JS/Adware.HiRu.A при запуске защиты банковской оплаты eset - Форум технической поддержки ESET NOD32

Сообщений: 5

Баллов: 2

Регистрация: 29.01.2018

Размещено 29.01.2018 17:56:06

Доброго времени суток!

при запуске защиты банковской оплаты eset (браузер хром) возникает сообщение о блокировке угрозы JS/Adware.HiRu.A, далее при сканировании всего компьютера было выявлено что зараза появляется в C:\Users\User\AppData\Local\Temp ,eset internet security ее находит,удаляет,но после повторного запуска банковской оплаты (и сообщения об угрозе),эта зараза снова там находится. Если запускать хром (или любой другой браузер) в чистом виде (не банковская оплата) такой проблемы нет.Настройки браузера сбрасывались по умолчанию,результата не дало.
Другие антивирусы malwarebytes,касперский,защитник винды (все с последними обновлениями) ничего не находят.

eset internet security 11.0.159.0 последние обновления
Windows 10 64бит. версия 1709

Изменено: Alex Dark - 29.01.2018 18:07:41

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 29.01.2018 18:18:41

@Alex Dark,
добавьте образ автозапуска системы

[ Как создать образ автозапуска? ]

Сообщений: 5

Баллов: 2

Регистрация: 29.01.2018

Размещено 29.01.2018 20:12:46

http://rgho.st/7KgMKxR7W

Дополнение,сделал браузером по умолчанию edge,соответственно eset стал юзать его для банковской оплаты и уведомления об угрозе не выходят.
Сносил хром,ставил заново,один фиг,как только он браузер по умолчанию выдается угроза и появляются файлы в папке Temp которые eset видит как JS/Adware.HiRu.

Прикрепленные файлы

WIN-EG40C899DG9_2018-01-29_23-07-34.7z (981.94 КБ)

Изменено: Alex Dark - 29.01.2018 21:48:31

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 29.01.2018 20:52:26

ESET блокирует: OURSTATSSRV.COM
--------------

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !

