Показано с 1 по 14 из 14.

Самопроизвольная установка приложений браузера Google [Trojan.Win32.Inject.agmvu, Trojan.Win32.Yakes.uenz] (заявка № 215093)

  1. #1
    Junior Member Репутация
    Регистрация
    05.12.2016
    Сообщений
    26
    Вес репутации
    3

    Thumbs up Самопроизвольная установка приложений браузера Google [Trojan.Win32.Inject.agmvu, Trojan.Win32.Yakes.uenz]

    Я пользуюсь такой утилитой, как PCWinBooster и, каждый раз, после посещения интернета через браузер Google, она определяет какие-то самопроизвольно установившиеся расширения браузера Google. Скриншоты: PCWinBuster 1.jpg PCWinBuster 2.jpg
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,416
    Вес репутации
    340
    Уважаемый(ая) Hjvfhbj, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    25,907
    Вес репутации
    822
    Выполните скрипт в AVZ:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     TerminateProcessByName('c:\users\user\appdata\local\rqhif.exe');
     StopService('ShellHWDetection');
     StopService('wfcre');
     QuarantineFile('c:\users\user\appdata\local\rqhif.exe', '');
     QuarantineFile('C:\Windows\system32\drivers\wfcre.sys', '');
     QuarantineFile('C:\Users\user\AppData\Roaming\Microsoft\artejjuw\gtaghrai.exe', '');
     DeleteFile('c:\users\user\appdata\local\rqhif.exe', '32');
     DeleteFile('C:\Windows\system32\drivers\wfcre.sys', '32');
     DeleteFile('C:\Users\user\AppData\Roaming\Microsoft\artejjuw\gtaghrai.exe', '32');
     DeleteFile('C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk');
     DeleteService('wfcre');
     DeleteFileMask('c:\users\user\appdata\local\mail.ru', '*', true);
     DeleteFileMask('c:\users\user\appdata\roaming\microsoft\artejjuw', '*', true);
     DeleteDirectory('c:\users\user\appdata\local\mail.ru');
     DeleteDirectory('c:\users\user\appdata\roaming\microsoft\artejjuw');
     ExecuteFile('schtasks.exe', '/delete /TN "{54C9EB0C-F2CA-4125-ACAC-D0FB7B3A926D}" /F', 0, 15000, true);
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GameCenterMailRu', 'command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MailRuUpdater', 'command');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'Yandex');
    BC_ImportALL;
    ExecuteSysClean;
     ExecuteRepair(2);
     ExecuteRepair(4);
     ExecuteRepair(23);
     ExecuteWizard('SCU', 2, 2, true);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Выполните в AVZ скрипт:
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора) и пофиксите:
    Код:
    O4 - MSConfig\startupfolder: C:^Users^user^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Yandex.lnk - C:\Users\user\AppData\Local\Yandex\YandexBrowser\Application\browser.exe (2015/03/07) (file missing)
    O4 - MSConfig\startupfolder: C:^Users^user^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^regCheck.lnk - C:\Users\user\AppData\Local\rightchose\regCheck.vbs www.rightchose.xyz/?rnd=161 0 3000000 (2017/08/14) (file missing)
    O4 - MSConfig\startupreg: [0NX4D2MX6PDGHJT] (no file)  (HKCU) (2017/08/14)
    O4 - MSConfig\startupreg: [1E5TH3RVPRD9YFH] (no file)  (HKCU) (2017/08/14)
    O4 - MSConfig\startupreg: [1hih12n3wqo] (no file)  (HKCU) (2017/08/14)
    O4 - MSConfig\startupreg: [7rb3LTzutM.exe] (no file)  (HKCU) (2017/08/14)
    O4 - MSConfig\startupreg: [AceStream] (no file)  (HKCU) (2016/01/21)
    O4 - MSConfig\startupreg: [CRWAJ5J6R7AOTC1] (no file)  (HKCU) (2017/08/14)
    O4 - MSConfig\startupreg: [CiPlus-4.5vV03.10-nv-ie] (no file)  (HKCU) (2017/05/20)
    O4 - MSConfig\startupreg: [Clipdiary] (no file)  (HKCU) (2016/01/21)
    O4 - MSConfig\startupreg: [DateOption] (no file)  (HKLM) (2017/08/14)
    O4 - MSConfig\startupreg: [FileSystemOptions] (no file)  (HKCU) (2017/08/14)
    O4 - MSConfig\startupreg: [FilterOptions] (no file)  (HKLM) (2017/08/14)
    O4 - MSConfig\startupreg: [GRA5LYZ21CQXFO6] (no file)  (HKCU) (2017/08/14)
    O4 - MSConfig\startupreg: [cdrhvqs] (no file)  (HKCU) (2017/06/04)
    O4 - MSConfig\startupreg: [hlrsiwbjqx2] (no file)  (HKCU) (2017/08/14)
    O4 - MSConfig\startupreg: [mbot_ru_014010102] (no file)  (HKLM) (2015/10/03)
    O4 - MSConfig\startupreg: [nrgcgoaopcr] (no file)  (HKCU) (2017/08/14)
    O4 - MSConfig\startupreg: [rec_en_77] (no file)  (HKLM) (2015/10/03)
    O4 - MSConfig\startupreg: [spdetector3] C:\Program Files\Spyware Process Detector\spd323.exe TRAY (file missing) (HKCU) (2015/09/19)
    O4 - MSConfig\startupreg: [uTorrent] C:\Users\user\AppData\Roaming\uTorrent\uTorrent.exe /MINIMIZED (file missing) (HKCU) (2016/12/17)
    O4 - MSConfig\startupreg: [w42cruvlxxj] (no file)  (HKCU) (2017/08/14)
    O4 - MSConfig\startupreg: [y5epwlmti1j] (no file)  (HKCU) (2017/08/14)
    O22 - Task (Ready): {959C491B-8A85-40A2-8BD4-DA2EEDE20FC6} - C:\Program Files\Google\Chrome\Application\chrome.exe
    Сделайте новый лог Autologger, Ok после запуска нажимайте с зажатой клавишей Shift.

