hdcontroller hy2 ltd [Trojan.Win32.StartServ.gv, Trojan.Win32.Miner.tdyl ]

[z0dium]

Здравствуйте! Помогите, пожалуйста, удалить данное ПО. Я видел подобную тему у вас на форуме(https://virusinfo.info/showthread.php?t=215487). Решение указанное там, подойдет и мне? Или могут быть отличия? На всякий случай прикладываю результат проверки AVZ.

[Info_bot]

Уважаемый(ая) z0dium, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Удалите программу hdcontroller.

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\users\z0dium\appdata\roaming\microsoft\windows\cheking.exe');
 TerminateProcessByName('c:\users\z0dium\appdata\roaming\microsoft\windows\helper.exe');
 QuarantineFile('C:\Program Files\OneSystemCare\CleanupConsole.exe', '');
 QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe', '');
 QuarantineFile('C:\Users\z0dium\AppData\Local\Hostinstaller\2552136882_monster.exe', '');
 QuarantineFile('C:\Users\z0dium\appdata\local\temp\startpm.exe', '');
 QuarantineFile('c:\users\z0dium\appdata\roaming\microsoft\windows\cheking.exe', '');
 QuarantineFile('c:\users\z0dium\appdata\roaming\microsoft\windows\helper.exe', '');
 QuarantineFile('C:\Users\z0dium\AppData\Roaming\WeatherForecaster\app.py', '');
 QuarantineFile('C:\Users\z0dium\AppData\Roaming\WeatherForecaster\ml2.py', '');
 QuarantineFile('C:\Windows\System32\themctrl.dll', '');
 QuarantineFile('C:\Windows\System32\wbiosrvp.dll', '');
 QuarantineFileF('c:\program files\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\users\z0dium\appdata\local\hostinstaller', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('C:\Program Files\OneSystemCare\CleanupConsole.exe', '32');
 DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe', '32');
 DeleteFile('C:\Users\z0dium\AppData\Local\Hostinstaller\2552136882_monster.exe', '32');
 DeleteFile('C:\Users\z0dium\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.exe', '32');
 DeleteFile('C:\Users\z0dium\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '32');
 DeleteFile('C:\Users\z0dium\appdata\local\temp\startpm.exe', '32');
 DeleteFile('C:\Users\z0dium\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk', '32');
 DeleteFile('c:\users\z0dium\appdata\roaming\microsoft\windows\cheking.exe', '32');
 DeleteFile('c:\users\z0dium\appdata\roaming\microsoft\windows\helper.exe', '32');
 DeleteFile('C:\Users\z0dium\AppData\Roaming\WeatherForecaster\app.py', '32');
 DeleteFile('C:\Users\z0dium\AppData\Roaming\WeatherForecaster\ml2.py', '32');
 DeleteFile('C:\Users\z0dium\Favorites\Links\Интернет.url', '32');
 DeleteFile('C:\Windows\System32\themctrl.dll', '32');
 DeleteFile('C:\Windows\System32\wbiosrvp.dll', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "space(title, t_monitor)" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "System\SystemCheck" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "WeatherForecaster" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "WeatherForecaster2" /F', 0, 15000, true);
 DeleteFileMask('c:\program files\onesystemcare', '*', true);
 DeleteFileMask('c:\program files\zaxar', '*', true);
 DeleteFileMask('c:\users\z0dium\appdata\local\hostinstaller', '*', true);
 DeleteFileMask('c:\users\z0dium\appdata\roaming\weatherforecaster', '*', true);
 DeleteDirectory('c:\program files\onesystemcare');
 DeleteDirectory('c:\program files\zaxar');
 DeleteDirectory('c:\users\z0dium\appdata\local\hostinstaller');
 DeleteDirectory('c:\users\z0dium\appdata\roaming\weatherforecaster');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\themctrl\Parameters', 'ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\wbiosrvp\Parameters', 'ServiceDll');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте новый лог Autologger, Ok после запуска нажимайте с зажатой клавишей Shift.

Сделайте лог Malwarebytes AdwCleaner.

[z0dium]

У меня не получается удалить программу. Пишет, что не достаточно прав (хотя у меня права админа)

- - - - -Добавлено - - - - -

лог

[Vvvyg]

Карантин почему не загрузили?

Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes: DefaultScope = {FFEBBF0A-C22C-4172-89FF-45215A135AC7} - Поиск@Mail.Ru - http://go.mail.ru/search?q={SearchTerms}&fr=iextn&gp=801902
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7} - Поиск@Mail.Ru - http://go.mail.ru/search?q={SearchTerms}&fr=iextn&gp=801902 (URL)
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7} - Поиск@Mail.Ru - http://suggests.go.mail.ru/ie8?q={SearchTerms} (SuggestionsURL)
O22 - Task: hdtask - C:\Windows\system32\cmd.exe /c start http://toopix.biz/agame/play.html?shed^&s2^&adv=1

Сделайте лог Malwarebytes AdwCleaner.

