Программы с иероглифами и др. [not-a-virus:RiskTool.Win32.HackKMS.g, not-a-virus:NetTool.Win32.NetFilter.gs ]

**miketir** · 13.06.2017, 01:22

12.06.17 поймал целый букет. Проявления:
1. Во 'Все программы' появились 2 папки с иероглифами.
В одной из них - какой-то архиватор. На него стали ассоциированы архивы
2. В панели задач появился сервис Mail.ru
3. В Chrome сами открываются новые вкладки. Пока были замечены:
http://www.babycp.com/ http://www.yeadesktop.com/
http://qtipr.com/

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 13.06.2017, 01:24

Уважаемый(ая) miketir, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 13.06.2017, 13:24

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Worker\AppData\Local\Hostinstaller\1287342566_installcube.exe','');
 QuarantineFile('C:\ProgramData\WindowsVideoErrorReporting\wvermgr.exe','');
 DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}');
 QuarantineFile('C:\Program Files\YeaDesktop\YeaDesktop.exe','');
 DeleteService('yczwnofp');
 SetServiceStart('mwescontroller', 4);
 DeleteService('mwescontroller');
 SetServiceStart('MaohaWifiNetPro', 4);
 SetServiceStart('JszipProtect', 4);
 DeleteService('JszipProtect');
 DeleteService('MaohaWifiNetPro');
 SetServiceStart('mweshieldup', 4);
 SetServiceStart('mweshield', 4);
 SetServiceStart('MaohaWifiSvr', 4);
 SetServiceStart('JszipService', 4);
 DeleteService('JszipService');
 DeleteService('MaohaWifiSvr');
 DeleteService('mweshield');
 DeleteService('mweshieldup');
 QuarantineFile('C:\Windows\system32\DRIVERS\oem-drv86.sys','');
 QuarantineFile('C:\Windows\System32\Drivers\vcdrom.sys','');
 QuarantineFile('C:\Windows\system32\drivers\mwescontroller.sys','');
 QuarantineFile('C:\Program Files\Maoha\MaohaAP\MaoHaWiFiNet.sys','');
 QuarantineFile('C:\Program Files\Maoha\JiSuZip\JsZipProtect.sys','');
 QuarantineFile('C:\Windows\system32\drivers\cryptfd.sys','');
 TerminateProcessByName('c:\program files\my web shield\mweshieldup.exe');
 TerminateProcessByName('c:\program files\my web shield\mweshield.exe');
 QuarantineFile('c:\program files\my web shield\mweshieldup.exe','');
 QuarantineFile('c:\program files\my web shield\mweshield.exe','');
 TerminateProcessByName('c:\users\worker\appdata\local\temp\00029732\msiql.exe');
 QuarantineFile('c:\users\worker\appdata\local\temp\00029732\msiql.exe','');
 TerminateProcessByName('c:\program files\maoha\jisuzip\jszipsvc.exe');
 TerminateProcessByName('c:\program files\maoha\maohaap\maohawifisvr.exe');
 QuarantineFile('c:\program files\maoha\maohaap\maohawifisvr.exe','');
 QuarantineFile('c:\program files\maoha\jisuzip\jszipsvc.exe','');
 DeleteFile('c:\program files\maoha\jisuzip\jszipsvc.exe','32');
 DeleteFile('c:\program files\maoha\maohaap\maohawifisvr.exe','32');
 DeleteFile('c:\users\worker\appdata\local\temp\00029732\msiql.exe','32');
 DeleteFile('c:\program files\my web shield\mweshieldup.exe','32');
 DeleteFile('c:\program files\my web shield\mweshield.exe','32');
 DeleteFile('C:\Program Files\Maoha\JiSuZip\CheckUpdate.dll','32');
 DeleteFile('C:\Program Files\Maoha\JiSuZip\JZipExt.dll','32');
 DeleteFile('C:\Program Files\Maoha\JiSuZip\substat.dll','32');
 DeleteFile('C:\Program Files\Maoha\JiSuZip\substatEx.dll','32');
 DeleteFile('C:\Program Files\Maoha\JiSuZip\tipsdll.dll','32');
 DeleteFile('C:\Program Files\Maoha\JiSuZip\ZipPlug.dll','32');
 DeleteFile('C:\Program Files\Maoha\JiSuZip\zipSubmit\ZipSubmit.dll','32');
 DeleteFile('C:\Program Files\Maoha\JiSuZip\zipUpdater\ZipUpdate.dll','32');
 DeleteFile('C:\Program Files\Maoha\MaohaAP\tipsdll.dll','32');
 DeleteFile('C:\Program Files\Maoha\MaohaAP\maohasubstat.dll','32');
 DeleteFile('C:\Program Files\Maoha\MaohaAP\Updater\CheckUpdate.dll','32');
 DeleteFile('C:\Program Files\Maoha\JiSuZip\JsZipProtect.sys','32');
 DeleteFile('C:\Program Files\Maoha\MaohaAP\MaoHaWiFiNet.sys','32');
 DeleteFile('C:\Windows\system32\drivers\mwescontroller.sys','32');
 DeleteFile('yczwnofp.sys','32');
 DeleteFile('C:\Program Files\YeaDesktop\YeaDesktop.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YeaDesktop');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','msiql');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\JszipService\Parameters','ServiceDll');
 DeleteFile('C:\ProgramData\WindowsVideoErrorReporting\wvermgr.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Windows Error Reporting\VideErroroReporting','32');
 DeleteFile('C:\Windows\system32\Tasks\Soft installer','32');
 DeleteFile('C:\Users\Worker\AppData\Local\Hostinstaller\1287342566_installcube.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

