Вирус " JS/Adware.Agent.S " и тд.. - Форум технической поддержки ESET NOD32

Сообщений: 18

Баллов: 9

Регистрация: 23.02.2018

Размещено 23.02.2018 09:34:14

Здравствуйте
Вирус постоянно пытется открыть сайт, Антивирус его удаляет но он появляется каждую минуту или чаще..так же ещё какие то вирусы пытались открыть ссылки,Есет заблокировал их, но переодически появляются..не могу о них написать подробнее
Помогите плз

UVS
http://rgho.st/65sLNFl6j

Ссылка на скрин
http://s1.radikale.ru/uploads/2018/2/23/15ac48f6374ab2ca785de7d63298f681-full.png

Поймал еще 2 вируса о которых говорил, заскринил
http://s1.radikale.ru/uploads/2018/2/23/ba2832cb69c1ebd87993295b10968c82-full.png
http://s1.radikale.ru/uploads/2018/2/23/b9aa9a01a0150c09c33f98d7e12e1a01-full.png

Изменено: Артём Привалов - 23.02.2018 09:58:18

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 23.02.2018 10:26:20

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.0.10 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- delall %SystemDrive%\USERS\АРТЕМ\APPDATA\ROAMING\WGET\WGET_1_19_4.EXE delall %SystemDrive%\USERS\АРТЕМ\APPDATA\ROAMING\WGET\WGET.EXE zoo %SystemDrive%\PROGRAMDATA\PACKAGE\DATA\DVU.EXE addsgn A7679B23536A4C7261D4C4B12DBDEB5476DCAB4E29755F786D387843AFE5B1194B1754173E3162794F09A43ECABF09FA4E0D6162D89F5CC4E5B65BD04C53CECB 8 Trojan.BAT.Starter 7 chklst delvir setdns Ethernet\4\{7E48F3AA-C16A-426A-B63E-0FBFD91268D6}\8.8.8.8,8.8.4.4 delref HTTP://ATOTUM.RU/F.EXE delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJHNAFPIILPFFHGLAJCAEPJBNBJEMCI%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHCADGIJMEDBFGCIEGJOMFPJCDCHLHNIF%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLHEMECHCANJMILLLMCCJBJLDONMNNJJJ%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\USERS\АРТЕМ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BHJHNAFPIILPFFHGLAJCAEPJBNBJEMCI\12.0.23_0\ПОИСК MAIL.RU apply deltmp delref %SystemRoot%\SERVICEPROFILES\LOCALSERVICE\APPDATA\LOCAL\FONTCACHE\FONTS\CONFIG.JSON delref %SystemDrive%\USERS\328F~1\APPDATA\LOCAL\TEMP\CHROME_BITS_5776_25839\7.54_ALL_EASYLIST.CRX delref %SystemDrive%\USERS\328F~1\APPDATA\LOCAL\TEMP\CHROME_BITS_5620_31894\EXTENSION_7_0_0_0.CRX delref %SystemDrive%\PROGRAMDATA\BE618BF4-24C7-0\BE618BF4-24C7-0.D delref %SystemDrive%\PROGRAMDATA\BE618BF4-6BF1-1\BE618BF4-6BF1-1.D delref {35EF4182-F900-4632-B072-8639E4478A61}\[CLSID] delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL delref %SystemDrive%\USERS\АРТЕМ\APPDATA\LOCAL\POWERMONITOR\POWERMONITOR.EXE delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL delref %SystemRoot%\SYSWOW64\APPVETWCLIENTRES.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS delref %SystemRoot%\SYSWOW64\W32TIME.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL delref %SystemRoot%\SYSWOW64\CSCSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL delref %SystemRoot%\SYSWOW64\LSM.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {444785F1-DE89-4295-863A-D46C3A781394}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref %SystemRoot%\SYSWOW64\BLANK.HTM delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref {BBACC218-34EA-4666-9D7A-C78F2274A524}\[CLSID] delref {5AB7172C-9C11-405C-8DD5-AF20F3606282}\[CLSID] delref {A78ED123-AB77-406B-9962-2A5D9D2F7F30}\[CLSID] delref {F241C880-6982-4CE5-8CF7-7085BA96DA5A}\[CLSID] delref {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E}\[CLSID] delref %Sys32%\DRIVERS\VMBUSR.SYS delref %Sys32%\BLANK.HTM delref HELPSVC\[SERVICE] delref SACSVR\[SERVICE] delref TBS\[SERVICE] delref VMMS\[SERVICE] delref BROWSER\[SERVICE] delref MESSENGER\[SERVICE] delref RDSESSMGR\[SERVICE] delref %Sys32%\MSMIRADISP.DLL delref %Sys32%\TETHERINGSETTINGHANDLER.DLL delref %Sys32%\QUICKACTIONSPS.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE delref %SystemRoot%\SYSWOW64\TAPILUA.DLL delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL delref %SystemRoot%\SYSWOW64\LISTSVC.DLL delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE delref %SystemRoot%\SYSWOW64\GPSVC.DLL delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL delref %SystemDrive%\USERS\АРТЕМ\APPDATA\LOCAL\LITE\APPLICATION\LITE.EXE ;------------------------------------------------------------- restart

