Вирусы. [not-a-virus:RiskTool.Win64.BitCoinMiner.cwo, Trojan.Win32.Agent.ikps ]

[FatalMouse]

Многократно антивирусы жалуются на одни и те же объекты, которые после удаления снова появляются. Открываются сторонние страницы в браузере. Так же устанавливаются сторонние программы.

[Info_bot]

Уважаемый(ая) FatalMouse, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\артем\AppData\Local\wupdate\wupdate.exe','');
 QuarantineFile('C:\Program Files (x86)\GXZiGyYLSHyU2\j7OauQX.dll','');
 QuarantineFile('C:\Users\артем\AppData\Local\ScriptWriter\ScriptWriter.exe','');
 QuarantineFile('C:\Users\артем\AppData\Roaming\Microsoft\msi.exe','');
 QuarantineFile('C:\Users\3C26~1\AppData\Roaming\curl\curl_7_54.exe','');
 QuarantineFile('C:\Program Files (x86)\thzXuJvjU\VA2h1A3.dll','');
 DelBHO('{C0D38E5A-7CF8-4105-8FE8-31B81443A114}');
 QuarantineFile('C:\Program Files (x86)\QYERbvxRHIE\kZyeeyJ.dll','');
 SetServiceStart('icacl', 4);
 SetServiceStart('SvcHost Service Host', 4);
 DeleteService('SvcHost Service Host');
 DeleteService('icacl');
 TerminateProcessByName('c:\windows\microsoft\svchost.exe');
 TerminateProcessByName('C:\Windows\Microsoft\svchost.exe.exe');
 QuarantineFile('C:\Windows\Microsoft\svchost.exe.exe','');
 QuarantineFile('c:\windows\microsoft\svchost.exe','');
 TerminateProcessByName('C:\Windows\System32\icacl.exe');
 QuarantineFile('C:\Windows\System32\icacl.exe','');
 DeleteFile('C:\Windows\System32\icacl.exe','32');
 DeleteFile('c:\windows\microsoft\svchost.exe','32');
 DeleteFile('C:\Windows\Microsoft\svchost.exe.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','osyuxrmkiy');
 DeleteFile('C:\Program Files (x86)\QYERbvxRHIE\kZyeeyJ.dll','32');
 DeleteFile('C:\Program Files (x86)\thzXuJvjU\VA2h1A3.dll','32');
 DeleteFile('C:\WINDOWS\Tasks\uuxHwpnMkRCRpJh.job','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\curl','64');
 DeleteFile('C:\Users\3C26~1\AppData\Roaming\curl\curl_7_54.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\curls','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\MSI','64');
 DeleteFile('C:\Users\артем\AppData\Roaming\Microsoft\msi.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\ScriptWriter','64');
 DeleteFile('C:\Users\артем\AppData\Local\ScriptWriter\ScriptWriter.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\TnqpiRJoXWMCwN','64');
 DeleteFile('C:\Program Files (x86)\GXZiGyYLSHyU2\j7OauQX.dll','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\uuxHwpnMkRCRpJh','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\uuxHwpnMkRCRpJh2','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\wupdate','64');
 DeleteFile('C:\Users\артем\AppData\Local\wupdate\wupdate.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[FatalMouse]

Сделал.
Программы больше не устанавливаются, но антивирус так же обнаруживает вирусы. Страницы в браузере так же открываются.

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[FatalMouse]

Выполнил.

[thyrex]

setupsk
YoutubeAdBlock

удалите через Установку программ.

