HEUR:Trojan.Script.Miner.gen

[wontom]

21.04.2018 14.45.16;Обнаруженный объект (файл) невозможно вылечить;http://198.12.157.55/mmp2277/chive.js;http://198.12.157.55/mmp2277/chive.js;HEUR:Trojan.Script.Miner.gen;Троянскаяпрограмма;04/21/2018 14:45:16

Это оповещение выдает kaspersky total security после запуска браузера firefox после проверки антивирусом он не находит ничего.
 

CollectionLog-2018.04.21-14.48.zip

Изменено 21 апреля, 2018 пользователем wontom

[regist]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Preinstall\AppData\Local\Temp\dllhostwin.exe', '');
 QuarantineFileF('C:\Program Files (x86)\OahiAhLMPlKqC\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files (x86)\PAaFRntpKTdU2\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\Preinstall\AppData\Local\Temp\dllhostwin.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "CcUoDIeswNjImb" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "RjugMwUzTsQQHAQNApl2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "VHDezYAiMmhSpjSVJ2" /F', 0, 15000, true);
 DeleteFileMask('C:\Program Files (x86)\jtPeraHZWlxuYtVRBkR', '*', true);
 DeleteFileMask('C:\Program Files (x86)\OahiAhLMPlKqC\', '*', true);
 DeleteFileMask('C:\Program Files (x86)\PAaFRntpKTdU2\', '*', true);
 DeleteDirectory('C:\Program Files (x86)\jtPeraHZWlxuYtVRBkR');
 DeleteDirectory('C:\Program Files (x86)\OahiAhLMPlKqC\');
 DeleteDirectory('C:\Program Files (x86)\PAaFRntpKTdU2\');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Anti-Malware');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Anti-Malware'); QuarantineFileF('C:\Program Files (x86)\jtPeraHZWlxuYtVRBkR', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.


 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
 

и версию антивируса надо бы обновить до актуальной.

[wontom]

KLAN-7952052441

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
quarantine.zip

Файлы переданы на исследование
https://virusinfo.info/virusdetector/report.php?md5=2833AE3E1E87696AA34C44EA7C9BDFFE

FRST.txt

Shortcut.txt

Addition.txt

[regist]

YoutubeAdBlock (HKLM-x32\...\E3605470-291B-44EB-8648-745EE356599A) (Version: 2.0.0.441 - Company Inc.) <==== ATTENTION

деинсталируйте.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

 

Start::
CreateRestorePoint:
YoutubeAdBlock (HKLM-x32\...\E3605470-291B-44EB-8648-745EE356599A) (Version: 2.0.0.441 - Company Inc.) <==== ATTENTION
Shortcut: C:\Users\Preinstall\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Корзина (3).lnk -> [LFx@_dP/N1SPSU(Ly9K-e)::{645FF040-5081-101B-9F08-00AA002F954E}] <==== Cyrillic
Shortcut: C:\Users\Preinstall\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Корзина (4).lnk -> [LFx@_dP/N1SPSU(Ly9K-e)::{645FF040-5081-101B-9F08-00AA002F954E}] <==== Cyrillic
YoutubeAdBlock (HKLM-x32\...\E3605470-291B-44EB-8648-745EE356599A) (Version: 2.0.0.441 - Company Inc.) <==== ATTENTION
Shortcut: C:\Users\Preinstall\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Корзина (3).lnk -> [LFx@_dP/N1SPSU(Ly9K-e)::{645FF040-5081-101B-9F08-00AA002F954E}] <==== Cyrillic
Shortcut: C:\Users\Preinstall\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Корзина (4).lnk -> [LFx@_dP/N1SPSU(Ly9K-e)::{645FF040-5081-101B-9F08-00AA002F954E}] <==== Cyrillic
EmptyTemp:
Reboot:
End::

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Удалите в Хроме все незнакомые расширения.

 

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
  
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt.
  
• Прикрепите отчет к своему следующему сообщению.

[wontom]

 

YoutubeAdBlock (HKLM-x32\...\E3605470-291B-44EB-8648-745EE356599A) (Version: 2.0.0.441 - Company Inc.) <==== ATTENTION

деинсталируйте.

 

Если это в хроме то я удалил все расширения и его т.к им не пользуюсь давно

Fixlog.txt

AdwCleanerS00.txt

[regist]

 

 

Если это в хроме то я удалил все расширения и его т.к им не пользуюсь давно

Не только в Хроме. но и в установленных программах у вас с таким именем есть программа. Её надо деинсталировать.

• Запустите повторно AdwCleaner (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan" ("Сканировать")
• По окончанию сканирования снимите галочки со следующих строк:
  

  PUP.Optional.Legacy             C:\Program Files (x86)\QGNA

• Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C0].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,      

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание.
   Если у вас установлены архиваторы
   WinRAR
   или
   7-Zip
   , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

   
   

 

[wontom]

При попытке удаления выдает такую ошибку.
 

По окончанию сканирования снимите галочки со следующих строк:
PUP.Optional.Legacy             C:\Program Files (x86)\QGNA

 

а  PUP.Optional.Legacy со всех строк что в этом перечне или только с C:\Program Files (x86)\QGNA?

Изменено 21 апреля, 2018 пользователем wontom

[regist]

 

 

только с C:\Program Files (x86)\QGNA?

