Что-то пытается закинуть вирусный файл в папку гугл хрома

22 января, 2017

Это происходит уже больше недели, если не меньше. Антивирус удаляет файл, который появляется снова. Путь к этому файлу всегда один: C:\Users\gromerten\AppData\Local\Google\Chrome\User\Data\Default\Cache\f_00456a

Антивирус удаляет именно f_00456a, помечает его как Backdoor.PHP.Ajash.a

Все предложенные программы я использовал, но так и не нашёл на компьютере то, что отвечает за создание или загрузку этого файла.

CollectionLog-2017.01.22-17.15.zip

Изменено 22 января, 2017 пользователем DeadAgain

22 января, 2017

Драйверы NVidia надо скачивать с официального сайта, а не непонятно какую сборку.

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 QuarantineFile('C:\Users\gromerten\AppData\Roaming\mystartsearch\UninstallManager.exe','');
 DeleteFile('C:\Windows\system32\Tasks\{7D411C8A-F7A3-4C99-BBE4-0A8DC238F8CC}','64');
 DeleteFile('C:\Users\gromerten\AppData\Roaming\mystartsearch\UninstallManager.exe','32');
  DeleteFile('C:\Windows\SYSWOW64\vulkaninfo.exe ',' ');
 DeleteFile('C:\Windows\SYSWOW64\vulkan-1.dll ',' ');
 DeleteFile('C:\Windows\system32\vulkaninfo.exe ',' ');
 DeleteFile('C:\Windows\system32\vulkan-1.dll',' ');
 DeleteFileMask('C:\Program Files (x86)\VulkanRT/ ','* ',true ,' ');
 DeleteDirectory('C:\Program Files (x86)\VulkanRT ',' ');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через портал Kaspersky Online Scanner.

Порядок действий на портале Kaspersky Online Scanner::

1) Нажмите "Выбрать файл" и укажите путь к архиву.

2) После проверки нажмите на "Не согласиться с результатом", выберите "Получить уведомление о доставке файла" и укажите адрес своей электронной почты.

3) Нажмите "Отправить".

Полученный через электронную почту ответ сообщите в этой теме.

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):


O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O2-32 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O3-32 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)

Сделайте новые логи по правилам (только пункт 2).

+

приложите лог FRST и AdwCleaner

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158
http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

22 января, 2017

Сделал всё по инструкции

Драйверы NVidia надо скачивать с официального сайта, а не непонятно какую сборку.

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 QuarantineFile('C:\Users\gromerten\AppData\Roaming\mystartsearch\UninstallManager.exe','');
 DeleteFile('C:\Windows\system32\Tasks\{7D411C8A-F7A3-4C99-BBE4-0A8DC238F8CC}','64');
 DeleteFile('C:\Users\gromerten\AppData\Roaming\mystartsearch\UninstallManager.exe','32');
  DeleteFile('C:\Windows\SYSWOW64\vulkaninfo.exe ',' ');
 DeleteFile('C:\Windows\SYSWOW64\vulkan-1.dll ',' ');
 DeleteFile('C:\Windows\system32\vulkaninfo.exe ',' ');
 DeleteFile('C:\Windows\system32\vulkan-1.dll',' ');
 DeleteFileMask('C:\Program Files (x86)\VulkanRT/ ','* ',true ,' ');
 DeleteDirectory('C:\Program Files (x86)\VulkanRT ',' ');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
Отправьте на проверку файл Quarantine.zip из папки AVZ через портал Kaspersky Online Scanner.

Порядок действий на портале Kaspersky Online Scanner::

1) Нажмите "Выбрать файл" и укажите путь к архиву.

2) После проверки нажмите на "Не согласиться с результатом", выберите "Получить уведомление о доставке файла" и укажите адрес своей электронной почты.

3) Нажмите "Отправить".

Полученный через электронную почту ответ сообщите в этой теме.

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O2-32 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O3-32 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
Сделайте новые логи по правилам (только пункт 2).

+

приложите лог FRST и AdwCleaner

http://forum.kasperskyclub.ru/index.php?showtopic=7611#entry635158
http://forum.kasperskyclub.ru/index.php?showtopic=7611#entry647696

Всё сделал

CollectionLog-2017.01.22-22.04.zip

FRST.txt

Addition.txt

AdwCleanerS0.txt

Изменено 22 января, 2017 пользователем DeadAgain

26 января, 2017

Драйверы NVidia надо скачивать с официального сайта, а не непонятно какую сборку.

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 QuarantineFile('C:\Users\gromerten\AppData\Roaming\mystartsearch\UninstallManager.exe','');
 DeleteFile('C:\Windows\system32\Tasks\{7D411C8A-F7A3-4C99-BBE4-0A8DC238F8CC}','64');
 DeleteFile('C:\Users\gromerten\AppData\Roaming\mystartsearch\UninstallManager.exe','32');
  DeleteFile('C:\Windows\SYSWOW64\vulkaninfo.exe ',' ');
 DeleteFile('C:\Windows\SYSWOW64\vulkan-1.dll ',' ');
 DeleteFile('C:\Windows\system32\vulkaninfo.exe ',' ');
 DeleteFile('C:\Windows\system32\vulkan-1.dll',' ');
 DeleteFileMask('C:\Program Files (x86)\VulkanRT/ ','* ',true ,' ');
 DeleteDirectory('C:\Program Files (x86)\VulkanRT ',' ');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
Отправьте на проверку файл Quarantine.zip из папки AVZ через портал Kaspersky Online Scanner.

Порядок действий на портале Kaspersky Online Scanner::

1) Нажмите "Выбрать файл" и укажите путь к архиву.

2) После проверки нажмите на "Не согласиться с результатом", выберите "Получить уведомление о доставке файла" и укажите адрес своей электронной почты.

3) Нажмите "Отправить".

Полученный через электронную почту ответ сообщите в этой теме.

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O2-32 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O3-32 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
Сделайте новые логи по правилам (только пункт 2).

+

приложите лог FRST и AdwCleaner

http://forum.kasperskyclub.ru/index.php?showtopic=7611#entry635158

http://forum.kasperskyclub.ru/index.php?showtopic=7611#entry647696

Нужно ждать ответа от лаборатории, или есть ещё рекомендации?

Что-то пытается закинуть вирусный файл в папку гугл хрома

Рекомендуемые сообщения

DeadAgain

Ссылка на комментарий

Поделиться на другие сайты

Roman_Five

Ссылка на комментарий

Поделиться на другие сайты

DeadAgain

Ссылка на комментарий

Поделиться на другие сайты

DeadAgain

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum