Вирус, который при удалении снова создаёт файлы .temp.exe в папке %temp% [Trojan-Downloader.Win32.AdLoad.nsha, not-a-virus:NetTool.Win64.NetFilter.qx ]

**Observer Ward** · 10.01.2017, 21:09

Скачал с сайта архив.rar, открыл его, в нём ещё один архив.7zip, открыл его, там файл exe с иконкой сжатой зип папки, открыл его, попросили права админа, не нажимая "Да" я заметил, как на панели задачь уже появился браузер амиго и прочий мусор. Вдобавок к этому во всех браузерах появилось ОЧЕНЬ много рекламы, не смотря на то, что у меня установлен Adguard. При запуске яндекс браузера всегда появлялось три пустых страницы, бесконеная реклама "казино вулкан", а так же где-то раз за 2 часа открываетя пустое окно браузера. Рекламу я смог убрать с помощью AVZ, но пустое окно открывается до сих пор. А проблему с появлением такого вида файлов "544E.tmp.exe" я решить не смог. При удалении процесса и удаления файла, они появляются заного с другим именем

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 10.01.2017, 21:11

Уважаемый(ая) Observer Ward, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 10.01.2017, 21:53

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>> [HTTP] "C:\Users\ДНС\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk"       -> ["C:\Windows\System32\rundll32.exe"  =>> url,FileProtocolHandler "hxxp://vvv.mail.ru/cnt/20775012?gp=811008"]
>>> [script][RO][s] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RusDota2_Launcher\RusDоta2_Lаunсher.lnk"       -> ["C:\Users\ДНС\AppData\Roaming\Browsers\exe.rehcnual_2atodsur.bat"  =>> "hxxp://searchrap.ru"]
>>  "C:\Users\ДНС\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet.lnk"     -> ["C:\Users\ДНС\AppData\Local\MediaGet2\mediaget.exe"]
>>>  "C:\Users\ДНС\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet2\MediaGet.lnk"     -> ["C:\Users\ДНС\AppData\Local\MediaGet2\mediaget.exe"]
>>>  "C:\Users\ДНС\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet2\Удалить MediaGet.lnk"       -> ["C:\Users\ДНС\AppData\Local\MediaGet2\mediaget-uninstaller.exe"]

Отчёт о работе прикрепите.

