Не могу избавится от Extsetup.exe [not-a-virus:Downloader.Win32.LMN.uhmx ]

[regist]

Лог Process Monitor (файл получился очень большой)

и поэтому я должен смотреть 30 секунд рекламы, либо платить деньги, для того чтобы вам же и бескорыстно помочь ?

[Zuluries]

Я пытался загрузить на rghost но там ограничение 100мб, буду искать файлообменник без рекламы, извините.
PS: Загрузил на яндекс диск https://yadi.sk/d/DW_SDMJur9iy6

[regist]

например: Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile

- - - - -Добавлено - - - - -

+

Поиск по реестру в AVZ результатов не дал.

давайте тогда по другому попробуем

• Пожалуйста, запустите утилиту MiniRegTool64
• Скопируйте и вставьте следующий текст в поле ввода:
  
  Код:

  {20572391-63A0-4B2C-AA42-33B827F497C4}

• Отметьте опцию Search.
• Отметьте галочками все разделы (HKLM, HKU).
• нажмите кнопку Go, после этого прикрепите к своему сообщению Result.txt.

[Zuluries]

Сделал, прикрепил Result. ещё по пути C:\Program Files (x86)\Common Files после перезагрузки создается папка как раз с названием такого вида: {20572391-63A0-4B2C-AA42-33B827F497C4} Содержимое выглядит так Скриншот.jpg
после удаления и перезагрузки появляется вновь, но уже с другим именем.

[regist]

1) Поищите у себя файл с именем 4D9769B6-2133-4E99-B026-FDE35193EF29.exe если найдёте, то

Заархивируйте в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.

2) Отключите по возможности все программмы из автозапуска. И после этого сделайте свежий лог Process Monitor-а.

3) Выполните загрузку в безопасном режиме. Если проблема не наблюдается, причина кроется в сторонней службе или программе. В этом случае выполните следующие действия.
Пуск - Поиск / Выполнить - msconfig - ОК и перейдите на вкладку Службы. Установите флажок Не отображать службы Microsoft.
Отключите все отображенные службы (имеются в виду только не принадлежащие Microsoft) и перезагрузитесь. Если проблема не появляется, причина в одной из этих служб.

Далее действуйте методом "половинного деления". Включите половину служб и снова перезагрузитесь. Если проблема не появляется, причина в оставшихся отключенных службах. Если проблема воспроизводится, причина во включенных службах - отключите половину из них и снова перезагрузитесь. Действуя таким образом, вы сможете выявить службу, являющуюся причиной проблемы, и определить программу, которой она принадлежит.
Аналогичным образом можно поступить на вкладке Автозагрузка.
Здесь тоже не следует отключать пункты, производителем которых является Microsoft. Отключение программ других производителей может привести к неправильной работе устройств в том случае, если вы отключите их драйверы. Поэтому программы производителей вашего аппаратного обеспечения (например, Intel) лучше не отключать, либо отключать в самую последнюю очередь.


- - - - -Добавлено - - - - -

+ - выполните такой скрипт в AVZ

Код:

begin
 ClearQuarantineEx(true); 
 QuarantineFile('C:\USERS\ZULURIES\APPDATA\ROAMING\ADOBE\NATIVEPLUGIN\OOBA\PPAPI\A275EE6D-62D9-4CB7-9D8A-911D20E98F52\46FDE60B-F2D1-4F57-B548-2CC19FDFE8C5.EXE', '');
 QuarantineFileF(''C:\USERS\ZULURIES\APPDATA\ROAMING\ADOBE\NATIVEPLUGIN\OOBA\PPAPI\A275EE6D-62D9-4CB7-9D8A-911D20E98F52\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы.

[Zuluries]

1 – Файла с таким именем в системе не найдено.
2 – Отключил из автозапуска вообще все что было, сделал лог Process Monitor-а сразу после того как вирус выполнил свои действия (лог теперь намного меньше) https://yadi.sk/d/6thP20uWrAoLk
3 – В безопасном режиме проблема не наблюдается.
Через msconfig отключил все службы (кроме Microsoft), также отключил абсолютно все из автозагрузки. Почистил adwcleaner-ом, перезагрузился – проблема повторяется.
PS: Выполнил скрипт в AVZ, карантин загрузил.

[regist]

Запустите AVZ, нажмите Сервис, Поиск данных в реестре, введите:

Код:

46FDE60B-F2D1-4F57-B548-2CC19FDFE8C5.EXE

Нажмите кнопку Пуск. По завершению поиска, нажмите правой кнопкой мыши по любому из найденных пунктов и выберите "Выделить все".
Затем кнопку "Сохранить reg файл с отмеченными ключами".
Этот файл приложите к своему сообщению.

- - - - -Добавлено - - - - -

+ посмотрите в папках

Код:

C:\USERS\ZULURIES\APPDATA\ROAMING\ADOBE\NATIVEPLUGIN\OOBA\PPAPI\A275EE6D-62D9-4CB7-9D8A-911D20E98F52\
C:\USERS\ZULURIES\APPDATA\ROAMING\ADOBE\NATIVEPLUGIN\OOBA\PPAPI\

что находится кроме этого одного файла?

- - - - -Добавлено - - - - -

+ пожалуйста, сделайте лог AutoRuns
Скачайте утилиту, распакуйте. Запустите правой кнопкой от имени администратора.
В меню Options - Scan Options поставьте все галочки - нажмите Rescan.
Остальные настройки не трогайте. После этого дождитесь окончания создания списка. Сохраните лог - файл с расширением .arn
Заархивируйте его выложите тут.