Код
;uVS v4.0.9 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v400c OFFSGNSAVE ;---------command-block--------- delref HTTP://ERRORS.OURSTATSSRV.COM delref HTTP://UPDATE.OURSTATSSRV.COM delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIMHLIANHLHDICJCHLBMBFAEFHHJENCBE%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJBEPBHONBOJPOAENHCKJOCCHGFIAOFO%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://LOVEPLANET.RU/A-MAIN/AFFILIATE_ID-49789/TRACK-SETSTARTPAGE/ ;---------command-block--------- delref {9F2B0085-9218-42A1-88B0-9F0E65851666}\[CLSID] delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID] delref {FE285C8C-5360-41C1-A700-045501C740DE}\[CLSID] delref {9CDA66BE-3271-4723-8D35-DD834C58AD92}\[CLSID] delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL delref %SystemRoot%\EHOME\EHPRIVJOB.EXE delref %SystemRoot%\EHOME\MCUPDATE delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID] delref %SystemRoot%\EHOME\MCUPDATE.EXE delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID] delref {7FA3A1C3-3C87-40DE-AC16-B6E2815A4CC8}\[CLSID] delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID] delref %SystemRoot%\EHOME\EHREC delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID] delref {06DA0625-9701-43DA-BFD7-FBEEA2180A1E}\[CLSID] delref {EA9155A3-8A39-40B4-8963-D3C761B18371}\[CLSID] delref {DEF03232-9688-11E2-BE7F-B4B52FD966FF}\[CLSID] delref %SystemRoot%\SYSWOW64\WPCUMI.DLL delref %SystemRoot%\SYSWOW64\WPCMIG.DLL delref {E51DFD48-AA36-4B45-BB52-E831F02E8316}\[CLSID] delref {FF87090D-4A9A-4F47-879B-29A80C355D61}\[CLSID] delref {45F26E9E-6199-477F-85DA-AF1EDFE067B1}\[CLSID] delref {7CCA6768-8373-4D28-8876-83E8B4E3A969}\[CLSID] delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\STEAM\REVERSED\STEAM.EXE delref E:\DOWNLOADS2\ПРОГРАММЫ\SBXF_PCDRV_L11_2_30_0004.EXE delref E:\USERS\ALEX\DESKTOP\РАБОТА\22\НОВАЯ ПАПКА\VPNCLIENT-WIN-MSI-5.0.05.0290\VPNCLIENT_SETUP.EXE delref D:\PROGRAM FILES (X86)\GRINDING GEAR GAMES\PATH OF EXILE\CLIENT.EXE delref %SystemDrive%\USERS\USER\DOWNLOADS\LJ1000HOSTBASED-RU.EXE delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL delref %SystemRoot%\SYSWOW64\APPVETWCLIENTRES.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCLR.SYS delref %SystemRoot%\SYSWOW64\W32TIME.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL delref %SystemRoot%\SYSWOW64\CSCSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL delref %SystemRoot%\SYSWOW64\LSM.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {BAD4FE2C-503B-45CC-88CD-4B0574057D11}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref %SystemDrive%\USERS\ГОСТЬ\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6281.1202\FILESYNCSHELL.DLL delref %SystemDrive%\USERS\ГОСТЬ\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6720.1207\FILESYNCSHELL.DLL delref {23170F69-40C1-278A-1000-000100020000}\[CLSID] delref {4A7C4306-57E0-4C0C-83A9-78C1528F618C}\[CLSID] delref {6B9228DA-9C15-419E-856C-19E768A13BDC}\[CLSID] delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID] delref {9B5F5829-A529-4B12-814A-E81BCB8D93FC}\[CLSID] delref {503739D0-4C5E-4CFD-B3BA-D881334F0DF2}\[CLSID] delref {A910D941-9DA9-4656-8933-AA1EAE01F76E}\[CLSID] delref %Sys32%\HVSICONTAINERSERVICE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\WEDOWNLOAD MANAGER\WEDOWNLOAD MANAGER-CHROMEINSTALLER.EXE