Компьютер заражен вирусами, удаленный контроль

**Neoir** · 13.09.2020, 12:10

Проверьте логи пожалуйста

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 13.09.2020, 12:16

Уважаемый(ая) Neoir, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 14.09.2020, 07:48

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\Users\Niolollls\Documents\Corel\Примеры CorelDRAW X6\target.lnk"        -> ["C:\Program Files\Corel\CorelDRAW Graphics Suite X6\Draw\Samples"]
>>>  "C:\Users\Niolollls\AppData\Roaming\Microsoft\Word\cwe308371240956346347\cwe.docx.lnk"          -> ["C:\Users\Niolollls\Downloads\film\cwe.docx"  =>> 14]
>>>  "C:\Users\Niolollls\AppData\Roaming\Microsoft\Windows\Start Menu\µTorrent.lnk"        -> ["C:\Users\Niolollls\AppData\Roaming\uTorrent\uTorrent.exe"]
>>>  "C:\Users\Niolollls\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\µTorrent.lnk"      -> ["C:\Users\Niolollls\AppData\Roaming\uTorrent\uTorrent.exe"]

Отчёт о работе прикрепите.

Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора))и пофиксите только эти строки:

Код:

R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\497721e0-e430-11ea-ab0d-74d4353ba170: [SuggestionsURL] = https://ie.search.yahoo.com/os?appid=ie8&command={searchTerms} - CDNSearch
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\497721e0-e430-11ea-ab0d-74d4353ba170: [URL] = http://search-cdn.net/fip/?q={searchTerms} - CDNSearch
O2 - HKLM\..\BHO: YoutubeDownloader - {D3A387F9-837D-4707-92DC-E9B1A83D401C} - C:\Program Files\mmiNCuycOIE\k7c1bg3y.dll (file missing)
O4 - HKCU\..\Run: [Browser Manager] = C:\Users\Niolollls\AppData\Local\Yandex\BrowserManager\MBLauncher.exe  (file missing)
O4 - HKCU\..\Run: [uTorrent] = C:\Users\Niolollls\AppData\Roaming\uTorrent\uTorrent.exe /MINIMIZED (file missing)
O22 - Task: DyNDPHPqEjNFHP - C:\Windows\system32\rundll32.exe "C:\Program Files\ZqpBOYnhoHJU2\auyISJNccwBau.dll",#1
O22 - Task: KMSAutoNet - C:\ProgramData\KMSAutoS\KMSAuto Net.exe /off=act (file missing)
O22 - Task: baNjlGFWYrzRPaVlP2 - C:\Windows\system32\rundll32.exe "C:\Program Files\yZqrjArXDvTWaVTxIsR\UENHEtT.dll",#1
O22 - Task: nquZnrgrFvorSrWgVNs2 - C:\Windows\system32\rundll32.exe "C:\Program Files\gYJnlysjHRPaC\irhkmVc.dll",#1
O22 - Task: wuFSMwdAQKzyEnP2 - C:\Windows\system32\rundll32.exe "C:\Program Files\SWILlcsHU\uIJcwa.dll",#1

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**Neoir** · 17.09.2020, 06:41

Прикрепляю отчёт первой программы
Насчет программы SCAN
текстовые файлы появлялись, но я их закрывал, после чего сканирования продолжалось, и снова какие-то текстовые файлы открывались. После сканирования зашел в папку и не увидел эти два текстовых файла. Вместо них куча.
2481eb84-ee5a-4f15-ba85-91cc042cf4b2.tmp файлов подобного рода, штук 10

- - - - -Добавлено - - - - -

Во, теперь они появились

**Vvvyg** · 17.09.2020, 07:47

Сообщение от Neoir

2481eb84-ee5a-4f15-ba85-91cc042cf4b2.tmp файлов подобного рода, штук 10

Проверьте один из таких файлов на virustotal.com и приведите ссылку на результат.

И с чего подозрение на вирусы и удалённый контроль? Логи этого не показывают.