**miketir** · 14.06.2017, 00:28

Карантин выслал - MD5 c2f14ae60b4b130eee91286795324700
Логи прилагаю

**thyrex** · 16.06.2017, 07:08

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

**miketir** · 17.06.2017, 00:33

Сделал.
В логе заметил упоминание о Rsplayer_V1_4. Это то, что я пытался качать, и вместе с чем я поимел все 'удовольствия'

**miketir** · 20.06.2017, 18:13

Хелперы, отзовитесь!!! Надеюсь на вашу помощь! Пока не долечился боюсь ходить на сайты (личный кабинет в банке и др.), где запрашивается конфиденциальная информация

**thyrex** · 20.06.2017, 18:29

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
ShellIconOverlayIdentifiers: [JzShlobj] -> {9A0700D2-920A-4E52-8697-9B5230C92612} => C:\Program Files\Maoha\JiSuZip\JZipExt.dll -> No File
HKLM\...\Run: [] => [X]
HKU\S-1-5-21-2071129807-3609717368-344155445-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://services.eshield.com/general/newhometab.php?hometab=home&partner=11467&guid={4B11BDD3-F9A4-4AB9-A5B6-97A19C379EDC}&i=
SearchScopes: HKU\S-1-5-21-2071129807-3609717368-344155445-1000 -> {67C87012-FA60-4F54-9DF0-7CEBDBA01436} URL = hxxp://nova.rambler.ru/search?query={searchTerms}&utm_source=r44&utm_medium=distribution&utm_content=e09&utm_campaign=3w36
SearchScopes: HKU\S-1-5-21-2071129807-3609717368-344155445-1000 -> {9C84E661-9879-4E8D-8B25-C96D77E8C1C7} URL = hxxp://search.eshield.com/serp?guid={4B11BDD3-F9A4-4AB9-A5B6-97A19C379EDC}&action=default_search&k={searchTerms}
BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> C:\Program Files\IObit\IObit Uninstaller\UninstallExplorer32.dll => No File
FF Extension: (Fast search) - C:\Users\Worker\AppData\Roaming\Mozilla\Firefox\Profiles\khn9dptk.default\Extensions\amcontextmenu@loucypher [2017-06-12]
FF SearchPlugin: C:\Users\Worker\AppData\Roaming\Mozilla\Firefox\Profiles\khn9dptk.default\searchplugins\eshield-safe-web.xml [2015-08-07]
CHR HKLM\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [dkmjljdbbgogihjcapfhgkonfmccbffp] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [epgjfmblhacacphaljkdcjllkomdcjpc] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [kiplfnciaokpcennlkldkdaeaaomamof] - C:\Users\Worker\AppData\Local\Torch\Plugins\TorchPlugin.crx <not found>
S2 LiveUpdateSvc; C:\Program Files\IObit\LiveUpdate\LiveUpdate.exe [2909472 2015-07-29] (IObit)
2017-06-12 19:56 - 2017-06-12 20:00 - 00000000 ____D C:\Users\Worker\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器
2017-06-12 19:55 - 2017-06-12 19:55 - 00000000 ____D C:\Users\Worker\AppData\Local\UCBrowser
2017-06-12 19:50 - 2017-06-12 19:51 - 00000000 ____D C:\Users\Worker\AppData\Roaming\UCChannel
2017-06-12 19:50 - 2017-06-12 19:50 - 00000000 ____D C:\Users\Worker\AppData\Roaming\ServerTest
2017-06-12 19:50 - 2017-06-12 19:50 - 00000000 ____D C:\Program Files\Maoha
2017-06-12 19:49 - 2017-06-13 23:29 - 00000000 ____D C:\Program Files\My Web Shield
2016-01-11 21:16 - 2016-01-11 21:16 - 4481864 _____ (Google) C:\Users\Worker\AppData\Local\Temp\2194.exe
2014-04-10 13:04 - 2014-04-10 13:19 - 0573440 _____ () C:\Users\Worker\AppData\Local\Temp\8NcOaCEOM5UC.exe
2016-02-21 18:49 - 2016-02-21 18:49 - 4584344 _____ (Google) C:\Users\Worker\AppData\Local\Temp\A7E5.exe
2017-06-12 19:49 - 2017-06-12 19:49 - 2584280 _____ () C:\Users\Worker\AppData\Local\Temp\hcv_mailruhomesearch (1).exe
2017-06-12 19:49 - 2017-06-12 19:49 - 2584280 _____ () C:\Users\Worker\AppData\Local\Temp\hcv_mailruhomesearch (2).exe
2017-06-12 19:48 - 2017-06-12 19:49 - 2584280 _____ () C:\Users\Worker\AppData\Local\Temp\hcv_mailruhomesearch.exe
