Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

[ Закрыто ] win32/trojanproxy.hioles.ak

Антивирус постоянно обнаруживает и постоянно удаляет данный файл. После перезагрузки файл вновь обнаружен. Как исправить?
проверьте этот файл
C:\PROGRAMDATA\CHROME\GOOPDATE.DLL
на Virustotal.com и дайте нам ссылку на результат проверки
+
добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/
Как бы странно ни звучало, но этот файл в данной папке (PROGRAMDATA) не обнаружен. Даже папки CHROME нет. И поисковик его не находит.

+
Это журнал антивируса только за сегодня.

+
Удалось найти и проверить
Изменено: Антон Герасимов - 18.02.2020 16:37:09
Цитата
Антон Герасимов написал:
Как бы странно ни звучало, но этот файл в данной папке (PROGRAMDATA) не обнаружен. Даже папки CHROME нет. И поисковик его не находит.
он имеет атрибут скрытый.
"Скрытый" или "Системный" [типично для вирусов]
посмотрите его например в far
возможно что и папка CHROME имеет данный атрибут. скрытый
Цитата
Время;Модуль сканирования;Тип объекта;Объект;Обнаружение;Действие;Пользователь;Информация;Хэш;Первое обнаружение здесь
18.02.2020 2:50:48;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = MyBundle.exe(5624);модифицированный Win32/TrojanProxy.Hioles.AK троянская программа;очищен (после следующего перезапуска) - содержит зараженные файлы;;;B1F9FC681B25B7943AF12D93AADA7686947E629A;
18.02.2020 2:52:49;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = MyBundle.exe(5624);модифицированный Win32/TrojanProxy.Hioles.AK троянская программа;очищен (после следующего перезапуска) - содержит зараженные файлы;;;0AA4DA96A8CBA4D5E7751F46F444B627ABCA47AD;

судя по рисунку, вы этот файл проверили на VT
C:\PROGRAMDATA\CHROME\BITOREEN.EXE
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAMDATA\CHROME\MYBUNDLE.EXE
ZOO %SystemDrive%\PROGRAMDATA\CHROME\GOOPDATE.DLL
delall %SystemDrive%\PROGRAMDATA\CHROME\GOOPDATE.DLL
delall %SystemDrive%\PROGRAMDATA\CHROME\BITOREEN.EXE
delref %SystemDrive%\USERS\АНТОН\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\MDPLJNDCMBEIKFNLFLCGGAIPGNHIEDBL\8.70_0\SAVEFROM.NET ПОМОЩНИК
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDHDGFFKKEBHMKFJOJEJMPBLDMPOBFKFO%26INSTALLSOURCE%3DONDEMAND%26UC
delref E:\TOTAL WAR - WARHAMMER 2\WARHAMMER2.EXE
apply

deltmp
delref %SystemDrive%\USERS\3EC2~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER_BITS_1600_1515545682\RESPONSE
delref %SystemDrive%\USERS\3EC2~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER_BITS_3476_1104829948\RESPONSE
delref %SystemDrive%\USERS\3EC2~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER_BITS_2240_990449884\RESPONSE
delref %SystemDrive%\USERS\3EC2~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER_BITS_748_1311236705\RESPONSE
delref %SystemDrive%\USERS\3EC2~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER_BITS_3508_114404903\RESPONSE
delref %SystemDrive%\USERS\3EC2~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER_BITS_3508_910104778\RESPONSE
delref %SystemDrive%\PROGRAM FILES (X86)\DOWNLOAD STUDIO\DSTUDIOSVC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\DOWNLOAD STUDIO\DSTUDIO-GUI.EXE
delref A9A33436-678B-4C9C-A211-7CC38785E79D\[CLSID]
delref 752073A1-23F2-4396-85F0-8FDB879ED0ED\[CLSID]
delref %SystemDrive%\USERS\АНТОН\APPDATA\LOCAL\PROGRAMS\OPERA\LAUNCHER.EXE
delref %SystemRoot%\SYSWOW64\COMPMGMTLAUNCHER.EXE
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref %Sys32%\BLANK.HTM
delref %SystemDrive%\PROGRAM FILES\ATI TECHNOLOGIES\ATI.ACE\FUEL\AMD64\AODDRIVER2.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
delref %Sys32%\SRSLABS\{176F4E15-8F7C-4833-ADED-81FAE8CCD186}\SLUAPO64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\AEPROAM.DLL
delref %SystemRoot%\SYSWOW64\RTCOM\RTDATAPROC.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\RSTRUI.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\WPCCPL.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\GOOGLEUPDATEBROKER.EXE
delref K:\SETUP.EXE
;-------------------------------------------------------------
CZOO
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
скрипт поправил.
файл ZOO*** вышлите в почту [email protected]
(архив из каталога uVS (по формату: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z)  отправить в почту [email protected]
MYBUNDLE.EXE здесь чистый файл, но использует он скорее всего вредоносную dll из текущего каталога, вместо чистой dll от Chrome
Файл выслал.
Malwarebytes ошибок не обнаружила.
Пока что Нод32 о вирусах не сообщал.
Если есть желание можно продолжить очистку.

1) Выполните лог в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

после завершения сканирования:
Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru  и Yandex снимите [V]


Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

2) Далее выполните FRST: http://forum.esetnod32.ru/forum9/topic2798/
Цитата
Антон Герасимов написал:
Файл выслал.Malwarebytes ошибок не обнаружила.Пока что Нод32 о вирусах не сообщал.
возможно, свежая сборка была файла, мало кто его детектирует
https://www.virustotal.com/gui/file/555d0fe1f80b0faef0b0a8818c5ee564b83a61cb48d5eb2­7ed65c25c0911e201/detection

если мбам больше ничего не нашел в системе, можно продолжить очистку другими инструментами, которые указаны выше в сообщении RP55
Читают тему