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
HKU\S-1-5-21-4275303403-2000601486-2599622565-1000\...\MountPoints2: {87d7d3bc-3e26-11e9-af88-74d4353ba170} - F:\AutoRun.exe
HKU\S-1-5-21-4275303403-2000601486-2599622565-1000\...\MountPoints2: {dc33ffc9-7d23-11ea-a9b4-74d4353ba170} - G:\HiSuiteDownLoader.exe
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR DefaultSearchURL: Guest Profile -> hxxp://search-cdn.net/fip/?q={searchTerms}
CHR DefaultSearchKeyword: Guest Profile -> cdn
CHR DefaultSearchURL: Profile 1 -> hxxp://search-cdn.net/fip/?q={searchTerms}
CHR DefaultSearchKeyword: Profile 1 -> cdn
CHR DefaultSearchURL: System Profile -> hxxp://search-cdn.net/fip/?q={searchTerms}
CHR DefaultSearchKeyword: System Profile -> cdn
CHR HKU\S-1-5-21-4275303403-2000601486-2599622565-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo]
CHR HKU\S-1-5-21-4275303403-2000601486-2599622565-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gkdkfnbddpdpidbpnljcocpjeaafngdb]
CHR HKU\S-1-5-21-4275303403-2000601486-2599622565-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjmpfdkmpojoeemjmfiddlhkkndcdpno]
CHR HKU\S-1-5-21-4275303403-2000601486-2599622565-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [moihledlmchhofenpacbhphnbnpakgmo]
OPR Extension: (YoutubeDownloader) - C:\Users\Niolollls\AppData\Roaming\Opera Software\Opera Stable\Extensions\poifboaadcogleeibokkcinojokfldem [2019-03-01]
Virustotal: C:\Users\Niolollls\Downloads\a7c9c45b-3332-438f-97b8-be3de1962527.tmp
2020-09-17 06:16 - 2020-09-17 06:16 - 000481552 _____ C:\Users\Niolollls\Downloads\a7c9c45b-3332-438f-97b8-be3de1962527.tmp
2020-09-17 06:15 - 2020-09-17 06:15 - 000481552 _____ C:\Users\Niolollls\Downloads\f1620846-21fe-43ce-a5c7-0e5d746a2b8d.tmp
2020-09-17 06:15 - 2020-09-17 06:15 - 000481552 _____ C:\Users\Niolollls\Downloads\e494473d-bc38-4a3c-9319-460fb02c9ebc.tmp
2020-09-17 06:15 - 2020-09-17 06:15 - 000481552 _____ C:\Users\Niolollls\Downloads\d48493a7-5f47-4daa-889a-e68415d3e85a.tmp
2020-09-17 06:15 - 2020-09-17 06:15 - 000481552 _____ C:\Users\Niolollls\Downloads\3b8e2269-2605-4c75-8b91-7cdf54ea5e0e.tmp
2020-09-17 06:15 - 2020-09-17 06:15 - 000481552 _____ C:\Users\Niolollls\Downloads\33b3a256-f3f5-4cb8-86bf-8698fb1e25fd.tmp
2020-09-17 06:15 - 2020-09-17 06:15 - 000481552 _____ C:\Users\Niolollls\Downloads\2481eb84-ee5a-4f15-ba85-91cc042cf4b2.tmp
2020-09-17 06:15 - 2020-09-17 06:15 - 000481552 _____ C:\Users\Niolollls\Downloads\0abba98a-6316-4e6a-a345-76cc401d7d1c.tmp
2020-09-17 06:15 - 2020-09-17 06:15 - 000481552 _____ C:\Users\Niolollls\Downloads\0a13d7ce-ad10-4ff2-8ac4-463462d8ebc4.tmp
2020-09-17 06:15 - 2020-09-17 06:15 - 000481552 _____ C:\Users\Niolollls\Downloads\04ba206b-8e3a-4c61-82c7-988b7eaeed7e.tmp
2020-09-17 06:15 - 2020-09-17 06:15 - 000481552 _____ C:\Users\Niolollls\Downloads\02bf6289-5830-4352-bda1-ba8a03dbaa14.tmp
2018-08-06 05:29 - 2018-08-06 05:29 - 007647120 _____ () C:\Users\Niolollls\AppData\Roaming\install.dat
2018-03-30 17:33 - 2018-03-30 17:33 - 000019375 _____ () C:\Users\Niolollls\AppData\Roaming\untitled15_MAS.bak
2019-01-29 09:39 - 2019-01-29 09:39 - 000000000 _____ () C:\Users\Niolollls\AppData\Local\{2649BC66-DC7D-4449-B5A0-168BE02E66BD}
2018-07-26 09:23 - 2018-07-26 09:23 - 000000000 _____ () C:\Users\Niolollls\AppData\Local\{833C628C-B238-4A56-8C65-D043D7095225}
2019-01-30 10:08 - 2019-01-30 10:08 - 000000000 _____ () C:\Users\Niolollls\AppData\Local\{F7592C3D-C72B-4A7B-B4FB-54E97B7B2812}
CustomCLSID: HKU\S-1-5-21-4275303403-2000601486-2599622565-1000_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\Niolollls\AppData\Local\Microsoft\OneDrive\17.3.6743.1212\FileSyncShell.dll => No File
CustomCLSID: HKU\S-1-5-21-4275303403-2000601486-2599622565-1000_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\Niolollls\AppData\Local\Microsoft\OneDrive\17.3.6743.1212\FileSyncShell.dll => No File
CustomCLSID: HKU\S-1-5-21-4275303403-2000601486-2599622565-1000_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\Niolollls\AppData\Local\Microsoft\OneDrive\17.3.6743.1212\FileSyncShell.dll => No File
CustomCLSID: HKU\S-1-5-21-4275303403-2000601486-2599622565-1000_Classes\CLSID\{8A7D38FA-6E11-48FF-8315-8B9EA08F5314}\InprocServer32 -> C:\Program Files\ВидеоМАСТЕР\ShellMenu.dll () [File not signed]
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> No File
FirewallRules: [TCP Query User{C147F6A1-FF5C-4560-8102-D9E320FD24E2}C:\sdi-mini\sdi_r1751.exe] => (Allow) C:\sdi-mini\sdi_r1751.exe => No File
FirewallRules: [UDP Query User{29A05E03-B912-4994-B884-1571F0842FE0}C:\sdi-mini\sdi_r1751.exe] => (Allow) C:\sdi-mini\sdi_r1751.exe => No File
FirewallRules: [TCP Query User{A572A542-9959-476D-A6BB-3561C277C32B}C:\program files\iccup warcraft iii\war3.exe] => (Allow) C:\program files\iccup warcraft iii\war3.exe => No File
FirewallRules: [UDP Query User{70B00DB9-10A0-4047-9A1A-D36959DD67E7}C:\program files\iccup warcraft iii\war3.exe] => (Allow) C:\program files\iccup warcraft iii\war3.exe => No File
FirewallRules: [{A02143F1-6030-4203-8A14-CCA77FA2D59D}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe => No File
FirewallRules: [TCP Query User{99A11C09-EF53-476F-88E5-051E018E6118}C:\program files (x86)\chrome-win\chrome.exe] => (Block) C:\program files (x86)\chrome-win\chrome.exe => No File
FirewallRules: [UDP Query User{7F1FC119-1ED6-438D-AC20-F810C877CBA1}C:\program files (x86)\chrome-win\chrome.exe] => (Block) C:\program files (x86)\chrome-win\chrome.exe => No File
FirewallRules: [{D78C4927-90D0-442E-9EA7-2C0443A22D88}] => (Allow) C:\Users\Niolollls\AppData\Local\Temp\DriverPack-2020082272831\tools\aria2c.exe => No File
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сделайте лог Malwarebytes AdwCleaner.