[z0dium]

При попытке загрузить карантин вылезает такое окно 1.jpg. Ничего не понятно, что там написано )) Вроде интуитивно закидываю файл quarantine, но результата, видимо, не дает. Как кодировку изменить в хроме - не знаю

программу все также не удалить

отчет:
# AdwCleaner 7.0.5.0 - Logfile created on Fri Dec 08 22:40:27 2017
# Updated on 2017/29/11 by Malwarebytes
# Database: 12-08-2017.1
# Running on Windows 7 Ultimate (X86)
# Mode: scan
# Support: https://www.malwarebytes.com/support

***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

PUP.Optional.Legacy, C:\Users\z0dium\AppData\Local\Orbitum
PUP.Optional.Legacy, C:\Users\z0dium\AppData\Local\torch
PUP.Optional.Legacy, C:\Users\z0dium\AppData\Local\Xpom
PUP.Optional.Legacy, C:\Users\z0dium\AppData\Local\Nichrome
PUP.Optional.Legacy, C:\Users\z0dium\AppData\Roaming\MailProducts
PUP.Optional.Legacy, C:\ProgramData\IObit\ASCDownloader
PUP.Optional.Legacy, C:\ProgramData\Application Data\IObit\ASCDownloader
PUP.Optional.Legacy, C:\Users\All Users\IObit\ASCDownloader
PUP.Optional.Legacy, C:\Users\Все пользователи\IObit\ASCDownloader
PUP.Optional.CrossBrowse, C:\Users\z0dium\AppData\Local\Crossbrowse
PUP.Optional.Kometa, C:\Users\z0dium\AppData\Local\Kometa
PUP.Optional.Amigo, C:\Users\z0dium\AppData\Local\Amigo
PUP.Optional.Zaxar, C:\Users\z0dium\AppData\Local\ZaxarGameBrowser
PUP.Optional.StartPage, C:\Users\z0dium\AppData\Roaming\BROWSERMODULE
PUP.Optional.Mail.Ru, C:\Users\z0dium\AppData\Local\MailRu
PUP.Optional.Mail.Ru, C:\ProgramData\Mail.Ru
PUP.Optional.Mail.Ru, C:\ProgramData\Application Data\Mail.Ru
PUP.Optional.Mail.Ru, C:\Program Files\Mail.Ru
PUP.Optional.Mail.Ru, C:\Windows\System32\config\systemprofile\AppData\L ocal\Mail.Ru
PUP.Optional.Mail.Ru, C:\Users\All Users\Mail.Ru
PUP.Optional.Mail.Ru, C:\Users\z0dium\AppData\Local\Mail.Ru
PUP.Optional.Mail.Ru, C:\Users\Все пользователи\Mail.Ru
PUP.Optional.Yontoo, C:\Users\z0dium\AppData\Local\Amigo
Adware.RuKometa, C:\Users\z0dium\AppData\Local\Kometa
PUP.Optional.YTConv, C:\Users\z0dium\AppData\Local\Youtube_MP4_Converte r
PUP.Adware.Heuristic, C:\ProgramData\3b34ee0b-1bf1-0
PUP.Adware.Heuristic, C:\ProgramData\3b34ee0b-7851-1


***** [ Files ] *****

PUP.Optional.Legacy, C:\END
PUP.Optional.Legacy, C:\Users\z0dium\Favorites\Mail.Ru.url
PUP.Optional.Legacy, C:\Users\z0dium\Favorites\Mail.Ru Агент - используй для общения!.url


***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

PUP.Optional.AdvancedSystemCare, [Key] - HKLM\SOFTWARE\IOBIT\ASC
PUP.Optional.AdvancedSystemCare, [Key] - HKLM\SOFTWARE\IObit\RealTimeProtector
PUP.Optional.AdvancedSystemCare, [Key] - HKLM\SOFTWARE\CLASSES\DIRECTORY\SHELLEX

\CONTEXTMENUHANDLERS\Advanced SystemCare
PUP.Optional.AdvancedSystemCare, [Key] - HKLM\SOFTWARE\CLASSES\DRIVE\SHELLEX\CONTEXTMENUHAN DLERS

\Advanced SystemCare
PUP.Optional.AdvancedSystemCare, [Key] - HKLM\SOFTWARE\CLASSES\LNKFILE\SHELLEX\CONTEXTMENUH ANDLERS

\Advanced SystemCare
PUP.Optional.AdvancedSystemCare, [Key] - HKLM\SOFTWARE\Google\Chrome\NativeMessagingHosts

\com.ascplugin.protect
PUP.Optional.Legacy, [Key] - HKU\S-1-5-21-537672978-2546797803-1173661518-1000\Software\Microsoft

