Win32.Trojan.WisdomEyes [Trojan.NSIS.Sod.jqy, HEUR:Trojan.Win32.Generic ]

**NordOst** · 27.03.2017, 17:01

Началось все с того что он крашнулся и система любезно предложила посмотреть решение проблемы в интернетах.
VirusTotal определил как WisdomEyes, от декабря 2016 года. 6 антивирей от них красный флаг подняли.
Следующий день - регулярно теряется фокус активного окна, приложения запущенные в полноэкранном режиме сворачиваются.
Вестимо выжил.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 27.03.2017, 17:02

Уважаемый(ая) NordOst, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**NordOst** · 31.03.2017, 05:00

Ребят, четыре дня прошло.

**Vvvyg** · 01.04.2017, 12:17

Удалите программу ProxyGate version 3.0.0.1180, на неё срабатывает, видимо.

Выполните скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\Users\JinxedLovesYou\AppData\Local\URmedia\qgntutfb.dll', '');
 QuarantineFile('C:\Users\JinxedLovesYou\AppData\Local\Estion\mhgceqkf.dll', '');
 QuarantineFile('C:\Users\JinxedLovesYou\AppData\Local\conhost\conhots.exe', '');
 QuarantineFile('C:\Users\JinxedLovesYou\AppData\Local\Estion\owifujs.exe', '');
 DeleteFile('C:\Users\JinxedLovesYou\AppData\Local\URmedia\qgntutfb.dll', '32');
 DeleteFile('C:\Users\JinxedLovesYou\AppData\Local\Estion\mhgceqkf.dll', '32');
 DeleteFile('C:\Users\JinxedLovesYou\AppData\Local\conhost\conhots.exe', '32');
 DeleteFile('C:\Users\JinxedLovesYou\AppData\Local\Estion\owifujs.exe', '32');
 DeleteFileMask('c:\users\jinxedlovesyou\appdata\local\urmedia', '*', true);
 DeleteFileMask('c:\users\jinxedlovesyou\appdata\local\estion', '*', true);
 DeleteFileMask('c:\users\jinxedlovesyou\appdata\local\conhost', '*', true);
 DeleteDirectory('c:\users\jinxedlovesyou\appdata\local\urmedia');
 DeleteDirectory('c:\users\jinxedlovesyou\appdata\local\estion');
 DeleteDirectory('c:\users\jinxedlovesyou\appdata\local\conhost');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'conhost');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Estion');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'URmedia');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'YfPack');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте новый лог Autologger.
Сделайте лог Malwarebytes AdwCleaner.

**NordOst** · 01.04.2017, 18:03

Proxy Gate удалено.
Карантин выслал.
Логи приложил.

Система и приложения в последнее время начали жаловаться на коррупцию в обоих HDD.
В частности после выполнения скрипта ОС пожаловалась на сломанную корзину.
Оба жестких синхронно умирают или я что-то интересное поймал там?

**Vvvyg** · 01.04.2017, 19:55

Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Кроме уже установленных, отметьте галочками также "90 Days Files".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

**NordOst** · 01.04.2017, 20:03

AdwCleaner очистку произвел.
Лог приложил к сообщению.

Касательно второй половины предыдущего сообщения - я нахожусь в замешательстве.
Про которую программу идет речь?

Edit: Farbar Recovery?
Сейчас сделаю.

Edit:
Припрепляю результаты Farbar.
Касательно сломанной корзины - система жаловалась на нее каждую перезагрузку, поэтому сделал
rd /s /q D:\$Recycle.bin

