Вирус после установки программы

**kirevg** · 15.02.2021, 01:55

Здравствуйте.
Установил программу (игру). После этого стал сразу ругаться менеджер браузеров от Яндекса на изменения в хост файле. При попытке открыть файл я его не обнаружил на месте, только мои копии резервные. В диспетчере задач процессор грузили служба криптографии. Обнаружился еще один с Админ правами "john", я его удалил. После этого удалось отредактировать файл хост и выйти на ваш сайт. До этого он был заблокирован. Диспетчер задач тоже закрывался сам по себе, через какое то время. Программу не удалял, которая привела к этому.
Прилагаю файл.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 15.02.2021, 01:56

Уважаемый(ая) kirevg, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 15.02.2021, 07:48

Скачайте, распакуйте и запустите эту утилиту.
После перезагрузки сделайте такой лог.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**kirevg** · 15.02.2021, 16:20

Сделано. Так и думал, что майнинг.

**Sandor** · 15.02.2021, 17:06

Сообщение от kirevg

Установил программу (игру)

Какую, можете сказать?

**kirevg** · 15.02.2021, 17:14

Railroad Corporation
httpx://удалено
Отсюда эта гадость. Файл ехешник у меня остался, могу выслать.

**Vvvyg** · 15.02.2021, 20:26

Рекомендую удалить Advanced SystemCare .

