRestore\FreeVPN -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\Temp:10D14739 [432]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\hola]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\YTDownloader]
EmptyTemp:
Reboot:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt) . Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен .
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
30
BitTorrent, не устанавливал, у меня стоит uTorrent.
Вот лог.
Вложения
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
CloseProcesses:
S4 BitTorrent; "C:\Program Files\BitTorrent\BitTorrent.exe" /s iid=4752250 did=APSnapdoAMRev sid=3 ref=31fa092d-8ee2-7946-bba4-ac95dbfb87bf-PolicyMac id=9cea554aa08b9dc59ff537cae7a142cb360d19683b0e5b4 827d3c32b8c97eab1 [X]
Reboot:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt) . Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен .
Сообщите, что с проблемой?
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
30
Вот лог,
Что с проблемой - ну вроде как нечего больше не выскакивает, компьютер стал работать быстрее.
Вложения
1. Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе .
2. Запустите DelFix .
Важно , для работы утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista/7/8/8.1/10 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите Да
3.В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup
4. Нажмите на кнопку Run .
5. После окончания работы программы автоматически откроется блокнот с отчетом delfix.txt (C:\delfix.txt)
6. Прикрепите этот отчет в вашей теме.
Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
30
Вложения
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 11 В ходе лечения обнаружены вредоносные программы:
c:\programdata\afoir\afoir.exe - not-a-virus:AdWare.Win32.Agent.juqv c:\programdata\serfev\homejoyhold.dll - not-a-virus:AdWare.Win64.Agent.iqh c:\users\martin\appdata\local\domcan.exe - Trojan-Downloader.MSIL.Agent.ajxh c:\users\martin\appdata\roaming\freevpn\freevpn.ex e - not-a-virus:Downloader.Win32.AdLoad.ujpe c:\windows\csrss.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.ql