**Vvvyg** · 01.04.2017, 20:41

Пардон, строка из буфера обмена выпала

Да, всё правильно.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
ShellIconOverlayIdentifiers: [1TortoiseNormal] -> {C5994560-53D9-4125-87C9-F193FC689CB2} =>  -> No File
ShellIconOverlayIdentifiers: [2TortoiseModified] -> {C5994561-53D9-4125-87C9-F193FC689CB2} =>  -> No File
ShellIconOverlayIdentifiers: [3TortoiseConflict] -> {C5994562-53D9-4125-87C9-F193FC689CB2} =>  -> No File
ShellIconOverlayIdentifiers: [4TortoiseLocked] -> {C5994563-53D9-4125-87C9-F193FC689CB2} =>  -> No File
ShellIconOverlayIdentifiers: [5TortoiseReadOnly] -> {C5994564-53D9-4125-87C9-F193FC689CB2} =>  -> No File
ShellIconOverlayIdentifiers: [6TortoiseDeleted] -> {C5994565-53D9-4125-87C9-F193FC689CB2} =>  -> No File
ShellIconOverlayIdentifiers: [7TortoiseAdded] -> {C5994566-53D9-4125-87C9-F193FC689CB2} =>  -> No File
ShellIconOverlayIdentifiers: [8TortoiseIgnored] -> {C5994567-53D9-4125-87C9-F193FC689CB2} =>  -> No File
ShellIconOverlayIdentifiers: [9TortoiseUnversioned] -> {C5994568-53D9-4125-87C9-F193FC689CB2} =>  -> No File
2017-03-26 16:15 - 2017-04-01 17:50 - 00000000 ____D C:\Users\JinxedLovesYou\AppData\Local\URmedia
2017-03-26 16:14 - 2017-04-01 17:50 - 00000000 ____D C:\Users\JinxedLovesYou\AppData\Local\Estion
2017-03-22 19:02 - 2017-03-22 19:02 - 00000000 ____D C:\Users\JinxedLovesYou\AppData\Local\Echobit
2017-03-22 19:02 - 2017-03-22 19:02 - 00000000 ____D C:\ProgramData\Echobit
2016-10-18 19:17 - 2016-10-18 19:17 - 0000016 _____ () C:\ProgramData\mntemp
Task: {E2128D98-026E-4A67-AA40-9297A8D218A6} - System32\Tasks\CMPCUAC => D:\Program Files\CleanMyPC\CleanMyPC.exe 
CMD: wevtutil.exe epl System system.evtx
CMD: wevtutil.exe epl Application Application.evtx
CMD: c:\Progra~1\winrar\rar.exe m -m5 -s -md64m events.rar *.evtx
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
В папке с FRST появится архив Events.rar, загрузите его в доступное облачное хранилище или на файлообменник (rghost.ru, например) и дайте ссылку в теме.

**NordOst** · 01.04.2017, 23:02

Готово.
Лог прикрепил, ссылка: http://rgho.st/8tc27ZW6c

**Vvvyg** · 02.04.2017, 12:07

Да, проблемы с дисками есть, причём, с обоими. Только "коррупция" - это несколько другое

Сохраняйте сразу важную информацию на внешние носители, ситуация, похоже, серьёзная.
Скачайте последнюю версию программы Victoria отсюда, распакуйте, запустите. На вкладке Standard выберите режим API, в списке дисков отметьте сначала системный диск, на вкладке SMART нажмите Get SMART, затем на вкладке Test выберите Read, Remap и нажмите Start. Процесс может занять от пары часов до суток и более, в зависимости от состояния HDD? имейте ввиду
Затем операцию повторите для другого жёсткого диска.
Содержимое папки LOGS по окончании проверки упакуйте в архив и прикрепите к своему следующему сообщению.

**NordOst** · 02.04.2017, 17:40

Готово.

**Vvvyg** · 02.04.2017, 18:13

Который Western Digital - весьма плох, лучше заменить при первой возможности. Пока сделайте следующее.

В свойствах диска C: на закладке Сервис -> Выполнить проверку поставьте галочку "Автоматически исправлять системные ошибки", затем жмите "Расписание проверки диска" и перезагружайте систему. Затем то же самое для всех остальных дисков.

Только после этого такую процедуру.

Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас.

Если у вас windows Vista или windows 7 откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".

Введите sfc /scannow и нажмите Enter.
Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка.

Это несколько продлит агонию, но замена необходима.

**NordOst** · 02.04.2017, 18:33

Понял.
Благодарю за помощь.

**CyberHelper** · 02.04.2017, 18:43

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 3
В ходе лечения обнаружены вредоносные программы:
1. c:\users\jinxedlovesyou\appdata\local\estion\mhgce qkf.dll - HEUR:Trojan.Win32.Generic ( BitDefender: Gen:Variant.Miuref.3 )
2. c:\users\jinxedlovesyou\appdata\local\estion\owifu js.exe - Trojan.NSIS.Sod.jqy
3. c:\users\jinxedlovesyou\appdata\local\urmedia\qgnt utfb.dll - HEUR:Trojan.Win32.Generic ( BitDefender: Gen:Variant.Miuref.3 )

Win32.Trojan.WisdomEyes [Trojan.NSIS.Sod.jqy, HEUR:Trojan.Win32.Generic ] (заявка № 210644)

Опции темы