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
HKU\S-1-5-21-935787954-3714542951-3318145870-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=D35971A48F779994F0E0A9B48D032D17&utm_d=20170728
BHO: YoutubeAdBlock -> {C0D38E5A-7CF8-4105-8FE8-31B81443A114} -> C:\Program Files (x86)\QYERbvxRHIE\tmT0uKCH.dll => No File
2017-08-26 00:19 - 2017-08-26 17:20 - 000000000 ____D C:\Users\артем\AppData\Local\SearchGo
2017-08-26 00:19 - 2017-08-26 17:12 - 000000000 ____D C:\Users\артем\AppData\LocalLow\SearchGo
2017-08-26 00:19 - 2017-08-26 00:19 - 000003552 _____ C:\WINDOWS\System32\Tasks\SearchGo Task
2017-08-25 23:44 - 2017-08-25 23:44 - 000000000 ____D C:\Users\артем\AppData\Local\Вoйти в Интeрнет
2017-08-25 23:43 - 2017-08-27 12:13 - 000000000 ____D C:\Users\артем\AppData\Roaming\curl
2017-08-25 23:42 - 2017-08-25 23:42 - 000969024 _____ C:\WINDOWS\system32\icacl.exe
2017-08-25 23:41 - 2017-08-26 16:21 - 000000000 ____D C:\Users\артем\AppData\Local\yc
2017-08-25 23:40 - 2017-08-27 12:13 - 000000000 ____D C:\Users\артем\AppData\Local\wupdate
2017-08-25 23:39 - 2017-08-27 12:13 - 000000000 ____D C:\Users\артем\AppData\Local\ScriptWriter
2017-08-25 23:37 - 2017-08-25 23:37 - 000000000 ____D C:\Users\артем\AppData\Local\Поиcк в Интeрнете
2017-08-26 00:25 - 2017-08-26 00:25 - 002099176 _____ () C:\Users\артем\AppData\Local\Temp\0YuwNA9gYltW.exe
2017-08-26 00:05 - 2017-08-26 00:05 - 000799744 _____ () C:\Users\артем\AppData\Local\Temp\11.tmp.exe
2017-08-27 06:56 - 2017-08-27 06:07 - 000844792 _____ () C:\Users\артем\AppData\Local\Temp\15A0.tmp.exe
2017-08-26 00:01 - 2017-08-25 23:38 - 000799744 _____ (MONN SOFT Inc) C:\Users\артем\AppData\Local\Temp\53C2.tmp.exe
2017-08-26 00:19 - 2017-08-26 00:19 - 000192000 _____ () C:\Users\артем\AppData\Local\Temp\82MiBObIF7SB.exe
2017-08-26 00:23 - 2017-08-26 00:23 - 038316032 _____ (The Chromium Authors) C:\Users\артем\AppData\Local\Temp\BTJHuD6oIn55.exe
2017-08-26 00:19 - 2017-08-26 00:19 - 000431320 _____ (Searchgo) C:\Users\артем\AppData\Local\Temp\dfIUTFoIXAkQ.exe
2017-08-26 00:03 - 2017-08-25 23:38 - 000799744 _____ (MONN SOFT Inc) C:\Users\артем\AppData\Local\Temp\E36B.tmp.exe
2017-08-26 00:02 - 2017-08-25 23:38 - 000799744 _____ (MONN SOFT Inc) C:\Users\артем\AppData\Local\Temp\E68.tmp.exe
2017-08-26 00:04 - 2017-08-25 23:38 - 000799744 _____ (MONN SOFT Inc) C:\Users\артем\AppData\Local\Temp\F24B.tmp.exe
2017-08-26 16:18 - 2017-08-26 16:18 - 002099176 _____ () C:\Users\артем\AppData\Local\Temp\IWbZimAcUmbP.exe
2017-08-26 16:19 - 2017-08-26 16:19 - 000192000 _____ () C:\Users\артем\AppData\Local\Temp\jj8MfEumaciF.exe
2017-08-25 23:38 - 2017-08-25 23:38 - 002099176 _____ () C:\Users\артем\AppData\Local\Temp\MpdZvx1p2BAh.exe
2017-08-26 16:24 - 2017-08-26 16:24 - 002099176 ____N () C:\Users\артем\AppData\Local\Temp\nEu8DKUHN3M6.exe