2014-04-10 13:01 - 2014-04-10 13:18 - 0884736 _____ () C:\Users\Worker\AppData\Local\Temp\hXjmOH6fmatE.exe
2017-06-12 19:49 - 2017-06-12 19:49 - 2584280 _____ () C:\Users\Worker\AppData\Local\Temp\mailruhomesearch.exe
2017-06-12 19:49 - 2017-06-08 12:18 - 4155096 _____ (Mail.Ru) C:\Users\Worker\AppData\Local\Temp\MailRuUpdater.exe
2016-09-11 21:42 - 2016-09-11 21:42 - 0182568 _____ () C:\Users\Worker\AppData\Local\Temp\mediaget-uninstaller.exe
2017-06-12 19:49 - 2017-06-12 19:49 - 0698875 _____ (VideoBox                                                    ) C:\Users\Worker\AppData\Local\Temp\mediasrv.exe
2017-06-12 19:49 - 2017-06-12 19:49 - 0454968 _____ ("My Web Shield") C:\Users\Worker\AppData\Local\Temp\mwesinstall.exe
2016-07-13 18:05 - 2016-07-13 22:00 - 3634040 _____ (Ask.com                                                      ) C:\Users\Worker\AppData\Local\Temp\NEW1550.tmp.exe
2014-06-09 23:03 - 2014-06-09 23:11 - 3634040 _____ (Ask.com                                                      ) C:\Users\Worker\AppData\Local\Temp\NEW6B89.tmp.exe
2016-10-14 18:25 - 2016-10-15 00:31 - 3634040 _____ (Ask.com                                                      ) C:\Users\Worker\AppData\Local\Temp\NEW83F2.tmp.exe
2016-05-13 23:50 - 2016-05-13 23:50 - 3634040 _____ (Ask.com                                                      ) C:\Users\Worker\AppData\Local\Temp\NEW8A35.tmp.exe
2015-05-01 11:55 - 2015-05-01 11:55 - 3634040 _____ (Ask.com                                                      ) C:\Users\Worker\AppData\Local\Temp\NEWD6DF.tmp.exe
2014-11-14 01:40 - 2014-11-14 01:40 - 3634040 _____ (Ask.com                                                      ) C:\Users\Worker\AppData\Local\Temp\NEWE658.tmp.exe
2015-04-26 20:42 - 2015-04-26 20:42 - 37423096 _____ (PandoraTV) C:\Users\Worker\AppData\Local\Temp\nsc6937.tmp.exe
2017-06-12 20:06 - 2016-12-27 05:34 - 0128216 _____ () C:\Users\Worker\AppData\Local\Temp\pcid.dll
2014-08-29 18:54 - 2014-08-29 18:54 - 0153896 _____ (Yandex) C:\Users\Worker\AppData\Local\Temp\sender.exe
2017-06-12 19:49 - 2017-06-12 19:49 - 5389876 _____ (                                                            ) C:\Users\Worker\AppData\Local\Temp\Yeadesktop.exe
2014-04-14 09:30 - 2014-04-14 09:27 - 4016048 _____ (Ask) C:\Users\Worker\AppData\Local\Temp\setup.exe
2014-04-10 13:12 - 2014-04-10 13:22 - 1687552 _____ () C:\Users\Worker\AppData\Local\Temp\UcMuRmEm2FKd.exe
2017-06-12 19:49 - 2017-06-12 19:49 - 2420563 _____ () C:\Users\Worker\AppData\Local\Temp\vk_ok_adblock.exe
Task: {03F24C8C-7A28-4979-B003-075E856BC07A} - \Soft installer -> No File <==== ATTENTION
Task: {062E3FAA-FB4D-421C-BFB5-BC1F1C5A6CE2} - \Microsoft\Windows\Windows Error Reporting\VideErroroReporting -> No File <==== ATTENTION
Task: {A2C206A0-237F-4A53-876D-1FF23CDB0E01} - System32\Tasks\Scheduled Update for Ask Toolbar => C:\Program Files\Ask.com\UpdateTask.exe <==== ATTENTION
FirewallRules: [{E70FE4E1-B34E-4B02-B791-10C8491290D3}] => (Allow) C:\Program Files\Maoha\MaohaAP\MaohaWifiSvr.exe
FirewallRules: [TCP Query User{ECDC6FF1-A821-4266-A0F9-E252699F905F}C:\users\worker\appdata\local\mediaget2\mediaget.exe] => (Block) C:\users\worker\appdata\local\mediaget2\mediaget.exe
FirewallRules: [UDP Query User{51CBBF10-D5A2-4048-99CC-BF5354E7B559}C:\users\worker\appdata\local\mediaget2\mediaget.exe] => (Block) C:\users\worker\appdata\local\mediaget2\mediaget.exe
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание, что будет выполнена перезагрузка компьютера.

