Александр Казанин


Скопируйте текст КОДа - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !


<code>

;uVS v4.11 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE

ZOO %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\ROAMING\MICROSOFT\ADMODN­ETW4B8\ADNEKMOD8B4.DLL
delall %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\ROAMING\MICROSOFT\ADMODN­ETW4B8\ADNEKMOD8B4.DLL
CZOO
restart


</code>

[QUOTE]Юра Зачем написал:
Проблема была в: [/QUOTE]

Видимо.
Подчистим.

Скопируйте текст КОДа - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !


<code>
;uVS v4.11 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
restart
;---------command-block---------
delall %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\ROAMING\MICROSOFT\ADMODN­ETW4B8\ADNEKMOD8B4.DLL
apply



</code>

-------------------------------------

Полное имя                  C:\USERS\ДМИТРИЙ\APPDATA\ROAMING\MICROSOFT\ADMODNETW4B8\ADNEKM­OD8B4.DLL
Имя файла                   ADNEKMOD8B4.DLL
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           

www.virustotal.com  Файл был чист на момент проверки.     2020-12-20
   
 
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
File_Id                     5FDC35A8C000
Linker                      11.0
Размер                      12800 байт
Создан                      18.12.2020 в 16:17:58
Изменен                     18.12.2020 в 16:17:58
                           
TimeStamp                   18.12.2020 в 04:52:56
EntryPoint                  +
OS Version                  0.0
Subsystem                   Windows character-mode user interface (CUI) subsystem
IMAGE_FILE_DLL              +
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            AdNetwork.dll
Версия файла                1.0.0.0
Описание                    AdNetwork
Производитель              
Комментарий                
                           
Доп. информация             на момент обновления списка
Файл                        C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
CmdLine                     C:\USERS\ДМИТРИЙ\APPDATA\ROAMING\MICROSOFT\ADMODNETW4B8\ADNEKM­OD8B4.DLL,AMIGOUPDATER
SHA1                        0CBA96ADD40FC610017EF4A2BA8F4220694A1018
MD5                         B5BF285378916D5119D87C08917FE872
                           
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\ZAMIGOBROWSERUPDATE
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{920AEC27-3C26-4A74-8434-613D4DEF9913}\Actions
Actions                     "rundll32.exe" C:\Users\Дмитрий\AppData\Roaming\Microsoft\AdModNetW4b8\adnekm­od8b4.dll,AmigoUpdater
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{920AEC27-3C26-4A74-8434-613D4DEF9913}\

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
...
Запустите FRST и нажмите один раз на кнопку Fix и подождите.

[code]

FirewallRules: [{8D453E32-A0AE-418F-9361-2F4B12FF6C65}] => (Allow) D:\Games\Red Dead Redemption 2\RDR2.exe => No File
FirewallRules: [{653996F3-7596-415A-82DE-CEAF69D6BECD}] => (Allow) D:\Games\Red Dead Redemption 2\RDR2.exe => No File
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
GroupPolicy: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\Все пользователи\NTUSER.pol: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Edge: Restriction <==== ATTENTION
Task: {077333D6-06BA-4EA4-BDF4-1CD1439558F2} - \Microsoft\Windows\BrokerInfrastructure\BgTaskRegistrationMa­intenanceTask -> No File <==== ATTENTION
Task: {A2597AD3-0B94-4803-9A30-94B39BD37E0E} - System32\Tasks\zAmigoBrowserUpdate => rundll32.exe C:\Users\Asus\AppData\Roaming\Microsoft\AdModNetW4b8\adnekmod8­b4.dll,AmigoUpdater


EmptyTemp:
Reboot:

[/code]
Программа FRST создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

1) Всё найденное в Malwarebytes - удалите ( поместите в карантин )


2) Выполните лог в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

после завершения сканирования:
Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru  и Yandex снимите [V]


Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

3) Далее выполните FRST: http://forum.esetnod32.ru/forum9/topic2798/

Скопируйте текст КОДа - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !


<code>

;uVS v4.11 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c

deltmp
delnfr
restart


</code>

+
Далее (даже если проблема решена) выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )

[QUOTE]Никита Паршин написал:
Для каждой системы индивидуально свой код в прогу вписывать или можно и на другом пк так же сделать?[/QUOTE]

Каждый случай индивидуален.
Если вам нужна помощь:
Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/
В ряде случаев выполнение чужих скриптов может привести к повреждению системы.

Хорошо
Успехов :)

[QUOTE]Подозрительный Человек написал:
Это имеется ввиду программы по созданию вирусов?[/QUOTE]
Сейчас сами "вирусы" - это конструктор.

[QUOTE]Подозрительный Человек написал:
у моего знакомого "разработчика" игр[/QUOTE]
Возможно реакция на упаковщик - он может написать в пару тройку компаний\антивирусов и возможно ему ответят что-как и почему.

[QUOTE]Подозрительный Человек написал:
можно ли СЛУЧАЙНО напечатать "вредоносный код"?[/QUOTE]

Можно - Вирусы на Delphi
Человек пишет код - а модифицированная программа добавляет свой.
В принципе любая взломанная\модифицированная программа может что нибудь от себя добавить.

[QUOTE]Подозрительный Человек написал:
Хмм... я так понимаю, можно же ещё посмотреть в автозагрузке, где собака зарыта, и вычислить гада?[/QUOTE]

Файл может быть и не прописан в автозагрузке - параметры запуска могут быть прописаны в ярлыке ( например ярлыке браузера )

[QUOTE]Подозрительный Человек написал:
Отслеживать можно с помощью таких программ, как AUTORUN или мониторингом файловой системы и сетевой активности в сервисе антивируса? Или как это удобно делать?[/QUOTE]
Прежде все нужно запомнить что у вас в норме загружено в память - но чем больше у вас программ тем сложнее это сделать...
Программы подбираются по функционалу и на вкус.[QUOTE]

Подозрительный Человек написал:
о FRST слышу впервые. [/QUOTE]
[URL=http://safezone.cc/threads/rukovodstvo-po-farbars-recovery-scan-tool-frst.27540/]Руководство по Farbar’s Recovery Scan Tool (FRST) | SafeZone - форум по информационной безопасности[/URL]

В uVS  можно работать с реестром неактивной системы.

Для этого нужен или Live CD или вторая установленная система.

Запускаем uVS > выбираем нужную нам систему ( папку\каталог )  Windows
Программа найдёт реестр: ( например по пути: C:\Windows\System32\config )

Находим нужный нам файл\объект > открываем: Информация
Находим строку с нужной записью > хлопаем мышью 2х > на выбранном пункте откроется реестр.
пример на фото.
И здесь можно внести нужные нам изменения.

За каждую службу отвечает определённый файл.

UPDATE:
консультируем только по легальным способам отключения сервисов ESET,
если необходимо удаление антивируса: есть для этого ESETUninstaller