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
HKU\S-1-5-21-3547417856-2909202435-235653079-1000\...\Policies\Explorer: [] 
HKU\S-1-5-21-3547417856-2909202435-235653079-1000\...\MountPoints2: {8e9ec8ee-f009-11ea-8c63-bcee7b5bf211} - "G:\HiSuiteDownLoader.exe" 
Task: {01D0B14F-7818-420D-8731-90DE2398C415} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {0569629D-D4C0-4804-A2F7-92EA2202B066} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\WINDOWS\ehome\MCUpdate.exe
Task: {092E4F20-B4AC-4794-81E3-878DEDEE05F0} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {0F21F47C-D798-466C-9580-197E4402ABA2} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {13FCC497-AB48-41BD-8685-206978CD8B5B} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\WINDOWS\ehome\mcupdate.exe
Task: {25E13FE9-D08F-4FD3-9C91-A07E0D5C3D68} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe
Task: {26D606C5-0F8C-4CA4-848C-F62885B21742} - System32\Tasks\Microsoft\Windows\SideShow\SystemDataProviders => {7CCA6768-8373-4D28-8876-83E8B4E3A969}
Task: {2B982ED4-2A39-4664-AFB0-E26785D0935E} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe
Task: {2EF38B1C-180B-4D33-8957-3A7BB1D16857} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe
Task: {2F442912-7B9C-4E76-9C25-B08E71C6E170} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\WINDOWS\ehome\ehrec.exe
Task: {3DF2D541-4627-40E1-A6DD-1DC3E3CC0070} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {486D715E-6AA2-44CF-BC48-B6990CBB53C6} - System32\Tasks\Microsoft\Windows\Shell\WindowsParentalControlsMigration => {343D770D-7788-47C2-B62A-B7C4CED925CB}
Task: {58077754-7F51-4B96-BC51-F6803929AF0F} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {5B42DD9C-5A26-4F27-BB95-34603F0997E5} - System32\Tasks\Microsoft\Windows\Shell\WindowsParentalControls => {DFA14C43-F385-4170-99CC-1B7765FA0E4A}
Task: {61171B48-9C80-46B0-A2C8-E3F65B0B8E59} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {7891741D-FC72-48FA-90F1-CD96DE238E6D} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {7E1FBB12-808B-4583-A55D-279CF92D1982} - System32\Tasks\Microsoft\Windows\MobilePC\HotStart => {06DA0625-9701-43DA-BFD7-FBEEA2180A1E}
Task: {8A98FD7F-A61E-4C12-BA49-16B010946A67} - System32\Tasks\Microsoft\Windows\SideShow\AutoWake => {E51DFD48-AA36-4B45-BB52-E831F02E8316}
Task: {96643B57-2453-4D0C-810E-82FDB53D0ACB} - System32\Tasks\Microsoft\Windows\SideShow\GadgetManager => {FF87090D-4A9A-4F47-879B-29A80C355D61}
Task: {A2D2BC2B-9AFE-4983-9B34-A04435A8F408} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {A37F477E-F11C-4E81-AF23-2519C2BBD741} - System32\Tasks\Microsoft\Windows\SideShow\SessionAgent => {45F26E9E-6199-477F-85DA-AF1EDFE067B1}
Task: {AE8EF6F2-D34A-481E-B0E5-2A1D058B2D13} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {B0CBAB43-44FC-469B-A4CE-87426761FDCE} - System32\Tasks\Microsoft\Windows\PerfTrack\BackgroundConfigSurveyor => {EA9155A3-8A39-40B4-8963-D3C761B18371}
Task: {B61C0ABC-4A2E-4567-A45C-2EDB25D4AD1A} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {C7A066C7-90E7-404F-8723-0A9C4A1C3729} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {CF34F01E-6506-4F2F-BE48-ACE7CC2E7E2F} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\WINDOWS\ehome\ehrec.exe
Task: {D7B929AA-25F1-4BE9-8C11-6CD87F247533} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe
Task: {E1FFBFEC-189A-4166-983D-2A95233996D5} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {E73A17B6-AE98-43E8-8B74-9849E07649BA} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
Task: {ED7335EF-56B5-4D0F-8A1E-2785D7D17FC7} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\WINDOWS\ehome\mcupdate.exe
Task: {FE4C2591-3157-4974-9EAC-AEB17713329B} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\WINDOWS\ehome\ehPrivJob.exe
CHR HKLM\...\Chrome\Extension: [ngpampappnmepgilojfohadhhmbhlaek] - C:\Program Files (x86)\Internet Download Manager\IDMGCExt.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
S3 WsDrvInst; "C:\Program Files (x86)\Wondershare\Video Converter Free\Transfer\DriverInstall.exe" [X]
2021-02-14 23:08 - 2021-02-15 16:07 - 000000000 ____D C:\Program Files\RDP Wrapper
2021-02-08 23:35 - 2021-02-08 23:35 - 000005101 _____ C:\ProgramData\czchsjpj.srw
2021-02-08 23:35 - 2021-02-08 23:35 - 000000016 _____ C:\ProgramData\mntemp
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> No File
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
FirewallRules: [UDP Query User{B7BF54EE-4307-4DEE-B376-5BF9596B8636}C:\users\kirevg\appdata\local\mail.ru\gamecenter\[email protected]] => (Allow) C:\users\kirevg\appdata\local\mail.ru\gamecenter\[email protected] => No File
FirewallRules: [TCP Query User{EA2C8AEF-8293-4C64-8489-B4258DEBBBEC}C:\users\kirevg\appdata\local\mail.ru\gamecenter\[email protected]] => (Allow) C:\users\kirevg\appdata\local\mail.ru\gamecenter\[email protected] => No File
FirewallRules: [{61C6B226-AF33-4182-8D67-85AFC37E9D22}] => (Allow) C:\Program Files\SoftEther VPN Client\vpncmgr_x64.exe => No File
FirewallRules: [{FD5BC861-89E7-4D48-B959-DF462F134C91}] => (Allow) C:\Program Files\SoftEther VPN Client\vpncmd.exe => No File
FirewallRules: [{31DE92C6-E48E-4525-BAA2-9594767EB71F}] => (Allow) C:\Program Files\SoftEther VPN Client\vpncmd_x64.exe => No File
FirewallRules: [{77E27B5B-C51C-4CDE-8865-93447CFBCAB7}] => (Allow) C:\Program Files\SoftEther VPN Client\vpnclient.exe => No File
FirewallRules: [{52A14035-261B-41F4-965F-F49A4EDB0F9D}] => (Allow) C:\Program Files\SoftEther VPN Client\vpnclient_x64.exe => No File
FirewallRules: [{A70882B9-3A8C-4959-899C-0E93CA00EC1D}] => (Allow) C:\Program Files\SoftEther VPN Client\vpncmgr.exe => No File
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой.

**kirevg** · 15.02.2021, 20:53

Готово.
Вроде все хорошо.
Спасибо.

- - - - -Добавлено - - - - -

Сообщение от Vvvyg

Рекомендую удалить Advanced SystemCare

Удалено.

**Vvvyg** · 15.02.2021, 21:02

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

И всё на этом.

**kirevg** · 16.02.2021, 22:46

Готово, Спасибо!

Вирус после установки программы (заявка № 226377)

Опции темы