[ Закрыто ] Журнал Оперативная память = svchost.exe(9808) - модифицированный Win32/TrojanProxy.Hioles.AA троянская программа - очищен удалением [1] , модифицированный Win32/TrojanProxy.Hioles.AA

1
RSS
Здравствуйте,помогите убрать из памяти эту как http://rgho.st/6MHKppRst


Постоянно при проверке выскакивает данные о трояне.
Изменено: Александр Калугин - 19.04.2018 17:33:55
Скопируйте текст КОДа - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !


Код

;uVS v4.0.11 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNECFMKPLPMINFJAGBLFABGGOMDPAAKAN%26INSTALLSOURCE%3DONDEMAND%26UC
deldir %SystemDrive%\USERS\POWER\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER
uidel C:\Users\Power\AppData\Local\Unity\WebPlayer\Uninstall.exe /CurrentUser
deltmp
restart
;---------command-block---------
delall %SystemDrive%\USERS\POWER\APPDATA\ROAMING\GOOGLEUPDATE\GOOPDATE.DLL
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCLR.SYS
delref %SystemRoot%\SYSWOW64\W32TIME.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRA~1\MICROS~1\OFFICE12\MSOHEVI.DLL
delref {B41DB860-64E4-11D2-9906-E49FADC173CA}\[CLSID]
delref {B41DB860-8EE4-11D2-9906-E49FADC173CA}\[CLSID]
delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref {472083B0-C522-11CF-8763-00608CC02F24}\[CLSID]
delref APPMGMT\[SERVICE]
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref BROWSER\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %SystemDrive%\PROGRAM FILES (X86)\PDANET FOR ANDROID\PNHELP.EXE
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\OFFICE12\VISSHE.DLL
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %Sys32%\CHTADVANCEDDS.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemRoot%\SYSWOW64\TTLSEXT.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL
delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
delref F:\CHECKVER.OCX
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref F:\DRIVE~1D.OCX
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\PDANET FOR ANDROID\SMSAGENT.EXE
delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref D:\PROGRAM FILES (X86)\WORLD_OF_TANKS\WARGAMINGGAMEUPDATER.EXE
delref E:\WORLD_OF_TANKS\WARGAMINGGAMEUPDATER.EXE
delref D:\PROGRAM FILES (X86)\STEAM\STEAM.EXE
delref D:\УСТАНОВЛЕННЫЕ ПРОГРАММЫ\НОВАЯ ПАПКА\WINRAR.EXE
delref E:\WORLD_OF_TANKS\WOTLAUNCHER.EXE
delref E:\WORLD_OF_TANKS\UNINS000.EXE
delref E:\WORLD_OF_TANKS\WEBSITE.URL
delref E:\WORLD_OF_TANKS\README.URL
delref E:\WORLD_OF_TANKS\GAME_MANUAL.URL
delref E:\WORLD_OF_TANKS\WIKI.URL
apply




+
Далее (даже если проблема решена) выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )
Текстовый файл прикрепил.
1) В Malwarebytes - всё найденное удалите.
( поместите в карантин )

2) Выполните лог в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

после завершения сканирования:
Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru  и Yandex снимите [V]


Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

3) Выполните FRST: http://forum.esetnod32.ru/forum9/topic2798/
Готово.
Чисто.
Что с проблемой ?
Все нормально стало.Спасибо. Malwarebytes можно удалить?
Что это за вирус такой? Много от кого слышал,сталкиваются.
Malwarebytes - можно удалить.
По поводу вируса: Вирусом должен быть это файл:
\USERS\POWER\APPDATA\ROAMING\GOOGLEUPDATE\GOOPDATE.DLL
https://www.virustotal.com/ru/file/dae087cc579bfe70e2bfbfa411e4befb9091b20ca0fe8cea­1a2a835a13805a60/analysis/
Создаётся файл\библиотека.
Прописывается в автозапуск. ( видимо может использовать уязвимости программного обеспечения, или даже целенаправленно устанавливать в систему компоненты устаревшего _легального программного обеспечения, прописывать его в автозапуск и уже с его помощью запускаться в системе.)
В данном случае: C:\USERS\POWER\APPDATA\ROAMING\GOOGLEUPDATE\GOOGLEUPDATE.EXE
Файл\библиотека  Служит прокси-сервером.
Получает данные и команды с удаленного компьютера.
------
Кстати: GOOGLEUPDATE.EXE удалите, файл хоть и легальный но...
1
Читают тему (гостей: 1)