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('c:\users\ДНС\appdata\local\temp\3b39.tmp.exe');
 QuarantineFile('c:\users\ДНС\appdata\local\temp\3b39.tmp.exe', '');
 QuarantineFileF('c:\users\ДНС\appdata\local\temp', '*.tmp.exe', false, '', 0, 0);
 QuarantineFile('C:\Program Files (x86)\filter2\2\CppWindowsService.exe', '');
 QuarantineFile('C:\Users\ДНС\AppData\Roaming\PBot\launchall.py', '');
 QuarantineFile('C:\Users\BD1F~1\AppData\Local\Temp\SETSEA~1.EXE', '');
 QuarantineFile('C:\Users\ДНС\Downloads\бот\Fastfreelikes.com', '');
 QuarantineFile('C:\Program Files (x86)\IObit\IObit', '');
 QuarantineFile('C:\Program Files (x86)\IObit\Driver', '');
 QuarantineFile('C:\Users\ДНС\AppData\Local\fupdate\fupdate.exe', '');
 QuarantineFile('C:\Users\ДНС\AppData\Local\SearchGo\searchgo.exe', '');
 QuarantineFile('C:\Users\ДНС\AppData\Local\svshost\svshost.exe', '');
 QuarantineFile('c:\users\ДНС\appdata\local\temp\e43c.tmp.exe', '');
 QuarantineFile('C:\WINDOWS\system32\drivers\netfilter2.sys', '');
 QuarantineFileF('C:\Program Files (x86)\Remote Manipulator System - Host', '*.exe', true, '', 0, 0);
 DeleteFile('C:\WINDOWS\Tasks\Uninstaller_SkipUac_ДНС.job', '64');
 DeleteFile('c:\users\ДНС\appdata\local\temp\3b39.tmp.exe', '32');
 DeleteFile('C:\Program Files (x86)\filter2\2\CppWindowsService.exe', '32');
 DeleteFile('C:\Users\ДНС\AppData\Roaming\PBot\launchall.py', '32');
 DeleteFile('C:\Users\BD1F~1\AppData\Local\Temp\SETSEA~1.EXE', '32');
 DeleteFile('C:\Users\ДНС\Downloads\бот\Fastfreelikes.com', '32');
 DeleteFile('C:\Program Files (x86)\IObit\IObit', '32');
 DeleteFile('C:\Program Files (x86)\IObit\Driver', '32');
 DeleteFile('C:\Users\ДНС\AppData\Local\fupdate\fupdate.exe', '32');
 DeleteFile('C:\Users\ДНС\AppData\Local\SearchGo\searchgo.exe', '32');
 DeleteFile('C:\Users\ДНС\AppData\Local\svshost\svshost.exe', '32');
 DeleteFile('c:\users\ДНС\appdata\local\temp\e43c.tmp.exe', '32');
 DeleteFile('C:\WINDOWS\system32\drivers\netfilter2.sys');
 DeleteService('CppWindowsService');
 DeleteFileMask('c:\program files (x86)\filter2', '*', true);
 DeleteFileMask('c:\users\днс\appdata\roaming\pbot', '*', true);
 DeleteFileMask('c:\program files (x86)\iobit', '*', true);
 DeleteFileMask('c:\users\днс\appdata\local\fupdate', '*', true);
 DeleteFileMask('c:\users\днс\appdata\local\searchgo', '*', true);
 DeleteFileMask('c:\users\днс\appdata\local\svshost', '*', true);
 DeleteFileMask('C:\Program Files (x86)\Remote Manipulator System - Host', '*', true);
 DeleteDirectory('c:\program files (x86)\filter2');
 DeleteDirectory('c:\users\днс\appdata\roaming\pbot');
 DeleteDirectory('c:\program files (x86)\iobit');
 DeleteDirectory('c:\users\днс\appdata\local\fupdate');
 DeleteDirectory('c:\users\днс\appdata\local\searchgo');
 DeleteDirectory('c:\users\днс\appdata\local\svshost');
 DeleteDirectory('C:\Program Files (x86)\Remote Manipulator System - Host');
 ExecuteFile('schtasks.exe', '/delete /TN "Driver Booster SkipUAC (ДНС)" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "fupdate" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SearchGo Task" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "svshost" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Uninstaller_SkipUac_ДНС" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'PBot');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'setsearch_delete_self');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте новые логи через Autologger.

**Observer Ward** · 11.01.2017, 15:43

Вот отчёт о работе ClearLNK и новые логи. Архив с карантином скинул

**Vvvyg** · 11.01.2017, 19:26

Сделайте лог Malwarebytes AdwCleaner.

**Observer Ward** · 12.01.2017, 14:35

Вот

**Vvvyg** · 12.01.2017, 18:56

Запустите повторно Malwarebytes AdwCleaner (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши от имени администратора)), нажмите кнопку Сканировать (Scan), по окончании сканирования уберите галочки на вкладках Папки (Folders) и Реестр (Registry) со всех пунктов, где упоминается MediaGet только, если используете эту программу. Также установите галочки "Сброс политик Chrome" и "Сброс настроек Proxy".
Затем нажмите Очистка (Cleaning) и по окончании удаления перезагрузите систему по требованию программы.

После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.

Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.

**Observer Ward** · 13.01.2017, 00:41

Всё отлично)) лишних, незнакомых процессов и файлов ехе больше не появляется)
Большое спасибо за помощь

**Vvvyg** · 13.01.2017, 08:23

А зачем же Вы ВСЕ галочки убрали, я же просил толко связанные с MediaGet? и только, если им пользуетесь:

[!] Ключ не удалён: HKU\S-1-5-21-689124567-1144617308-2849356587-1002\Software\Classes\ITVA
[!] Ключ не удалён: HKCU\Software\Classes\ITVA
[!] Ключ не удалён: HKLM\SOFTWARE\Classes\ITVA
[!] Ключ не удалён: [x64] HKCU\Software\Classes\ITVA
[!] Ключ не удалён: [x64] HKLM\SOFTWARE\Classes\ITVA
[!] Ключ не удалён: HKLM\SOFTWARE\Classes\CLSID\{8E8F97CD-60B5-456F-A201-73065652D099}
[!] Ключ не удалён: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper Objects\{8E8F97CD-60B5-456F-A201-73065652D099}
[!] Ключ не удалён: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{8E8F97CD-60B5-456F-A201-73065652D099}
[!] Ключ не удалён: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext \Settings\{8E8F97CD-60B5-456F-A201-73065652D099}
[!] Ключ не удалён: HKU\S-1-5-21-689124567-1144617308-2849356587-1002\Software\Media Get LLC
[!] Ключ не удалён: HKU\S-1-5-21-689124567-1144617308-2849356587-1002\Software\MediaGet
[!] Ключ не удалён: HKU\S-1-5-21-689124567-1144617308-2849356587-1002\Software\DC3_FEXEC
[!] Ключ не удалён: HKU\S-1-5-21-689124567-1144617308-2849356587-1002\Software\Mail.Ru
[!] Ключ не удалён: HKU\S-1-5-21-689124567-1144617308-2849356587-1002\Software\AppDataLow\Software\Mail.Ru
[!] Ключ не удалён: HKCU\Software\Media Get LLC
[!] Ключ не удалён: HKCU\Software\MediaGet
[!] Ключ не удалён: HKCU\Software\DC3_FEXEC
[!] Ключ не удалён: HKCU\Software\Mail.Ru
[!] Ключ не удалён: HKCU\Software\AppDataLow\Software\Mail.Ru
[!] Ключ не удалён: HKLM\SOFTWARE\Mail.Ru
[!] Ключ не удалён: [x64] HKCU\Software\Media Get LLC
[!] Ключ не удалён: [x64] HKCU\Software\MediaGet
[!] Ключ не удалён: [x64] HKCU\Software\DC3_FEXEC
[!] Ключ не удалён: [x64] HKCU\Software\Mail.Ru
[!] Ключ не удалён: [x64] HKCU\Software\AppDataLow\Software\Mail.Ru
[!] Значение не удалено: HKU\S-1-5-21-689124567-1144617308-2849356587-1002\Software\Microsoft\Internet Explorer\Main [Start Page]
[!] Значение не удалено: HKCU\Software\Microsoft\Internet Explorer\Main [Start Page]
[!] Значение не удалено: [x64] HKCU\Software\Microsoft\Internet Explorer\Main [Start Page]
[!] Ключ не удалён: HKU\S-1-5-21-689124567-1144617308-2849356587-1002\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}
[!] Значение не удалено: HKU\S-1-5-21-689124567-1144617308-2849356587-1002\Software\Microsoft\Internet Explorer\SearchScopes [DefaultScope]
[!] Ключ не удалён: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}
[!] Значение не удалено: HKCU\Software\Microsoft\Internet Explorer\SearchScopes [DefaultScope]
[!] Ключ не удалён: [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}
[!] Значение не удалено: [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes [DefaultScope]
[!] Ключ не удалён: HKCU\Software\Microsoft\Internet Explorer\DOMStorage\castplatform.com
[!] Ключ не удалён: [x64] HKCU\Software\Microsoft\Internet Explorer\DOMStorage\castplatform.com
[!] Параметр не удалён: HKLM\SOFTWARE\Mozilla\Firefox\Extensions [jid1-n5ARdBzHkUEdAA@jetpack]
[!] Параметр не удалён: [x64] HKLM\SOFTWARE\Mozilla\Firefox\Extensions [jid1-n5ARdBzHkUEdAA@jetpack]
[!] Параметр не удалён: HKLM\SOFTWARE\Mozilla\Firefox\Extensions [jid1-n5ARdBzHkUEdAA@jetpack]
[!] Параметр не удалён: [x64] HKLM\SOFTWARE\Mozilla\Firefox\Extensions [jid1-n5ARdBzHkUEdAA@jetpack]
[!] Параметр не удалён: HKLM\SOFTWARE\Mozilla\Firefox\Extensions [jid1-n5ARdBzHkUEdAA@jetpack]
[!] Параметр не удалён: [x64] HKLM\SOFTWARE\Mozilla\Firefox\Extensions [jid1-n5ARdBzHkUEdAA@jetpack]
[!] Параметр не удалён: HKLM\SOFTWARE\Mozilla\Firefox\Extensions [jid1-n5ARdBzHkUEdAA@jetpack]
[!] Параметр не удалён: [x64] HKLM\SOFTWARE\Mozilla\Firefox\Extensions [jid1-n5ARdBzHkUEdAA@jetpack]
[!] Параметр не удалён: HKLM\SOFTWARE\Mozilla\Firefox\Extensions [jid1-n5ARdBzHkUEdAA@jetpack]
[!] Параметр не удалён: [x64] HKLM\SOFTWARE\Mozilla\Firefox\Extensions [jid1-n5ARdBzHkUEdAA@jetpack]
[!] Параметр не удалён: HKLM\SOFTWARE\Mozilla\Firefox\Extensions [jid1-n5ARdBzHkUEdAA@jetpack]
[!] Параметр не удалён: [x64] HKLM\SOFTWARE\Mozilla\Firefox\Extensions [jid1-n5ARdBzHkUEdAA@jetpack]
[!] Ключ не удалён: HKLM\SOFTWARE\Google\Chrome\Extensions\cncgohepihc ekklokhbhiblhfcmipbdh
[!] Ключ не удалён: HKLM\SOFTWARE\Google\Chrome\Extensions\gehngeifmel phpllncobkmimphfkckne
[!] Ключ не удалён: HKLM\SOFTWARE\Google\Chrome\Extensions\pfjgibhmcgn cmjhdodpaolfbjpjjajal
[!] Ключ не удалён: HKLM\SOFTWARE\Google\Chrome\Extensions\mfmjpfoggik olkfilofbpgcnhdcgahib
[!] Ключ не удалён: HKLM\SOFTWARE\Google\Chrome\Extensions\aonedlchkbi cmhepimiahfalheedjgbh
[!] Ключ не удалён: HKLM\SOFTWARE\Google\Chrome\Extensions\oelpkepjlgm ehajehfeicfbjdiobdkfj
[!] Ключ не удалён: HKLM\SOFTWARE\Google\Chrome\Extensions\ojlcebdkbpj dpiligkdbbkdkfjmchbfd
[!] Ключ не удалён: HKLM\SOFTWARE\Google\Chrome\Extensions\ccfifbojenk enpkmnbnndeadpfdiffof
[!] Ключ не удалён: HKLM\SOFTWARE\Google\Chrome\Extensions\pgaidlfgjkm eendhknafahppllbniejm