    Сделайте лог Malwarebytes AdwCleaner.
    Последний раз редактировалось Vvvyg; 13.09.2017 в 20:21.
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    05.12.2016
    Сообщений
    26
    Вес репутации
    3

    HijackThis

    Несоответствие того, что вы указываете в виде кода для HijackThis тому, что выдает сам HijackThis (скриншоты того и другого прилагаю).
    Изображения Изображения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    25,907
    Вес репутации
    822
    Надо пользоваться HijackThis, который уже находится в папке Autologger, а не скачивать устаревшую версию.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    05.12.2016
    Сообщений
    26
    Вес репутации
    3
    Я сразу так и сделал как вы рекомендовали, но результат был тот же, поэтому попытался обновить HijackThis до более новой версии.

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    25,907
    Вес репутации
    822
    Выполняйте дальнейшие указания.
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    05.12.2016
    Сообщений
    26
    Вес репутации
    3

    AdwCleaner и AutoLogger

    AdwCleaner и AutoLogger (так как HijackThis воспользоваться не удалось, то при сканировании AutoLogger "Ok после запуска нажимайте с зажатой клавишей Shift" - не делал, т.е. просканировал полностью).
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    25,907
    Вес репутации
    822
    Запустите повторно Malwarebytes AdwCleaner Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши от имени администратора)), нажмите кнопку Сканировать (Scan).

    Установите в пункте меню "Настройки" (Settings) дополнительно к установленным по умолчанию галочку "Сброс политик Chrome".
    Затем нажмите Очистка (Cleaning) и по окончании удаления перезагрузите систему по требованию программы.

    После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (лучше все в одном архиве).
    WBR,
    Vadim

  11. #10
    Junior Member Репутация
    Регистрация
    05.12.2016
    Сообщений
    26
    Вес репутации
    3

    AdwCleaner и FRST

    AdwCleaner и FRST
    Вложения Вложения

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    25,907
    Вес репутации
    822
    Расширения Платежная система Интернет-магазина Chrome и Chrome Media Router устанавливает сам хром. Рекомендую удалить PCWinBooster.

