процесс hddprotect.exe запускается при включении системы [not-a-virus:AdWare.Python.PBot.aa, Trojan.Python.PBot.a ]

**dronao** · 10.10.2017, 16:32

Добрый день! При включении ноутбука запускается командная строка,выполнятся некий скрипт, и запускается процесс hddprotect.exe(бывает и 2-3 таких же процесса).Процессор сразу разгоняется до 100%,но эти процессы можно завершать. Путь к ним всегда лежит в папке Temp.При завершении этих процессов ноутбук работает нормально,но при очередной перезагрузке они вновь запускаются. В интернете не нашёл информации о подобном процессе,лишь догадываюсь,что он как-то связан с AdobeL.exe,непонятной программой также лежащей в папке Temp.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 10.10.2017, 16:34

Уважаемый(ая) dronao, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 12.10.2017, 22:30

Выполните скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\Users\dronao\AppData\Roaming\AdobeControlUtil\admres.exe', '');
 QuarantineFile('C:\Users\dronao\AppData\Roaming\Adobemnr\AdobeL.exe', '');
 QuarantineFile('C:\Users\dronao\AppData\Roaming\armtrgt.exe', '');
 QuarantineFile('C:\Users\dronao\AppData\Roaming\hdprotect\wrt.vbs', '');
 QuarantineFile('C:\Users\dronao\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\admresDJT.exe', '');
 QuarantineFile('C:\Users\dronao\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\amdrpo2t.exe', '');
 QuarantineFile('C:\Users\dronao\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\nvidload.exe', '');
 QuarantineFile('C:\Users\dronao\AppData\Roaming\onsaleprofit\IQmanager\ml.py', '');
 QuarantineFile('C:\Users\dronao\AppData\Roaming\onsaleprofit\ml.py', '');
 QuarantineFile('C:\Users\dronao\Downloads\wifiaudio_windows\wifiaudio_windows.exe', '');
 DeleteFile('C:\Users\dronao\AppData\Roaming\AdobeControlUtil\admres.exe', '32');
 DeleteFile('C:\Users\dronao\AppData\Roaming\Adobemnr\AdobeL.exe', '32');
 DeleteFile('C:\Users\dronao\AppData\Roaming\armtrgt.exe');
 DeleteFile('C:\Users\dronao\AppData\Roaming\hdprotect\wrt.vbs', '32');
 DeleteFile('C:\Users\dronao\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\admresDJT.exe', '32');
 DeleteFile('C:\Users\dronao\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\amdrpo2t.exe', '32');
 DeleteFile('C:\Users\dronao\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\nvidload.exe', '32');
 DeleteFile('C:\Users\dronao\AppData\Roaming\onsaleprofit\IQmanager\ml.py', '32');
 DeleteFile('C:\Users\dronao\AppData\Roaming\onsaleprofit\ml.py', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "Adobe.Updater.Min" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "AdobeControlUtil" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "IQmanager" /F', 0, 15000, true);
 DeleteFileMask('C:\Users\dronao\AppData\Roaming\AdobeControlUtil', '*', true);
 DeleteFileMask('C:\Users\dronao\AppData\Roaming\Adobemnr\', '*', true);
 DeleteFileMask('C:\Users\dronao\AppData\Roaming\hdprotect', '*', true);
 DeleteDirectory('C:\Users\dronao\AppData\Roaming\AdobeControlUtil');
 DeleteDirectory('C:\Users\dronao\AppData\Roaming\Adobemnr\');
 DeleteDirectory('C:\Users\dronao\AppData\Roaming\hdprotect');
 DelBHO('{0055C089-8582-441B-A0BF-17B458C2A3A8}');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**dronao** · 13.10.2017, 13:21