delref %SystemDrive%\PROGRAM FILES (X86)\WEDOWNLOAD MANAGER\WEDOWNLOAD MANAGER-UPDATER.EXE delref HELPSVC\[SERVICE] delref SACSVR\[SERVICE] delref TBS\[SERVICE] delref VMMS\[SERVICE] delref MESSENGER\[SERVICE] delref RDSESSMGR\[SERVICE] delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected] delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected] delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected] delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected] delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\EXTENSIONS\{972CE4C6-7E08-4474-A285-3208198CE6FD}.XPI delref %SystemDrive%\USERS\ГОСТЬ22\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.7131.1115\FILECOAUTH.EXE delref %SystemDrive%\USERS\ГОСТЬ22\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.7131.1115\FILECOAUTHLIB.DLL delref %SystemDrive%\USERS\ГОСТЬ22\APPDATA\LOCAL\MAIL.RU\GAMECENTER\NPDETECTOR.DLL delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE7\BIN\JP2IEXP.DLL delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_111\BIN\JP2IEXP.DLL delref %SystemDrive%\USERS\ГОСТЬ\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.7131.1115\FILECOAUTH.EXE delref %SystemDrive%\USERS\ГОСТЬ\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVE.EXE delref %SystemDrive%\USERS\ГОСТЬ\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.7131.1115\FILECOAUTHLIB.DLL delref %SystemDrive%\USERS\ГОСТЬ\APPDATA\LOCAL\MAIL.RU\GAMECENTER\NPDETECTOR.DLL delref %SystemDrive%\USERS\ГОСТЬ\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6281.1202\FILECOAUTH.EXE delref %SystemDrive%\USERS\ГОСТЬ\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6281.1202\FILESYNCAPI.DLL delref %SystemDrive%\PROGRAM FILES\ADOBE\ADOBE PHOTOSHOP CC 2018\PHOTOSHOP.EXE\AUTOMATION delref %Sys32%\TETHERINGSETTINGHANDLER.DLL delref %Sys32%\WBEM\WEMSAL_WMIPROVIDER (1).DLL delref %Sys32%\QUICKACTIONSPS.DLL delref %Sys32%\CHTADVANCEDDS.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL delref %SystemRoot%\SYSWOW64\TTLSEXT.DLL delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE delref %SystemRoot%\SYSWOW64\TAPILUA.DLL delref %SystemRoot%\SYSWOW64\WBEM\KEYBOARDFILTERWMI.DLL delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL delref %SystemRoot%\SYSWOW64\PERCEPTIONSIMULATIONEXTENSIONS.DLL delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL delref %SystemRoot%\SYSWOW64\MAPSCSP.DLL delref %SystemRoot%\SYSWOW64\LISTSVC.DLL delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL delref E:\RAID\6295~1\222\6088~1\PROXY4~1.EXE delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE delref %SystemRoot%\SYSWOW64\GPSVC.DLL delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL delref %SystemRoot%\SYSWOW64\INETSRV\IISRSTAS.EXE delref {7558B7E5-7B26-4201-BEDB-00D5FF534523}\[CLSID] delref {8DAE90AD-4583-4977-9DD4-4360F7A45C74}\[CLSID] delref %SystemDrive%\USERS\ГОСТЬ22\APPDATA\ROAMING\MAIL.RU\AGENT\MAGENT.EXE delref {6B5863A0-C43F-4C0A-982B-CC0E9125783F}\[CLSID] delref %SystemDrive%\USERS\ГОСТЬ\APPDATA\ROAMING\MAIL.RU\AGENT\MAGENT.EXE delref {18DF081C-E8AD-4283-A596-FA578C2EBDC3}\[CLSID] delref {9030D464-4C02-4ABF-8ECC-5164760863C6}\[CLSID] delref {B4F3A835-0E21-4959-BA22-42B3008E02FF}\[CLSID] delref %Sys32%\BLANK.HTM delref E:\PROGRAM FILES (X86)\GARENAPOECIS\POECISLAUNCHER.EXE deltmp restart apply