[Zuluries]

Похоже AVZ ничего не нашел (прикрепил файл)
Посмотрел, кроме этого файла 46FDE60B-F2D1-4F57-B548-2CC19FDFE8C5.exe больше ничего нет.

[regist]

Похоже AVZ ничего не нашел (прикрепил файл)

да, не нашёл.
Я там в предыдущем посте про Авторанс дописал тоже пожалуйста, сделайте. Интересно понять откуда запускается эта зараза. Подозреваю, что через планировщик задач и странно почему никто её не видит.

+ ещё такой лог сделайте сделайте лог HiJackThis 2.0.6 Alfa 1.12. Может хоть он увидит.
А пока послал файл из карантина в вирлабы.

[Zuluries]

Прикрепил логи

[regist]

Выполните скрипт в uVS и пришлите карантин

Код:

;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v385c
BREG
bl 394BDD4BCA1A5A566E9C8632970D963E 944622
deldir %SystemDrive%\USERS\ZULURIES\APPDATA\ROAMING\ADOBE\NATIVEPLUGIN\OOBA\PPAPI\A275EE6D-62D9-4CB7-9D8A-911D20E98F52
zoo %SystemDrive%\USERS\ZULURIES\APPDATA\LOCAL\MICROSOFT\EXTENSIONS\EXTSETUP.EXE
bl 33A6663E3ECBAADAB5BD3A86E9D74E00 460301
dirzooex %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\{09147687-C761-4829-BD27-5C1ECD669193}
dirzooex %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\{4EE87012-CB51-407D-B8CD-4A2A05979C14}
dirzooex %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\{E352E648-6AAD-487C-BF9D-BB2E7F814390}
dirzooex %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\{F5B65328-4C03-4A07-9AB3-1DE338149B32}
delall %SystemDrive%\USERS\ZULURIES\APPDATA\LOCAL\MICROSOFT\EXTENSIONS\EXTSETUP.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\{09147687-C761-4829-BD27-5C1ECD669193}
delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\{4EE87012-CB51-407D-B8CD-4A2A05979C14}
delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\{E352E648-6AAD-487C-BF9D-BB2E7F814390}
delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\{F5B65328-4C03-4A07-9AB3-1DE338149B32}
czoo
restart

Сделайте свежий образ автозапуска.

Проверьте проблему.

И просьба даже если проблема больше не будет проявляться, тему пока не бросать.

[Dragokas]

Здравствуйте, Zuluries !

Спасибо за терпение. По логам HiJackThis похоже у Вас 3 задания в новом формате. Давайте попробуем снять с них резервную копию вручную.

1. Пожалуйста, скачайте MiniRegTool64.zip и распакуйте его.

• Запустите утилиту
• Скопируйте и вставьте следующий текст в поле ввода:
  
  Код:

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Schedule

• Отметьте опцию Export keys.
• нажмите кнопку Go, после этого прикрепите к своему сообщению Result.txt.

2. По очереди скопируйте на рабочий стол и запакуйте в разные архивы с паролем virus папки:

c:\Windows\Tasks
c:\Windows\System32\Tasks
c:\Windows\SysWOW64\Tasks

Архивы загрузите по ссылке Прислать запрошенный карантин вверху темы.

[Zuluries]

Выполнил скрипт, после перезагрузки проблема пропала!
Загрузил карантин, сделал новый образ автозапуска http://rghost.ru/6ZhMn9z9W
Стоит вернуть все в исходное состояние (включить все отключенные ранее службы, автозагрузку) и проверить как будет работать?

[regist]

Стоит вернуть все в исходное состояние (включить все отключенные ранее службы, автозагрузку) и проверить как будет работать?

Включите. И из предыдущего поста инструкции от Dragokas, просьба выполните.

[Zuluries]

Сделал Result.txt http://rghost.ru/private/8STQnzLbx/a...7a59ec2f1ac50c , папки Tasks загрузил.
Протестирую как будет работать, позже сообщу о результатах.

[regist]

MBAM деисталируйте.

[Zuluries]

MBAM удалил, перезагрузился, пока все тихо. Включил все службы, автозагрузку, проверил AdwCleaner-ом, говорит все чисто. Подожду как будет дальше, буду отписываться в теме.

Новый образ автозапуска: http://rghost.ru/82MJJ9tLc

[regist]

• Запустите MiniRegTool64
• Скопируйте и вставьте следующий текст в поле ввода:
  
  Код:

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{670A0454-F12A-4F6D-84A0-D17DFBB5E8D8}]
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\AA275EE6D-62D9-4CB7-9D8A-911D20E98F52]
  
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{670A0454-F12A-4F6D-84A0-D17DFBB5E8D8}]

• Отметьте опцию Delete Keys/Values including Locked/Null embedded.
• нажмите кнопку Go.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Советы и рекомендации после лечения компьютера

Если, будет что ещё дополним в теме.

[Zuluries]

Прикрепил Result.txt, думаю можно подвести итог что компьютер вылечен, интересно где же скрывалась эта нечисть?

PS:Что-бы не флудить поблагодарил вас в соответствующей теме.

[regist]

Прикрепил Result.txt,

Zuluries, извиняюсь, скопировал и не сразу поправил в своём сообщение. Там надо было не экспорт сделать а удалить

Отметьте опцию Delete Keys/Values including Locked/Null embedded.

и после этого ещё подтвердить удаление нажатием кнопки ОК.

интересно где же скрывалась эта нечисть?

Через планировщик запускался 46FDE60B-F2D1-4F57-B548-2CC19FDFE8C5.EXE а уже из него извлекалась/докачивалась вся остальная гадость.
Антивирусы пока на этот файл не реагируют.

Тему не закрываю, может будут ещё просьбы к вам, что-то перепроверить или сделать дополнительно какой-то лог.