Постоянно создается файл setup в InstallShield

[ruslansymb]

Добрый день, скорее всего скрытый майнер, в диспетчере задач постоянно висит файл setup.exe расположенный C:\Windows\SysWOW64\InstallShield\x32, вешает все возможные антивирусы если не в безопасном режиме, в нем же не запускается. Virustotal по файлу ничего не говорит. При удалении сразу появляется снова. Постоянно зависает Chome/

[akoK]

https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]- если не сработает в обычном, соберите логи в безопасном режиме. Изменено 25 января, 2019 пользователем akoK

[ruslansymb]

В обычном режиме не смог собрать логи, только в безопасном. KVRT нашел вирус, но спустя время снова появился этот файл и система снова стала зависать

CollectionLog-2019.01.25-18.51.zip

Изменено 25 января, 2019 пользователем ruslansymb

[thyrex]

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DelBHO('{E81D3BD4-0E3E-4B58-BEC1-F3791DAA11A8}');
 DeleteService('AppoxinloK');
 DeleteFile('C:\ProgramData\AppoxinloK\AppoxinloK.exe','64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\1146184','x64');
 DeleteFile('C:\Users\Руслан\AppData\Roaming\ezxyepdtize\oqxw0cghag5.exe','64');
 DeleteFile('C:\Users\Руслан\AppData\Roaming\u155xlm4tlk\bsfca2xg3ht.exe','64');
 DeleteFile('C:\Users\Руслан\AppData\Roaming\1lsfxjuctqk\wqedpo1q2af.exe','64');
 DeleteFile('C:\Users\Руслан\AppData\Roaming\51uygt1oovs\f0pkfefcq4b.exe','64');
 DeleteFile('C:\Users\Руслан\AppData\Roaming\nuqf5u1xbyj\gsefa01fh50.exe','64');
 DeleteFile('C:\Users\Руслан\AppData\Roaming\dzl1dsf1blt\vtbzjwnmvxg.exe','64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\8408083','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\6017265','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\2626994','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\2426823','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\2173318','x64');
 DeleteFile('C:\Program Files\Q0C5NELH83\Q0C5NELH8.exe','64');
 DeleteFile('C:\Program Files\O5MV1LMJV4\O5MV1LMJV.exe','64');
 DeleteFile('C:\Program Files\WPJROV5TR6\WPJROV5TR.exe','64');
 DeleteFile('C:\Program Files (x86)\l0vxduh53er\6YN4G.exe','64');
 DeleteFile('C:\Program Files\B00VBR5OCT\B00VBR5OC.exe','64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VHC3RO0F9AHSACC','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TIJLK5AS21B5QWJ','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IQRBR6YFSIMNKNA','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EFT950XVBA9BJI5','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\87BMMT8JM18E450','x64');
 DeleteFile('C:\Users\Руслан\AppData\Roaming\YoutubeDownloader_upd\python\pythonw.exe','64');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','64');
 DeleteFile('C:\Program Files\Windows Photo Viewer\WGK6OPB7A127Q5NXG\YJdl3tw#4-.exe','64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YJdl3tw#4-.exe','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YoutubeDownloader_upd','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Zaxar Games Browser.lnk','x64');
 DeleteFile('C:\Program Files (x86)\eWuDAKEgxIE\kwiM6Mnlq.dll','32');
 DeleteFile('C:\Program Files (x86)\eWuDAKEgxIE\torgDxQ8.dll','64');
 DeleteFile('C:\Program Files (x86)\OKuaQUguzkJU2\nhAbdeQRcSdDL.dll','64');
 DeleteSchedulerTask('GfMAIZTzcVSvml');
 DeleteFile('C:\ProgramData\eJBlAwaaSdTwMIVB\Etfgybg.wsf','64');
 DeleteSchedulerTask('LFgOsdPPciToq2');
 DeleteSchedulerTask('PKsTXxbmnjfTBZZutgC2');
 DeleteSchedulerTask('uivBKWbDPzuGcGhdY2');
 DeleteSchedulerTask('{55A197B4-E8E4-0197-D7A8-9E4ADD551600}');
 DeleteFile('C:\Program Files (x86)\vgjjPxjnrdvSplcncAR\wCRjlcT.dll','64');
 DeleteFile('C:\Program Files (x86)\bLMoOsEEbuuGC\MTfwugQ.dll','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger (попробуйте в обычном режиме, а не безопасном); прикрепите к следующему сообщению НОВЫЕ логи.