Код

;uVS v4.0.9 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delref HTTP://ERRORS.OURSTATSSRV.COM
delref HTTP://UPDATE.OURSTATSSRV.COM
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIMHLIANHLHDICJCHLBMBFAEFHHJENCBE%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJBEPBHONBOJPOAENHCKJOCCHGFIAOFO%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://LOVEPLANET.RU/A-MAIN/AFFILIATE_ID-49789/TRACK-SETSTARTPAGE/

;---------command-block---------
delref {9F2B0085-9218-42A1-88B0-9F0E65851666}\[CLSID]
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {FE285C8C-5360-41C1-A700-045501C740DE}\[CLSID]
delref {9CDA66BE-3271-4723-8D35-DD834C58AD92}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemRoot%\EHOME\EHPRIVJOB.EXE
delref %SystemRoot%\EHOME\MCUPDATE
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref %SystemRoot%\EHOME\MCUPDATE.EXE
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {7FA3A1C3-3C87-40DE-AC16-B6E2815A4CC8}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref %SystemRoot%\EHOME\EHREC
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref {06DA0625-9701-43DA-BFD7-FBEEA2180A1E}\[CLSID]
delref {EA9155A3-8A39-40B4-8963-D3C761B18371}\[CLSID]
delref {DEF03232-9688-11E2-BE7F-B4B52FD966FF}\[CLSID]
delref %SystemRoot%\SYSWOW64\WPCUMI.DLL
delref %SystemRoot%\SYSWOW64\WPCMIG.DLL
delref {E51DFD48-AA36-4B45-BB52-E831F02E8316}\[CLSID]
delref {FF87090D-4A9A-4F47-879B-29A80C355D61}\[CLSID]
delref {45F26E9E-6199-477F-85DA-AF1EDFE067B1}\[CLSID]
delref {7CCA6768-8373-4D28-8876-83E8B4E3A969}\[CLSID]
delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\STEAM\REVERSED\STEAM.EXE
delref E:\DOWNLOADS2\ПРОГРАММЫ\SBXF_PCDRV_L11_2_30_0004.EXE
delref E:\USERS\ALEX\DESKTOP\РАБОТА\22\НОВАЯ ПАПКА\VPNCLIENT-WIN-MSI-5.0.05.0290\VPNCLIENT_SETUP.EXE
delref D:\PROGRAM FILES (X86)\GRINDING GEAR GAMES\PATH OF EXILE\CLIENT.EXE
delref %SystemDrive%\USERS\USER\DOWNLOADS\LJ1000HOSTBASED-RU.EXE
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\APPVETWCLIENTRES.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCLR.SYS
delref %SystemRoot%\SYSWOW64\W32TIME.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {BAD4FE2C-503B-45CC-88CD-4B0574057D11}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\USERS\ГОСТЬ\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6281.1202\FILESYNCSHELL.DLL
delref %SystemDrive%\USERS\ГОСТЬ\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6720.1207\FILESYNCSHELL.DLL
delref {23170F69-40C1-278A-1000-000100020000}\[CLSID]
delref {4A7C4306-57E0-4C0C-83A9-78C1528F618C}\[CLSID]
delref {6B9228DA-9C15-419E-856C-19E768A13BDC}\[CLSID]
delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
delref {9B5F5829-A529-4B12-814A-E81BCB8D93FC}\[CLSID]
delref {503739D0-4C5E-4CFD-B3BA-D881334F0DF2}\[CLSID]
delref {A910D941-9DA9-4656-8933-AA1EAE01F76E}\[CLSID]
delref %Sys32%\HVSICONTAINERSERVICE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\WEDOWNLOAD MANAGER\WEDOWNLOAD MANAGER-CHROMEINSTALLER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\WEDOWNLOAD MANAGER\WEDOWNLOAD MANAGER-UPDATER.EXE
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\EXTENSIONS\{972CE4C6-7E08-4474-A285-3208198CE6FD}.XPI
delref %SystemDrive%\USERS\ГОСТЬ22\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.7131.1115\FILECOAUTH.EXE
delref %SystemDrive%\USERS\ГОСТЬ22\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.7131.1115\FILECOAUTHLIB.DLL
delref %SystemDrive%\USERS\ГОСТЬ22\APPDATA\LOCAL\MAIL.RU\GAMECENTER\NPDETECTOR.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE7\BIN\JP2IEXP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_111\BIN\JP2IEXP.DLL
delref %SystemDrive%\USERS\ГОСТЬ\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.7131.1115\FILECOAUTH.EXE
delref %SystemDrive%\USERS\ГОСТЬ\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVE.EXE
delref %SystemDrive%\USERS\ГОСТЬ\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.7131.1115\FILECOAUTHLIB.DLL
delref %SystemDrive%\USERS\ГОСТЬ\APPDATA\LOCAL\MAIL.RU\GAMECENTER\NPDETECTOR.DLL
delref %SystemDrive%\USERS\ГОСТЬ\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6281.1202\FILECOAUTH.EXE
delref %SystemDrive%\USERS\ГОСТЬ\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6281.1202\FILESYNCAPI.DLL
delref %SystemDrive%\PROGRAM FILES\ADOBE\ADOBE PHOTOSHOP CC 2018\PHOTOSHOP.EXE\AUTOMATION
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %Sys32%\WBEM\WEMSAL_WMIPROVIDER (1).DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %Sys32%\CHTADVANCEDDS.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemRoot%\SYSWOW64\TTLSEXT.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemRoot%\SYSWOW64\WBEM\KEYBOARDFILTERWMI.DLL
delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL
delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
delref %SystemRoot%\SYSWOW64\PERCEPTIONSIMULATIONEXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref %SystemRoot%\SYSWOW64\MAPSCSP.DLL
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL
delref E:\RAID\6295~1\222\6088~1\PROXY4~1.EXE
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref %SystemRoot%\SYSWOW64\INETSRV\IISRSTAS.EXE
delref {7558B7E5-7B26-4201-BEDB-00D5FF534523}\[CLSID]
delref {8DAE90AD-4583-4977-9DD4-4360F7A45C74}\[CLSID]
delref %SystemDrive%\USERS\ГОСТЬ22\APPDATA\ROAMING\MAIL.RU\AGENT\MAGENT.EXE
delref {6B5863A0-C43F-4C0A-982B-CC0E9125783F}\[CLSID]
delref %SystemDrive%\USERS\ГОСТЬ\APPDATA\ROAMING\MAIL.RU\AGENT\MAGENT.EXE
delref {18DF081C-E8AD-4283-A596-FA578C2EBDC3}\[CLSID]
delref {9030D464-4C02-4ABF-8ECC-5164760863C6}\[CLSID]
delref {B4F3A835-0E21-4959-BA22-42B3008E02FF}\[CLSID]
delref %Sys32%\BLANK.HTM
delref E:\PROGRAM FILES (X86)\GARENAPOECIS\POECISLAUNCHER.EXE
deltmp
restart
apply