**Neoir** · 17.09.2020, 14:02

Прикрепил. Что интересного в системе есть?

Все эти файлы сами исчезли ._.
После перезагрузки

**Vvvyg** · 17.09.2020, 16:43

Свежий детект по нулям. И по скрину видно, что это всё архивы Clearlink.zip - почему-то нормально не скачивались. А удалились они фиксом, всё правильно.

В Adwcleaner хвосты от DriverPack Solution, всё удалите (в карантин). файл AdwCleaner[C00].txt прикрепите.
В остальном чисто.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

**Neoir** · 18.09.2020, 07:40

Прикрепляю. Бывает что ЦП нагружается на 100% с двумя вкладками оперы и с его крашом.
Здесь или где-то в интернете есть ли люди с услугами, которые просканируют сеть на подозрительные подключения

**Vvvyg** · 18.09.2020, 08:04

Сообщение от Neoir

Бывает что ЦП нагружается на 100% с двумя вкладками оперы и с его крашом.

Так и процессор - середнячок 10-летней давности...

Сообщение от Neoir

Здесь или где-то в интернете есть ли люди с услугами, которые просканируют сеть на подозрительные подключения

Что Вы имеете ввиду под этим? Если компьютер за роутером и вовнутрь ничего не открыто - проблем не должно быть.

Adobe Flash Player 27 ActiveX v.27.0.0.130 Внимание! Скачать обновления
Adobe Flash Player 27 NPAPI v.27.0.0.130 Внимание! Скачать обновления
Adobe Flash Player 32 PPAPI v.32.0.0.321 Внимание! Скачать обновления

Обновите обязательно.

Wondershare Helper Compact 2.5.2 v.2.5.2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Кнопка "Яндекс" на панели задач v.2.2.1.54 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Эти программы удалите.

Запустите AdwCleaner, меню Настройки - Удалить AdwCleaner - выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

**Neoir** · 18.09.2020, 11:07

Благодарю за помощь!
Просканировать сеть. Проверить пакеты, входящие исходящие, сторонние подключения, что там еще может быть. Да, за роутером.
Если есть такая услуга, хотел бы на проверку обратиться
Обновил все три флэш плеера

**Vvvyg** · 18.09.2020, 12:46

Специальной такой услуги у нас нет. Не вижу особого смысла сканировать, если честно. Входящих быть не должно, если файрвол в роутере по умолчанию. А в исходящих без поллитра не разобраться, куда только браузеры и приложения не лезут...

Компьютер заражен вирусами, удаленный контроль (заявка № 225615)

Опции темы