    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код:
    CreateRestorePoint:
    FF NewTab: Mozilla\Firefox\Profiles\ynx2um5x.default -> C:\\ProgramData\\AppriabuSs\\ff.NT
    FF DefaultSearchEngine: Mozilla\Firefox\Profiles\ynx2um5x.default -> Поиск@Mail.Ru
    FF SelectedSearchEngine: Mozilla\Firefox\Profiles\ynx2um5x.default -> Поиск@Mail.Ru
    FF Homepage: Mozilla\Firefox\Profiles\ynx2um5x.default -> hxxps://mail.ru/cnt/11956636?fr=ffhp1.0.3&gp=812257
    FF Keyword.URL: Mozilla\Firefox\Profiles\ynx2um5x.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B0C41E92F-2C4F-404E-8884-EECD83400EFC%7D&gp=811041
    S4 BstHdLogRotatorSvc; "C:\Program Files\BlueStacks\HD-LogRotatorService.exe" [X]
    S4 Lenovo EasyPlus Hotspot; "C:\Program Files\Common Files\LENOVO\easyplussdk\bin\EPHotspot.exe" [X]
    S4 BstkDrv; \??\C:\Program Files\BlueStacks\BstkDrv.sys [X]
    U3 dmserver; no ImagePath
    U4 mnmsrvc; no ImagePath
    S4 nvvad_WaveExtensible; system32\drivers\nvvad32v.sys [X]
    U4 RDSessMgr; no ImagePath
    U4 RSVP; no ImagePath
    U0 TorchCrashHandler; no ImagePath
    U4 UPS; no ImagePath
    U4 W3SVC; no ImagePath
    U4 xmlprov; no ImagePath
    2017-09-13 09:46 - 2015-02-13 15:20 - 000000000 ____D C:\ProgramData\IObit
    2017-08-19 11:05 - 2016-12-19 21:47 - 006936389 _____ C:\quarantine.zip
    2017-08-13 21:32 - 2017-08-13 21:32 - 000000000 _____ () C:\Users\user\AppData\Local\agent.dat
    2017-08-13 21:32 - 2017-08-13 21:32 - 000000000 _____ () C:\Users\user\AppData\Local\Config.xml
    2017-08-13 21:32 - 2017-08-13 21:30 - 002554368 _____ (TODO: <Company name>) C:\Users\user\AppData\Local\Dalt-Warm.exe
    2017-08-13 21:32 - 2017-08-13 21:32 - 000000000 _____ () C:\Users\user\AppData\Local\noah.dat
    Task: {05DBF4AD-442D-439C-80D3-B87C795BE576} - System32\Tasks\Games\UpdateCheck_S-1-5-21-903011104-518801795-3131013286-1000
    MSCONFIG\startupreg: 0NX4D2MX6PDGHJT => 
    MSCONFIG\startupreg: 1E5TH3RVPRD9YFH => 
    MSCONFIG\startupreg: 1hih12n3wqo => 
    MSCONFIG\startupreg: 7rb3LTzutM.exe => 
    MSCONFIG\startupreg: AceStream => 
    MSCONFIG\startupreg: cdrhvqs => 
    MSCONFIG\startupreg: CiPlus-4.5vV03.10-nv-ie => 
    MSCONFIG\startupreg: CRWAJ5J6R7AOTC1 => 
    MSCONFIG\startupreg: DateOption => 
    MSCONFIG\startupreg: FileSystemOptions => 
    MSCONFIG\startupreg: FilterOptions => 
    MSCONFIG\startupreg: GameXP AccessPoint => "C:\GameXP\AccessPoint\accesspoint.exe" -silent
    MSCONFIG\startupreg: Globus => C:\Users\user\AppData\Local\Apps\2.0\NNCE0KTX.W2V\V1OPYTC3.HMD\glob..tion_0e9bece345a75cf6_0003.0002_ce1b140f0d73bc23\Globus.exe
    MSCONFIG\startupreg: GoogleChromeAutoLaunch_100535F106431A9BDA15E8895BE69FFB => 
    MSCONFIG\startupreg: GRA5LYZ21CQXFO6 => 
    MSCONFIG\startupreg: hlrsiwbjqx2 => 
    MSCONFIG\startupreg: MailRuUpdater => 
    MSCONFIG\startupreg: mbot_ru_014010102 => 
    MSCONFIG\startupreg: nrgcgoaopcr => 
    MSCONFIG\startupreg: P6K5L7X14TWOWQW => 
    MSCONFIG\startupreg: rec_en_77 => 
    MSCONFIG\startupreg: spdetector3 => C:\Program Files\Spyware Process Detector\spd323.exe TRAY
    MSCONFIG\startupreg: w42cruvlxxj => 
    MSCONFIG\startupreg: y5epwlmti1j => 
    FirewallRules: [{30507EFB-359B-4B2F-A870-34AF7C6A5BE8}] => (Allow) C:\Program Files\Zona\Zona.exe
    FirewallRules: [{CF1D7034-DB89-41ED-94BA-9342591DC11A}] => (Allow) C:\Program Files\Zona\Zona.exe
    MSCONFIG\startupreg: GameCenterMailRu => 
    FirewallRules: [TCP Query User{0C6F5628-7C47-4E21-8D7C-D422643A1A89}C:\users\user\appdata\local\mail.ru\gamecenter\gamecenter@mail.ru.exe] => (Allow) C:\users\user\appdata\local\mail.ru\gamecenter\gamecenter@mail.ru.exe
    FirewallRules: [UDP Query User{B0EFC4F6-9331-46AA-8B60-715C94C506BD}C:\users\user\appdata\local\mail.ru\gamecenter\gamecenter@mail.ru.exe] => (Allow) C:\users\user\appdata\local\mail.ru\gamecenter\gamecenter@mail.ru.exe
    FirewallRules: [TCP Query User{EEEEEAF0-5C05-47FA-9AB8-CE2A58E30B5C}C:\users\user\appdata\roaming\zona\plugins\zbroadcast\zbroadcast.exe] => (Allow) C:\users\user\appdata\roaming\zona\plugins\zbroadcast\zbroadcast.exe
    FirewallRules: [UDP Query User{9FDE3357-DBE5-4FF3-AEE4-432E14857D29}C:\users\user\appdata\roaming\zona\plugins\zbroadcast\zbroadcast.exe] => (Allow) C:\users\user\appdata\roaming\zona\plugins\zbroadcast\zbroadcast.exe
    Reboot:
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool
    Отключите до перезагрузки антивирус, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.

