win32/trojanproxy.hioles.ak - Форум технической поддержки ESET NOD32

Сообщений: 3

Баллов: 1

Регистрация: 18.02.2020

Размещено 18.02.2020 15:47:23

Антивирус постоянно обнаруживает и постоянно удаляет данный файл. После перезагрузки файл вновь обнаружен. Как исправить?

Прикрепленные файлы

HOME-PC_2020-02-18_19-31-34_v4.1.8.TXT (15.18 МБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.02.2020 16:06:22

проверьте этот файл
C:\PROGRAMDATA\CHROME\GOOPDATE.DLL
на Virustotal.com и дайте нам ссылку на результат проверки
+
добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 18.02.2020

Размещено 18.02.2020 16:18:37

Как бы странно ни звучало, но этот файл в данной папке (PROGRAMDATA) не обнаружен. Даже папки CHROME нет. И поисковик его не находит.

+
Это журнал антивируса только за сегодня.

+
Удалось найти и проверить

Прикрепленные файлы

Безымянный.jpg (199.74 КБ)

13.txt (9 КБ)

Изменено: Антон Герасимов - 18.02.2020 16:37:09

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.02.2020 16:36:21

Цитата
Антон Герасимов написал: Как бы странно ни звучало, но этот файл в данной папке (PROGRAMDATA) не обнаружен. Даже папки CHROME нет. И поисковик его не находит.

он имеет атрибут скрытый.
"Скрытый" или "Системный" [типично для вирусов]
посмотрите его например в far
возможно что и папка CHROME имеет данный атрибут. скрытый

[ Как создать образ автозапуска? ]

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.02.2020 16:49:40

Цитата
Время;Модуль сканирования;Тип объекта;Объект;Обнаружение;Действие;Пользователь;Информация;Хэш;Первое обнаружение здесь 18.02.2020 2:50:48;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = MyBundle.exe(5624);модифицированный Win32/TrojanProxy.Hioles.AK троянская программа;очищен (после следующего перезапуска) - содержит зараженные файлы;;;B1F9FC681B25B7943AF12D93AADA7686947E629A; 18.02.2020 2:52:49;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = MyBundle.exe(5624);модифицированный Win32/TrojanProxy.Hioles.AK троянская программа;очищен (после следующего перезапуска) - содержит зараженные файлы;;;0AA4DA96A8CBA4D5E7751F46F444B627ABCA47AD;

Цитата

Время;Модуль сканирования;Тип объекта;Объект;Обнаружение;Действие;Пользователь;Информация;Хэш;Первое обнаружение здесь
18.02.2020 2:50:48;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = MyBundle.exe(5624);модифицированный Win32/TrojanProxy.Hioles.AK троянская программа;очищен (после следующего перезапуска) - содержит зараженные файлы;;;B1F9FC681B25B7943AF12D93AADA7686947E629A;
18.02.2020 2:52:49;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = MyBundle.exe(5624);модифицированный Win32/TrojanProxy.Hioles.AK троянская программа;очищен (после следующего перезапуска) - содержит зараженные файлы;;;0AA4DA96A8CBA4D5E7751F46F444B627ABCA47AD;

судя по рисунку, вы этот файл проверили на VT
C:\PROGRAMDATA\CHROME\BITOREEN.EXE

[ Как создать образ автозапуска? ]

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.02.2020 16:53:44

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.1.8 [http://dsrt.dyndns.org:8888] ;Target OS: NTv6.3 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- delall %SystemDrive%\PROGRAMDATA\CHROME\MYBUNDLE.EXE ZOO %SystemDrive%\PROGRAMDATA\CHROME\GOOPDATE.DLL delall %SystemDrive%\PROGRAMDATA\CHROME\GOOPDATE.DLL delall %SystemDrive%\PROGRAMDATA\CHROME\BITOREEN.EXE delref %SystemDrive%\USERS\АНТОН\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\MDPLJNDCMBEIKFNLFLCGGAIPGNHIEDBL\8.70_0\SAVEFROM.NET ПОМОЩНИК delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDHDGFFKKEBHMKFJOJEJMPBLDMPOBFKFO%26INSTALLSOURCE%3DONDEMAND%26UC delref E:\TOTAL WAR - WARHAMMER 2\WARHAMMER2.EXE apply deltmp delref %SystemDrive%\USERS\3EC2~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER_BITS_1600_1515545682\RESPONSE delref %SystemDrive%\USERS\3EC2~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER_BITS_3476_1104829948\RESPONSE delref %SystemDrive%\USERS\3EC2~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER_BITS_2240_990449884\RESPONSE delref %SystemDrive%\USERS\3EC2~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER_BITS_748_1311236705\RESPONSE delref %SystemDrive%\USERS\3EC2~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER_BITS_3508_114404903\RESPONSE delref %SystemDrive%\USERS\3EC2~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER_BITS_3508_910104778\RESPONSE delref %SystemDrive%\PROGRAM FILES (X86)\DOWNLOAD STUDIO\DSTUDIOSVC.EXE delref %SystemDrive%\PROGRAM FILES (X86)\DOWNLOAD STUDIO\DSTUDIO-GUI.EXE delref A9A33436-678B-4C9C-A211-7CC38785E79D\[CLSID] delref 752073A1-23F2-4396-85F0-8FDB879ED0ED\[CLSID] delref %SystemDrive%\USERS\АНТОН\APPDATA\LOCAL\PROGRAMS\OPERA\LAUNCHER.EXE delref %SystemRoot%\SYSWOW64\COMPMGMTLAUNCHER.EXE delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL delref %SystemRoot%\SYSWOW64\CSCSVC.DLL delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref %SystemRoot%\SYSWOW64\BLANK.HTM delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL delref %Sys32%\BLANK.HTM delref %SystemDrive%\PROGRAM FILES\ATI TECHNOLOGIES\ATI.ACE\FUEL\AMD64\AODDRIVER2.SYS delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL delref %Sys32%\SRSLABS\{176F4E15-8F7C-4833-ADED-81FAE8CCD186}\SLUAPO64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\AEPROAM.DLL delref %SystemRoot%\SYSWOW64\RTCOM\RTDATAPROC.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\RSTRUI.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\WPCCPL.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\GOOGLEUPDATEBROKER.EXE delref K:\SETUP.EXE ;------------------------------------------------------------- CZOO restart