+
Далее (даже если проблема решена) выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )

Сообщений: 5

Баллов: 2

Регистрация: 29.01.2018

Размещено 30.01.2018 19:41:14

Добрый вечер,после выполнения скрипта проблему не фиксирую,лог приложил,угроз Malwarebytes не обнаружил.
В чем была проблема и почему ее не удавалось решить стандартными средствами?
Я так понимаю ключевые строчки скрипта это удаление ссылок на OURSTATSSRV.COM ,браузер пытался перейти на это сайт,эту попытку блокировал eset?

Могу ли я теперь быть спокоен касательно удаления заразы или можно дополнительно как то проверить? Сканирование eset выбрано как детальное,проблем не фиксирует.

Прикрепленные файлы

log.txt (2.26 КБ)

Изменено: Alex Dark - 30.01.2018 20:04:35

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 30.01.2018 20:11:22

Цитата
Alex Dark написал: ключевые строчки скрипта это удаление ссылок на OURSTATSSRV.COM

вот, что было:

Код
Полное имя HTTP://STATS.OURSTATSSRV.COM Имя файла HTTP://STATS.OURSTATSSRV.COM Сохраненная информация на момент создания образа Статус Ссылки на объект Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CF63C5F9-4652-4D02-A11A-2449FA9CB235}\Actions Actions "C:\Program Files (x86)\weDownload Manager\weDownload Manager-chromeinstaller.exe" /installcrx /agentregpath='weDownload Manager' /extensionfilepath='C:\Program Files (x86)\weDownload Manager\34344.crx' /appid=34344 /srcid='000138' /subid='0' /zdata='0' /bic=FB7B9FC49FB84E718DABFB07C5313CADIE /verifier=c0462dad96a8412a50a3741ffbaf9f42 /installerversion=1_28_153 /installerfullversion=1.28.153.1 /installationtime=1380203087 /statsdomain=http://stats.ourstatssrv.com /errorsdomain=http://errors.ourstatssrv.com /waitforbrowser=300 /extensionid=oifomnalkciipmgkfgdjkepdocgiipjg /extensionversion=1.24.94 /extensionpublickey=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDsmxxcZ3TSfQyL/HTvv7DYZRUmstBOz82F8oPoGxRpuEwEY2vlW2l++ot4kGq/5cIIatdYK49YhGesm7K2fvTK3MmOMt62s2L0rfvY/IyHzdpe/d6w2PnBpYF09HheI1of3HuFFLbgH1dJNm4HU7LMJwhahzvVx/2rf/k577PaiQIDAQAB /allusers /allprofiles /externallog='' Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{CF63C5F9-4652-4D02-A11A-2449FA9CB235}\ Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EED0048A-5834-44DE-A4A7-C27341D004CF}\Actions Actions "C:\Program Files (x86)\weDownload Manager\weDownload Manager-updater.exe" /runupdater /agentregpath='weDownload Manager' /appid=34344 /srcid='000138' /subid='0' /zdata='0' /bic=FB7B9FC49FB84E718DABFB07C5313CADIE /verifier=c0462dad96a8412a50a3741ffbaf9f42 /installerversion=1_28_153 /installationtime=1380203087 /statsdomain=http://stats.ourstatssrv.com /errorsdomain=http://errors.ourstatssrv.com /monetizationdomain=http://stats.syncstatsdata.com /geoserviceurl=http://ipgeoapi.com/ /updatejsondomain=http://update.ourstatssrv.com /updaterversion=1 /externallog='' Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{EED0048A-5834-44DE-A4A7-C27341D004CF}\ -------------------------------------------------------------------------------------------- Полное имя HTTP://STATS.SYNCSTATSDATA.COM Имя файла HTTP://STATS.SYNCSTATSDATA.COM Сохраненная информация на момент создания образа Статус Ссылки на объект Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EED0048A-5834-44DE-A4A7-C27341D004CF}\Actions Actions "C:\Program Files (x86)\weDownload Manager\weDownload Manager-updater.exe" /runupdater /agentregpath='weDownload Manager' /appid=34344 /srcid='000138' /subid='0' /zdata='0' /bic=FB7B9FC49FB84E718DABFB07C5313CADIE /verifier=c0462dad96a8412a50a3741ffbaf9f42 /installerversion=1_28_153 /installationtime=1380203087 /statsdomain=http://stats.ourstatssrv.com /errorsdomain=http://errors.ourstatssrv.com /monetizationdomain=http://stats.syncstatsdata.com /geoserviceurl=http://ipgeoapi.com/ /updatejsondomain=http://update.ourstatssrv.com /updaterversion=1 /externallog='' Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{EED0048A-5834-44DE-A4A7-C27341D004CF}\