Отчёт из Farbar

**Vvvyg** · 13.10.2017, 22:01

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
HKLM-x32\...\Run: [CSTDCMainController2015] => [X]
HKLM-x32\...\Run: [CSTDCSolverServer2015] => [X]
Startup: C:\Users\dronao\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Isass.lnk [2017-06-07]
GroupPolicy: Restriction - Chrome <==== ATTENTION
BHO: YoutubeAdBlock -> {E3605470-291B-44EB-8648-745EE356599A} -> C:\Program Files (x86)\YoutubeAdBlockIE\tnvnt_0_.dll [2017-04-21] ()
C:\Program Files (x86)\YoutubeAdBlockIE
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=811040
FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B851677D1-791B-4B7D-8D23-0E3B6F230178%7D&gp=811041
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\dronao\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2017-04-28]
FF Extension: (Поиск@Mail.Ru) - C:\Users\dronao\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2017-04-28]
FF Extension: (WinToFlash Suggestor) - C:\Users\dronao\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{285ACFBB-8E53-4feb-90E6-F02A128927F3}.xpi [2012-05-25] [not signed]
HR HomePage: Default -> hxxp://mail.ru/cnt/10445?gp=811036
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811036"
CHR HKLM\...\Chrome\Extension: [ngpampappnmepgilojfohadhhmbhlaek] - C:\Program Files (x86)\Internet Download Manager\IDMGCExt.crx <not found>
CHR HKU\S-1-5-21-3530588534-1818049193-1178374088-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [holihdldfgekmjfdhdinpfjbfnhcphia] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3530588534-1818049193-1178374088-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx
OPR Extension: (Блокировщик Рекламы Для Ютуба™) - C:\Users\dronao\AppData\Roaming\Opera Software\Opera Stable\Extensions\afldfjciapjgcjhfokmfcmphbnnglblh [2017-04-21]
OPR Extension: (Tables) - C:\Users\dronao\AppData\Roaming\Opera Software\Opera Stable\Extensions\egafjhhpbipcmpoiomegbckljbbbphoj [2017-04-20]
OPR Extension: (SaveFrom.net помощник) - C:\Users\dronao\AppData\Roaming\Opera Software\Opera Stable\Extensions\npdpplbicnmpoigidfdjadamgfkilaak [2017-10-09]
R1 YSDrv; C:\Program Files (x86)\Bignox\BigNoxVM\RT\YSDrv.sys [270608 2017-09-20] (BigNox Corporation)
2017-09-20 17:31 - 2017-10-13 12:44 - 001677712 _____ C:\Users\dronao\AppData\Roaming\Adobemnr.exe
2017-09-19 14:30 - 2017-09-20 17:31 - 002006896 _____ C:\Users\dronao\AppData\Roaming\AdobeControlUtil.exe
2017-09-19 14:30 - 2017-09-20 17:31 - 000000040 _____ C:\Users\dronao\AppData\Roaming\AdobeControlUtil.exe.sha1
2017-08-17 21:36 - 2017-10-13 12:44 - 000000040 _____ () C:\Users\dronao\AppData\Roaming\Adobemnr.exe.sha1
2017-08-17 21:41 - 2017-08-17 21:41 - 000000040 _____ () C:\Users\dronao\AppData\Roaming\armtrgt.exe.sha1
2017-07-23 22:24 - 2017-07-23 22:24 - 000000000 ____H () C:\Users\dronao\AppData\Local\BIT8F63.tmp
2017-05-06 15:01 - 2017-05-06 15:01 - 000000000 ____H () C:\Users\dronao\AppData\Local\BIT9270.tmp
2017-06-07 17:59 - 2017-06-07 18:47 - 000000385 _____ () C:\ProgramData\OR2dYYC1wD.ps1
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
ContextMenuHandlers1: [Advanced SystemCare] -> {2803063F-4B8D-4dc6-8874-D1802487FE2D} =>  -> No File
Task: {3442DDA2-FB60-4A93-A393-A97CFFC199A9} - \WiseCleaner\WMOSkipUAC -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [149]
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой.

**dronao** · 13.10.2017, 23:20

Всё вроде стабильно работает, огромное спасибо за помощь!

**Vvvyg** · 14.10.2017, 12:32

Java 8 обязательно обновите до Java 8 Update 144, у Вас устаревшая версия со множеством критических уязвимостей.

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.

**CyberHelper** · 14.10.2017, 12:42

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 10
В ходе лечения обнаружены вредоносные программы:
1. c:\users\dronao\appdata\roaming\adobemnr\adobel.ex e - Trojan.Win32.Agentb.bxcp ( BitDefender: Application.BitcoinMiner.HV )
2. c:\users\dronao\appdata\roaming\microsoft\windows\ start menu\programs\startup\amdrpo2t.exe - HEUR:Trojan.Win32.Generic
3. c:\users\dronao\appdata\roaming\onsaleprofit\iqman ager\ml.py - Trojan.Python.PBot.a
4. c:\users\dronao\appdata\roaming\onsaleprofit\ml.py - not-a-virus:AdWare.Python.PBot.aa

процесс hddprotect.exe запускается при включении системы [not-a-virus:AdWare.Python.PBot.aa, Trojan.Python.PBot.a ] (заявка № 215679)

Опции темы