\Gosearchq
PUP.Optional.Legacy, [Key] - HKCU\Software\Microsoft\Gosearchq
PUP.Optional.Legacy, [Key] - HKU\S-1-5-21-537672978-2546797803-1173661518-1000\Software\Microsoft

\Gosearch
PUP.Optional.Legacy, [Key] - HKCU\Software\Microsoft\Gosearch
PUP.Optional.Legacy, [Key] - HKLM\SOFTWARE\Classes\CLSID\{8E8F97CD-60B5-456F-A201-73065652D099}
PUP.Optional.Legacy, [Key] - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Browser Helper

Objects\{8E8F97CD-60B5-456F-A201-73065652D099}
PUP.Optional.Legacy, [Key] - HKCU\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{8E8F97CD-

60B5-456F-A201-73065652D099}
PUP.Optional.Legacy, [Key] - HKCU\Software\Microsoft\Windows\CurrentVersion\Ext \Settings\{8E8F97CD-

60B5-456F-A201-73065652D099}
PUP.Optional.Legacy, [Key] - HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy

\{68AE298D-7E8A-4F53-BE55-15D2B065F6C0}
PUP.Optional.HDStreamer, [Key] - HKU\S-1-5-21-537672978-2546797803-1173661518-1000\Software

\Microsoft\Windows\CurrentVersion\Uninstall\hdcont roller
PUP.Optional.HDStreamer, [Key] - HKCU\Software\Microsoft\Windows\CurrentVersion\Uni nstall

\hdcontroller
PUP.Optional.Amigo, [Value] - HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s\Parameters

\FirewallPolicy\FirewallRules | {3519CB28-243E-4010-85DE-CEBCFAF17734}
PUP.Optional.Amigo, [Key] - HKLM\SOFTWARE\MICROSOFT\MEDIAPLAYER\SHIMINCLUSIONL IST\amigo.exe
PUP.Optional.OneSystemCare, [Key] - HKU\S-1-5-21-537672978-2546797803-1173661518-1000\Software\One

System Care
PUP.Optional.OneSystemCare, [Key] - HKCU\Software\One System Care
PUP.Optional.Mail.Ru, [Key] - HKU\S-1-5-21-537672978-2546797803-1173661518-1000\Software\Xpom
PUP.Optional.Mail.Ru, [Key] - HKCU\Software\Xpom
PUP.Optional.Mail.Ru, [Key] - HKLM\SOFTWARE\Mail.Ru
PUP.Optional.Mail.Ru, [Key] - HKU\S-1-5-21-537672978-2546797803-1173661518-1000\Software\Mail.Ru
PUP.Optional.Mail.Ru, [Key] - HKU\S-1-5-21-537672978-2546797803-1173661518-1000\Software\AppDataLow

\Software\Mail.Ru
PUP.Optional.Mail.Ru, [Key] - HKCU\Software\Mail.Ru
PUP.Optional.Mail.Ru, [Key] - HKCU\Software\AppDataLow\Software\Mail.Ru
PUP.Optional.Mail.Ru, [Key] - HKLM\SOFTWARE\Classes\TypeLib\{C69276F0-9BC1-404F-8566-FCB14D0ED4B8}
Adware.HPDefender, [Key] - HKLM\SOFTWARE\SearchPageDefender
Adware.DNSUnlocker, [Key] - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uni nstall

\11598763487076930564
PUP.Optional.UltimateDiscounter, [Key] - HKU\S-1-5-21-537672978-2546797803-1173661518-1000\Software

\Ultimate-Discounter
PUP.Optional.UltimateDiscounter, [Key] - HKCU\Software\Ultimate-Discounter


***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries.

***** [ Chromium (and derivatives) ] *****

PUP.Optional.FakeYandex, Plugin found: Поиск Яндексa -
PUP.Optional.RussAd, Plugin found: Поиск Яндексa -

/!\ Please Reset the Chrome Synchronization before cleaning the Chrome Preferences:

https://support.google.com/chrome/answer/3097271


*************************



########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt ##########

[Vvvyg]

Хм, вроде загрузку в карантин уже починили...

А лог нужно было вложением.

Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.
Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.

[z0dium]

Прошу прощения за задержку (был в отпуске)

[Vvvyg]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 25
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\users\z0dium\appdata\local\hostinstaller\255213 6882_monster.exe - not-a-virus:AdWare.MSIL.Agent.aiht
  2. c:\users\z0dium\appdata\local\temp\startpm.exe - Trojan.Win32.Agent.nesced ( AVAST4: Win32:Malware-gen )
  3. c:\users\z0dium\appdata\roaming\microsoft\windows\ helper.exe - Trojan.Win32.Miner.tdyl ( BitDefender: Gen:Trojan.Heur2.GZ.uvGfbqerM4fi )
  4. c:\windows\system32\themctrl.dll - Trojan-Downloader.Win32.Stantinko.cqd
  5. c:\windows\system32\wbiosrvp.dll - Trojan.Win32.StartServ.gv