Код


;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\АРТЕМ\APPDATA\ROAMING\WGET\WGET_1_19_4.EXE
delall %SystemDrive%\USERS\АРТЕМ\APPDATA\ROAMING\WGET\WGET.EXE
zoo %SystemDrive%\PROGRAMDATA\PACKAGE\DATA\DVU.EXE
addsgn A7679B23536A4C7261D4C4B12DBDEB5476DCAB4E29755F786D387843AFE5B1194B1754173E3162794F09A43ECABF09FA4E0D6162D89F5CC4E5B65BD04C53CECB 8 Trojan.BAT.Starter 7

chklst
delvir

setdns Ethernet\4\{7E48F3AA-C16A-426A-B63E-0FBFD91268D6}\8.8.8.8,8.8.4.4
delref HTTP://ATOTUM.RU/F.EXE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJHNAFPIILPFFHGLAJCAEPJBNBJEMCI%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHCADGIJMEDBFGCIEGJOMFPJCDCHLHNIF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLHEMECHCANJMILLLMCCJBJLDONMNNJJJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\АРТЕМ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BHJHNAFPIILPFFHGLAJCAEPJBNBJEMCI\12.0.23_0\ПОИСК MAIL.RU
apply

deltmp
delref %SystemRoot%\SERVICEPROFILES\LOCALSERVICE\APPDATA\LOCAL\FONTCACHE\FONTS\CONFIG.JSON
delref %SystemDrive%\USERS\328F~1\APPDATA\LOCAL\TEMP\CHROME_BITS_5776_25839\7.54_ALL_EASYLIST.CRX
delref %SystemDrive%\USERS\328F~1\APPDATA\LOCAL\TEMP\CHROME_BITS_5620_31894\EXTENSION_7_0_0_0.CRX
delref %SystemDrive%\PROGRAMDATA\BE618BF4-24C7-0\BE618BF4-24C7-0.D
delref %SystemDrive%\PROGRAMDATA\BE618BF4-6BF1-1\BE618BF4-6BF1-1.D
delref {35EF4182-F900-4632-B072-8639E4478A61}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemDrive%\USERS\АРТЕМ\APPDATA\LOCAL\POWERMONITOR\POWERMONITOR.EXE
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\APPVETWCLIENTRES.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\W32TIME.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {444785F1-DE89-4295-863A-D46C3A781394}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {BBACC218-34EA-4666-9D7A-C78F2274A524}\[CLSID]
delref {5AB7172C-9C11-405C-8DD5-AF20F3606282}\[CLSID]
delref {A78ED123-AB77-406B-9962-2A5D9D2F7F30}\[CLSID]
delref {F241C880-6982-4CE5-8CF7-7085BA96DA5A}\[CLSID]
delref {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\BLANK.HTM
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref BROWSER\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\MSMIRADISP.DLL
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref %SystemDrive%\USERS\АРТЕМ\APPDATA\LOCAL\LITE\APPLICATION\LITE.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Сообщений: 18

Баллов: 9

Регистрация: 23.02.2018

Размещено 23.02.2018 11:04:39

JS/Adware.Agent.S
сохранился, всё так же пытается куда то залезть, открыться..Есет его блочит

два других более не вылазят, но появился новый
http://s1.radikale.ru/uploads/2018/2/23/20816b36fbf881ada43560f0709c1336-full.png

результат от малваребайт:
http://rgho.st/private/8fSCXbmrV/252e93ce5f5b98708a65a81444094e84

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 23.02.2018 11:14:36

2.удалите все найденное в малваребайт
перегрузите систему
далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://forum.esetnod32.ru/forum9/topic2798/

[ Как создать образ автозапуска? ]

Сообщений: 18

Баллов: 9

Регистрация: 23.02.2018

Размещено 23.02.2018 11:23:47

Цитата
santy написал: 2.удалите все найденное в малваребайт перегрузите систему

удалить нажав кнопку "Поместить выбранные объекты в карантин"?
Не вижу кнопку удалить..

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 23.02.2018 11:36:25

Цитата
Артём Привалов написал: Удалить нажав кнопку "Поместить выбранные объекты в карантин

Именно так.

Сообщений: 18

Баллов: 9

Регистрация: 23.02.2018

Размещено 23.02.2018 11:57:41

2. сделал

3.4.http://rgho.st/private/6gGb8CL5G/028ca08c9b188cd256de1c6330c432dd

5.http://rgho.st/private/7h7YWgMXD/0c0829b35d1864812bc612905796e1ff

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 23.02.2018 12:13:50

что сейчас с проблемами?

[ Как создать образ автозапуска? ]

Сообщений: 18

Баллов: 9

Регистрация: 23.02.2018

Размещено 23.02.2018 13:03:02

JS/Adware.Agent.S по прежнему ведёт себя, об остальном пока не слышно, не вылазят

Сообщений: 18

Баллов: 9

Регистрация: 23.02.2018

Размещено 23.02.2018 13:05:31

вру(
опять вылезли
http://s1.radikale.ru/uploads/2018/2/23/e066cf73317ff21dd10458097b295867-full.png
http://s1.radikale.ru/uploads/2018/2/23/4f884872530def5bff2d750ba09c46e6-full.png
http://s1.radikale.ru/uploads/2018/2/23/2f1a350c419fa8585ad3bf73c0268743-full.png