Код


;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAMDATA\CHROME\MYBUNDLE.EXE
ZOO %SystemDrive%\PROGRAMDATA\CHROME\GOOPDATE.DLL
delall %SystemDrive%\PROGRAMDATA\CHROME\GOOPDATE.DLL
delall %SystemDrive%\PROGRAMDATA\CHROME\BITOREEN.EXE
delref %SystemDrive%\USERS\АНТОН\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\MDPLJNDCMBEIKFNLFLCGGAIPGNHIEDBL\8.70_0\SAVEFROM.NET ПОМОЩНИК
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDHDGFFKKEBHMKFJOJEJMPBLDMPOBFKFO%26INSTALLSOURCE%3DONDEMAND%26UC
delref E:\TOTAL WAR - WARHAMMER 2\WARHAMMER2.EXE
apply

deltmp
delref %SystemDrive%\USERS\3EC2~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER_BITS_1600_1515545682\RESPONSE
delref %SystemDrive%\USERS\3EC2~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER_BITS_3476_1104829948\RESPONSE
delref %SystemDrive%\USERS\3EC2~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER_BITS_2240_990449884\RESPONSE
delref %SystemDrive%\USERS\3EC2~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER_BITS_748_1311236705\RESPONSE
delref %SystemDrive%\USERS\3EC2~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER_BITS_3508_114404903\RESPONSE
delref %SystemDrive%\USERS\3EC2~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER_BITS_3508_910104778\RESPONSE
delref %SystemDrive%\PROGRAM FILES (X86)\DOWNLOAD STUDIO\DSTUDIOSVC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\DOWNLOAD STUDIO\DSTUDIO-GUI.EXE
delref A9A33436-678B-4C9C-A211-7CC38785E79D\[CLSID]
delref 752073A1-23F2-4396-85F0-8FDB879ED0ED\[CLSID]
delref %SystemDrive%\USERS\АНТОН\APPDATA\LOCAL\PROGRAMS\OPERA\LAUNCHER.EXE
delref %SystemRoot%\SYSWOW64\COMPMGMTLAUNCHER.EXE
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref %Sys32%\BLANK.HTM
delref %SystemDrive%\PROGRAM FILES\ATI TECHNOLOGIES\ATI.ACE\FUEL\AMD64\AODDRIVER2.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
delref %Sys32%\SRSLABS\{176F4E15-8F7C-4833-ADED-81FAE8CCD186}\SLUAPO64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\AEPROAM.DLL
delref %SystemRoot%\SYSWOW64\RTCOM\RTDATAPROC.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\RSTRUI.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\WPCCPL.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\GOOGLEUPDATEBROKER.EXE
delref K:\SETUP.EXE
;-------------------------------------------------------------
CZOO
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.02.2020 16:55:47

скрипт поправил.
файл ZOO*** вышлите в почту [email protected]
(архив из каталога uVS (по формату: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z) отправить в почту [email protected]
MYBUNDLE.EXE здесь чистый файл, но использует он скорее всего вредоносную dll из текущего каталога, вместо чистой dll от Chrome

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 18.02.2020

Размещено 19.02.2020 13:30:56

Файл выслал.
Malwarebytes ошибок не обнаружила.
Пока что Нод32 о вирусах не сообщал.

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 19.02.2020 13:35:39

Если есть желание можно продолжить очистку.

1) Выполните лог в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

после завершения сканирования:
Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru и Yandex снимите [V]

Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

2) Далее выполните FRST: http://forum.esetnod32.ru/forum9/topic2798/

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.02.2020 14:50:58

Цитата
Антон Герасимов написал: Файл выслал.Malwarebytes ошибок не обнаружила.Пока что Нод32 о вирусах не сообщал.

возможно, свежая сборка была файла, мало кто его детектирует
https://www.virustotal.com/gui/file/555d0fe1f80b0faef0b0a8818c5ee564b83a61cb48d5eb27ed65c25c0911e201/detection

если мбам больше ничего не нашел в системе, можно продолжить очистку другими инструментами, которые указаны выше в сообщении RP55

[ Как создать образ автозапуска? ]

[ Закрыто ] win32/trojanproxy.hioles.ak