Код

Полное имя                  HTTP://STATS.OURSTATSSRV.COM
Имя файла                   HTTP://STATS.OURSTATSSRV.COM
                            
                            
Сохраненная информация      на момент создания образа
Статус                      
                            
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CF63C5F9-4652-4D02-A11A-2449FA9CB235}\Actions
Actions                     "C:\Program Files (x86)\weDownload Manager\weDownload Manager-chromeinstaller.exe" /installcrx /agentregpath='weDownload Manager' /extensionfilepath='C:\Program Files (x86)\weDownload Manager\34344.crx' /appid=34344 /srcid='000138' /subid='0' /zdata='0' /bic=FB7B9FC49FB84E718DABFB07C5313CADIE /verifier=c0462dad96a8412a50a3741ffbaf9f42 /installerversion=1_28_153 /installerfullversion=1.28.153.1 /installationtime=1380203087 /statsdomain=http://stats.ourstatssrv.com /errorsdomain=http://errors.ourstatssrv.com /waitforbrowser=300 /extensionid=oifomnalkciipmgkfgdjkepdocgiipjg /extensionversion=1.24.94 /extensionpublickey=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDsmxxcZ3TSfQyL/HTvv7DYZRUmstBOz82F8oPoGxRpuEwEY2vlW2l++ot4kGq/5cIIatdYK49YhGesm7K2fvTK3MmOMt62s2L0rfvY/IyHzdpe/d6w2PnBpYF09HheI1of3HuFFLbgH1dJNm4HU7LMJwhahzvVx/2rf/k577PaiQIDAQAB /allusers /allprofiles /externallog=''
                            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{CF63C5F9-4652-4D02-A11A-2449FA9CB235}\
                            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EED0048A-5834-44DE-A4A7-C27341D004CF}\Actions
Actions                     "C:\Program Files (x86)\weDownload Manager\weDownload Manager-updater.exe" /runupdater /agentregpath='weDownload Manager' /appid=34344 /srcid='000138' /subid='0' /zdata='0' /bic=FB7B9FC49FB84E718DABFB07C5313CADIE /verifier=c0462dad96a8412a50a3741ffbaf9f42 /installerversion=1_28_153 /installationtime=1380203087 /statsdomain=http://stats.ourstatssrv.com /errorsdomain=http://errors.ourstatssrv.com /monetizationdomain=http://stats.syncstatsdata.com /geoserviceurl=http://ipgeoapi.com/ /updatejsondomain=http://update.ourstatssrv.com /updaterversion=1 /externallog=''
                            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{EED0048A-5834-44DE-A4A7-C27341D004CF}\
                            