2017-08-26 00:17 - 2017-08-26 00:17 - 002099176 _____ () C:\Users\артем\AppData\Local\Temp\oVbZO35N4zIV.exe
2017-08-25 23:36 - 2017-08-25 23:37 - 002470457 _____ () C:\Users\артем\AppData\Local\Temp\VAPamjDzUONL.exe
2017-08-26 16:21 - 2017-08-26 16:21 - 038316032 ____N (The Chromium Authors) C:\Users\артем\AppData\Local\Temp\wPlfdgKhuIs7.exe
2017-08-25 23:46 - 2017-08-25 23:46 - 002099176 _____ () C:\Users\артем\AppData\Local\Temp\YuFNUGN8oiMZ.exe
2017-08-25 23:41 - 2017-08-25 23:41 - 038316032 _____ (The Chromium Authors) C:\Users\артем\AppData\Local\Temp\zOMfVLg2eBk5.exe
Task: {10E7BE15-6CEA-4FD6-8356-3A5AA265BE50} - \wupdate -> No File <==== ATTENTION
Task: {28BB5BEB-97A1-4EFC-A048-8DF281AEF354} - System32\Tasks\SearchGo Task => C:\Users\артем\AppData\Local\SearchGo\searchgo.exe <==== ATTENTION
Task: {568E03A2-B717-458E-9D94-85B1DBA4CAE5} - \curl -> No File <==== ATTENTION
Task: {5937F2D0-88C2-436D-BCD8-65EC8C41952D} - \TnqpiRJoXWMCwN -> No File <==== ATTENTION
Task: {6AAF76DA-3DBB-459A-A5C9-8569D182337B} - \uuxHwpnMkRCRpJh2 -> No File <==== ATTENTION
Task: {72376C71-19E8-4109-9127-2BE250C82D05} - \curls -> No File <==== ATTENTION
Task: {CC3DA26A-5A70-4ED7-B97F-562A53850197} - \ScriptWriter -> No File <==== ATTENTION
Task: {E00958C5-F7DA-426C-96DE-8380DE219F5D} - \MSI -> No File <==== ATTENTION
AlternateDataStreams: C:\WINDOWS\system32\Drivers\vxxtousc.sys:changelist [396]
AlternateDataStreams: C:\Users\артем\Desktop\AFMR final.JPG:com.dropbox.attributes [168]
AlternateDataStreams: C:\Users\артем\Desktop\ASMR.JPG:com.dropbox.attributes [168]
AlternateDataStreams: C:\Users\артем\Desktop\Liliya.jpg:com.dropbox.attributes [168]
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[FatalMouse]

Сделал. Спустя время реклама снова появилась, так же открываются страницы.

[thyrex]

Отключите ВСЕ установленные расширения для браузеров и проверьте проблему.

[FatalMouse]

Да, после отключения расширений проблема исчезла.

[thyrex]

Теперь по одному включайте и найдете виновника. Его имя сообщите.

[FatalMouse]

Я так понимаю, что это расширение Zoom для зума страниц в браузере. Пользовался им месяц, но реклама раньше не появлялась.
Еще нашел во встроенном антивирусе Windows 10 очень много файлов в исключениях, хотя я их не заносил в этот список. И удалить их из исключений я тоже не могу, не удаляются.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 7
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\users\артем\appdata\local\scriptwriter\scriptwr iter.exe - HEUR:Trojan.Win32.Generic
  2. c:\users\артем\appdata\local\wupdate\wupdate.exe - Trojan.Win32.Agent.ikps
  3. c:\users\3c26~1\appdata\roaming\curl\curl_7_54.exe - UDS:DangerousObject.Multi.Generic
  4. c:\windows\microsoft\svchost.exe - Trojan.Win32.SelfDel.gbpf
  5. c:\windows\microsoft\svchost.exe.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.cwo