[wontom]

Готово

YoutubeAdBlock (HKLM-x32\...\E3605470-291B-44EB-8648-745EE356599A) (Version: 2.0.0.441 - Company Inc.) <==== ATTENTION

деинсталируйте.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Start::
CreateRestorePoint:
YoutubeAdBlock (HKLM-x32\...\E3605470-291B-44EB-8648-745EE356599A) (Version: 2.0.0.441 - Company Inc.) <==== ATTENTION
Shortcut: C:\Users\Preinstall\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Корзина (3).lnk -> [LFx@_dP/N1SPSU(Ly9K-e)::{645FF040-5081-101B-9F08-00AA002F954E}] <==== Cyrillic
Shortcut: C:\Users\Preinstall\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Корзина (4).lnk -> [LFx@_dP/N1SPSU(Ly9K-e)::{645FF040-5081-101B-9F08-00AA002F954E}] <==== Cyrillic
YoutubeAdBlock (HKLM-x32\...\E3605470-291B-44EB-8648-745EE356599A) (Version: 2.0.0.441 - Company Inc.) <==== ATTENTION
Shortcut: C:\Users\Preinstall\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Корзина (3).lnk -> [LFx@_dP/N1SPSU(Ly9K-e)::{645FF040-5081-101B-9F08-00AA002F954E}] <==== Cyrillic
Shortcut: C:\Users\Preinstall\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Корзина (4).lnk -> [LFx@_dP/N1SPSU(Ly9K-e)::{645FF040-5081-101B-9F08-00AA002F954E}] <==== Cyrillic
EmptyTemp:
Reboot:
End::

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Удалите в Хроме все незнакомые расширения.

 

 

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt.
• Прикрепите отчет к своему следующему сообщению.

 

 

Хотя после уже этого пункта не замечал оповещений от каспера

BELLERAFONT_2018-04-21_19-42-10.7z

AdwCleanerC01.txt

[regist]

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

  ;uVS v4.0.11 [http://dsrt.dyndns.org]
  
  ;Target OS: NTv10.0
  
  v400c
  
  BREG
  
  ;---------command-block---------
  
  delref %SystemDrive%\USERS\PREINSTALL\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\HCADGIJMEDBFGCIEGJOMFPJCDCHLHNIF\12.0.28_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
  
  delref %SystemDrive%\USERS\PREINSTALL\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BHJHNAFPIILPFFHGLAJCAEPJBNBJEMCI\12.0.23_0\ПОИСК MAIL.RU
  
  delref %SystemDrive%\USERS\PREINSTALL\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\DLOEBPOGMBLOIGGBBKGANACECPOBMLDE\3.5.6_0\ПУЛЬС
  
  delref HTTP://MAIL.RU/CNT/10445?GP=811021
  
  delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJHNAFPIILPFFHGLAJCAEPJBNBJEMCI%26INSTALLSOURCE%3DONDEMAND%26UC
  
  delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDLOEBPOGMBLOIGGBBKGANACECPOBMLDE%26INSTALLSOURCE%3DONDEMAND%26UC
  
  delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHCADGIJMEDBFGCIEGJOMFPJCDCHLHNIF%26INSTALLSOURCE%3DONDEMAND%26UC
  
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
  
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
  
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
  
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
  
  delref {5A8FF410-F3CE-4844-B31B-F18D911239E8}\[CLSID]
  
  delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
  
  delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
  
  delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
  
  delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
  
  delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
  
  delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
  
  delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
  
  delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
  
  delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
  
  delref {444785F1-DE89-4295-863A-D46C3A781394}\[CLSID]
  
  apply
  
  
  
  restart
  
  

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен.

 

что с проблемой?

[wontom]

 

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

  ;uVS v4.0.11 [http://dsrt.dyndns.org]
  
  ;Target OS: NTv10.0
  
  v400c
  
  BREG
  
  ;---------command-block---------
  
  delref %SystemDrive%\USERS\PREINSTALL\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\HCADGIJMEDBFGCIEGJOMFPJCDCHLHNIF\12.0.28_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
  
  delref %SystemDrive%\USERS\PREINSTALL\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BHJHNAFPIILPFFHGLAJCAEPJBNBJEMCI\12.0.23_0\ПОИСК MAIL.RU
  
  delref %SystemDrive%\USERS\PREINSTALL\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\DLOEBPOGMBLOIGGBBKGANACECPOBMLDE\3.5.6_0\ПУЛЬС
  
  delref HTTP://MAIL.RU/CNT/10445?GP=811021
  
  delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJHNAFPIILPFFHGLAJCAEPJBNBJEMCI%26INSTALLSOURCE%3DONDEMAND%26UC
  
  delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDLOEBPOGMBLOIGGBBKGANACECPOBMLDE%26INSTALLSOURCE%3DONDEMAND%26UC
  
  delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHCADGIJMEDBFGCIEGJOMFPJCDCHLHNIF%26INSTALLSOURCE%3DONDEMAND%26UC
  
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
  
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
  
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
  
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
  
  delref {5A8FF410-F3CE-4844-B31B-F18D911239E8}\[CLSID]
  
  delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
  
  delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
  
  delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
  
  delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
  
  delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
  
  delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
  
  delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
  
  delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
  
  delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
  
  delref {444785F1-DE89-4295-863A-D46C3A781394}\[CLSID]
  
  apply
  
  
  
  restart
  
  

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен.

 

что с проблемой?

 

 

После нескольких попыток вызвать похожее окно от касперского ничего не произошло так что думаю проблема устранена. За что вам огромное спасибо.

[regist]

оверковотингом не надо заниматься. Для быстрого ответа есть поле внизу.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

[Зимовщик]

Добрый день!
Не завожу отдельную ветку, так как вирус тот же и поведения якобы то же самое.
 
 
- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 
вот ссылка по вышеуказанной инструкции:
https://virusinfo.info/virusdetector/report.php?md5=C5388A74228CF02F69395CE0F64148A6
 

 

Сообщение от модератора kmscom

один пользователь - одна тема

даже если у вас все тоже самое, создайте тему как эта и соблюдайте те же правила как и в этой, при её создании
а эта закрыта. до встречи в вашей персональной теме