**miketir** · 20.06.2017, 20:38

Спасибо за оперативный отклик.
Ваши указания выполнил.
В процессе сохранения fixlist.txt было выдано сообщение о наличии символов unicode. Подозреваю, речь о

Код:

2017-06-12 19:56 - 2017-06-12 20:00 - 00000000 ____D C:\Users\Worker\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器

**thyrex** · 21.06.2017, 19:07

Сделайте лог AdwCleaner

**miketir** · 21.06.2017, 22:07

Сделано

**thyrex** · 22.06.2017, 06:01

Удалите в AdwCleaner все найденное

**miketir** · 22.06.2017, 09:19

Вроде, все проблемы ушли. Спасибо!

**thyrex** · 22.06.2017, 09:38

Тогда на выписку из клиники

**CyberHelper** · 22.06.2017, 09:48

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 41
В ходе лечения обнаружены вредоносные программы:
1. c:\program files\my web shield\mweshield.exe - not-a-virus:HEUR:AdWare.Win32.Mewishid.gen
2. c:\program files\my web shield\mweshieldup.exe - not-a-virus:HEUR:AdWare.Win32.Mewishid.gen
3. c:\programdata\windowsvideoerrorreporting\wvermgr. exe - HEUR:Trojan.Win32.Generic
4. c:\users\worker\appdata\local\temp\00029732\msiql. exe - not-a-virus:HEUR:AdWare.Win32.Sokuxuan.gen ( BitDefender: Gen:Variant.Zusy.188040 )
5. c:\windows\system32\drivers\mwescontroller.sys - not-a-virus:NetTool.Win32.NetFilter.gs
6. c:\windows\system32\drivers\oem-drv86.sys - not-a-virus:RiskTool.Win32.HackKMS.g

Программы с иероглифами и др. [not-a-virus:RiskTool.Win32.HackKMS.g, not-a-virus:NetTool.Win32.NetFilter.gs ] (заявка № 212949)

Опции темы