--------------------------------------------------------------------------------------------
Полное имя                  HTTP://STATS.SYNCSTATSDATA.COM
Имя файла                   HTTP://STATS.SYNCSTATSDATA.COM
                            
                            
Сохраненная информация      на момент создания образа
Статус                      
                            
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EED0048A-5834-44DE-A4A7-C27341D004CF}\Actions
Actions                     "C:\Program Files (x86)\weDownload Manager\weDownload Manager-updater.exe" /runupdater /agentregpath='weDownload Manager' /appid=34344 /srcid='000138' /subid='0' /zdata='0' /bic=FB7B9FC49FB84E718DABFB07C5313CADIE /verifier=c0462dad96a8412a50a3741ffbaf9f42 /installerversion=1_28_153 /installationtime=1380203087 /statsdomain=http://stats.ourstatssrv.com /errorsdomain=http://errors.ourstatssrv.com /monetizationdomain=http://stats.syncstatsdata.com /geoserviceurl=http://ipgeoapi.com/ /updatejsondomain=http://update.ourstatssrv.com /updaterversion=1 /externallog=''
                            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{EED0048A-5834-44DE-A4A7-C27341D004CF}\

__________________________________________________________________

Далее.

1) Выполните лог в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

после завершения сканирования:
Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru и Yandex снимите [V]

Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

2) Выполните FRST: http://forum.esetnod32.ru/forum9/topic2798/

Изменено: RP55 RP55 - 30.01.2018 20:12:52

Сообщений: 5

Баллов: 2

Регистрация: 29.01.2018

Размещено 30.01.2018 20:55:05

AdwCleaner удалил все кроме ACE stream ибо юзаю ее. Вложил логи с FRST
Все ли теперь в порядке?

Прикрепленные файлы

FRST.txt (194.23 КБ)
Addition.txt (101.35 КБ)
AdwCleaner[S1].txt (1.23 КБ)
AdwCleaner[S0].txt (8.05 КБ)
AdwCleaner[C0].txt (7.09 КБ)

Изменено: Alex Dark - 30.01.2018 21:12:08

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 30.01.2018 21:23:49

1) Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
...
Запустите FRST и нажмите один раз на кнопку Fix и подождите.

Код
CHR HKLM-x32\...\Chrome\Extension: [ochbjojkpcmlfeagbaahkofepalngihg] - <no Path/update_url> CHR HKLM-x32\...\Chrome\Extension: [oejkcgajlodefenbbjdnaiahmbnnoole] - <no Path/update_url> EmptyTemp: Reboot:

Код

  

CHR HKLM-x32\...\Chrome\Extension: [ochbjojkpcmlfeagbaahkofepalngihg] - <no Path/update_url>
CHR HKLM-x32\...\Chrome\Extension: [oejkcgajlodefenbbjdnaiahmbnnoole] - <no Path/update_url>
EmptyTemp:
Reboot:

Программа FRST создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

2) Отключите синхронизацию данных с серверами Google ( если включена )
Подробно: http://my-chrome.ru/2013/05/kak-pravilno-otklyuchit-sinxronizaciyu-v-google-chrome/

3) Проверяем, как работает система...
и
Пишем по _общему результату лечения.

Сообщений: 5

Баллов: 2

Регистрация: 29.01.2018

Размещено 30.01.2018 21:53:50

Спасибо.Пока система работает нормально буду наблюдать.
Заметил что после AdwCleaner,перезагрузки, в диспетчере задач-производительность пропала видеокарта,которая появилась там после последнего обновления 10 винды,не критично, но странно...

Прикрепленные файлы

Fixlog.txt (1.54 КБ)

Изменено: Alex Dark - 30.01.2018 21:54:02

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 30.01.2018 21:56:11

:)

Выполните рекомендации:
https://forum.esetnod32.ru/forum9/topic13764/

JS/Adware.HiRu.A при запуске защиты банковской оплаты eset , не могу избавится от рекламной заразы силами eset internet security