[ruslansymb]

Новый лог из обычного режима

CollectionLog-2019.01.25-19.04.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[ruslansymb]

Сделано

FRST64.zip

[thyrex]

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
BHO: YoutubeAdBlock -> {E81D3BD4-0E3E-4B58-BEC1-F3791DAA11A8} -> C:\Program Files (x86)\eWuDAKEgxIE\torgDxQ8.dll => No File
2019-01-23 17:52 - 2019-01-23 18:53 - 000000004 _____ () C:\ProgramData\lock.dat
2019-01-23 17:52 - 2019-01-23 17:52 - 000000008 _____ () C:\ProgramData\ts.dat
2019-01-23 17:52 - 2019-01-23 18:53 - 000000004 _____ () C:\Users\Все пользователи\lock.dat
2019-01-23 17:52 - 2019-01-23 17:52 - 000000008 _____ () C:\Users\Все пользователи\ts.dat
2019-01-23 17:50 - 2019-01-23 17:50 - 006161408 _____ () C:\Users\Руслан\AppData\Local\dump007.dat
2019-01-23 17:45 - 2019-01-23 17:45 - 000140800 _____ () C:\Users\Руслан\AppData\Local\installer.dat
2019-01-23 17:45 - 2019-01-23 17:45 - 000000003 _____ () C:\Users\Руслан\AppData\Local\wbem.ini
2019-01-25 10:55 - 2019-01-25 17:25 - 000000000 ____D () C:\Users\Руслан\AppData\Local\Temp\IE8Shims.dll
FirewallRules: [{42E57FCC-9552-4B1A-B311-78CAD504D181}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe No File
FirewallRules: [{BE1E6986-3A6E-44A1-A679-3944700D71BF}] => (Allow) C:\Users\Руслан\AppData\Local\Temp\ZaxarSetup.4.001.1961.exe\zaxarloader.exe No File
FirewallRules: [{80967ED2-A4AD-4FB4-BD2B-5281870CBBE4}] => (Allow) C:\Users\Руслан\AppData\Roaming\SchedTaskSetup\sched.exe No File
FirewallRules: [{08A3CD6A-04CD-497E-AAC6-73FD67110AE9}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe No File
FirewallRules: [{250D1BB7-143C-4849-8441-6F4584945C61}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe No File
FirewallRules: [{8C57DBDD-0499-46BD-9342-14C3BBAA627F}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe No File
FirewallRules: [{0F45385B-0A44-4A84-9E21-1612024F6DB2}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe No File
FirewallRules: [{79EE5EEB-F12A-4533-9418-883D374721EB}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe No File
FirewallRules: [{9E346488-BF25-4BC7-AE85-027AA2FFCC7A}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe No File
FirewallRules: [{EC290FA8-47DD-41A3-BBAE-32683CC0CFAF}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe No File
FirewallRules: [{712D8386-84A3-4B63-81D1-4331F5CE7018}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{647F4080-39DA-49C1-96BA-2ECF36CA2B24}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{23423339-DB54-4DD0-90B2-773846D20DDD}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{5B598E97-3ABD-494F-94C1-6C63A7D15811}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{09F72A19-42BC-4DB8-8281-3169CA9B3F4F}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{9BAB7C7D-EB02-4A44-869C-14FDB568AD32}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{67E513E5-064E-4769-9E7D-278D65102B39}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{509AFD7E-4FDF-4FB3-84BA-D92D2DE894EA}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{21BC29FF-C86B-442F-97EE-3CF38AFB3FD2}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{17DE5D47-F02F-4929-B69C-9D33FCB756D4}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{EB9B013B-6FBE-4063-8690-3DBAE33FF4D6}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{C6B20CEE-C51D-4019-A400-AF7834FF7831}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{6EE2D468-9AF3-44D3-B2A7-0BA3BD1BFAF0}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{26AA1C97-83E5-4EEF-A8F3-45EB7B30FE25}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[ruslansymb]

Готово

Fixlog.zip

[thyrex]

Проблема решена?

[ruslansymb]

Проблема решена?

Да, спасибо

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.