    Java 8 обязательно обновите до Java 8 Update 144, у Вас устаревшая версия с уязвимостями.

    Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемой.
    WBR,
    Vadim

  13. #12
    Junior Member Репутация
    Регистрация
    05.12.2016
    Сообщений
    26
    Вес репутации
    3

    Fixlog.txt

    1) Если удалить PCWinBooster, то чем его заменить? У меня диск С забит, и я его подчищаю с помощью этой утилиты. Хорошо бы диск С освободить от лишнего, а что-то перекинуть на диск D. Но каким образом?
    2) При попытке загрузить Java 8 Update 144, появляется такой текст: "Мы обнаружили, что вы используете Google Chrome и, возможно, не можете использовать подключаемый модуль Java из этого браузера. В браузере Chrome, начиная с версии 42 (выпущенной в апреле 2015 г.), отключен стандартный способ поддержки подключаемых модулей."
    Может лучше удалить Google Chrome и заменить его, например Яндекс.Браузером, раз он такой проблемный?
    Вложения Вложения

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    25,907
    Вес репутации
    822
    1) CCleaner бесплатный. В папку с ним скачайте файл Winapp2.ini - он обновляется часто, добавляются множество вариантов очистки для приложений и системы.

    2) А Java вообще нужна для чего-то? Я не вижу у вас приложений, которым она необходима, а в браузерах она для 99% пользователей только вредна. Так что, лучше её и удалите.
    WBR,
    Vadim

  15. Это понравилось:


  16. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    25,907
    Вес репутации
    822
    Запустите AdwCleaner и нажмите Файл (File) -> Удалить (Uninstall).

    Удалите папку C:\FRST со всем содержимым.

    Выполните рекомендации после лечения.

  • Уважаемый(ая) Hjvfhbj, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 11
      Последнее сообщение: 14.03.2015, 06:49
    2. Ответов: 9
      Последнее сообщение: 29.10.2014, 10:06
    3. Ответов: 19
      Последнее сообщение: 13.10.2014, 16:44
    4. Вирус Recycler [Trojan.Win32.Inject.hoed, Trojan.Win32.Yakes.dzkr, Backdoor.Win32.Androm.bmwy ]
      От Аделя Ахмедова в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 17.02.2014, 13:00
    5. Ответов: 7
      Последнее сообщение: 28.02.2013, 09:41

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01591 seconds with 21 queries