Дочистите и прикрепите AdwCleaner[C1].txt.

**Observer Ward** · 13.01.2017, 15:36

вот

**Vvvyg** · 13.01.2017, 21:15

Всё на этом, если новых проблем не появилось.

Запустите AdwCleaner и нажмите Файл (File) -> Деинсталлировать (Uninstall).

**CyberHelper** · 13.01.2017, 21:25

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 6
В ходе лечения обнаружены вредоносные программы:
1. c:\users\днс\appdata\local\searchgo\searchgo.exe - not-a-virus:AdWare.Win32.Searchgo.a ( BitDefender: Trojan.GenericKD.3141570, AVAST4: Win32:Adware-gen [Adw] )
2. c:\users\днс\appdata\local\svshost\svshost.exe - Trojan-Downloader.Win32.AdLoad.nsha ( BitDefender: Gen:Variant.Jaik.7423 )
3. c:\users\днс\appdata\local\temp\e65a.tmp.exe - Trojan-Downloader.Win32.AdLoad.nsha ( BitDefender: Gen:Variant.Jaik.7423 )
4. c:\windows\system32\drivers\netfilter2.sys - not-a-virus:NetTool.Win64.NetFilter.qx

Вирус, который при удалении снова создаёт файлы .temp.exe в папке %temp% [Trojan-Downloader.Win32.AdLoad.nsha, not-a-virus:NetTool.Win64.NetFilter.qx ] (заявка № 207919)

Опции темы