Форум программистов, компьютерный форум, киберфорум
Наши страницы
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
VI0LA
0 / 0 / 0
Регистрация: 25.08.2018
Сообщений: 11
1

Странный файл {kosxheyi}.dll

09.10.2019, 01:52. Просмотров 258. Ответов 18
Метки нет (Все метки)

Не знаю, где спросить про странный файл.

Сегодня запускала SpyHunter и в отчете (в списке "безопасных компонентов") увидела ссылочку на ProgramData. Поскольку я там никаких разрешений/исключений не делала, то стала разбираться, что там такое завелось. SpyHunter дал общую информацию:

Путь: C:\ProgramData\{kosxheyi}.dll
Точка исполнения: C:\ProgramData\{kosxheyi}.dll
Размер: 116 bytes
MD5: ec6aae2bb7d8781226ea61adca8f0586

ESET, Virustotal, Kaspersky VirusDesk, Malware Fighter угрозы в нем не видят.

ВСЁ. Больше об этом файле ничего не известно, поисковые системы (проверила через десяток наиболее популярных) не находят соответствий ни по полному названию, ни по имени без расширения, ни по имени без скобок. И что еще напрягает, так это его необъяснимое появление на жестком диске.
Надо бы, конечно, его зашредерить для порядка, но сначала хотелось бы понять, что это за зверь и откуда взялся. Может, кто-то знает или встречал что-то подобное?
0
Миниатюры
Странный файл {kosxheyi}.dll  
QA
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
09.10.2019, 01:52
Ответы с готовыми решениями:

Что за странный файл haqrueo.dll требуется Висте?
Привет. На лаптопе жены после удаления вируса сканером AVG возникла следующая проблема. При...

Странный файл
После загрузки определенного контента столкнулся с наличием в нём одного файла, который заметил...

Странный файл в папке Пользователь
Это окно появляется при каждой загрузке компьютера: см. скриншот - похоже, что-то пытается открыть...

Система win 7 не загружается,найден странный файл лога
Здравствуйте.Создавал ранее данную тему ***********/f51/t250981/(Если ссылку нельзя удалите,распишу...

В автозагрузке висит странный файл, который смахивает на плохую программку
Вот логи

18
Sandor
Вирусоборец
14107 / 11986 / 1965
Регистрация: 08.10.2012
Сообщений: 48,698
09.10.2019, 12:31 2
Здравствуйте!

Если хотите проверить систему, выполните Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

Если только "поговорить", сообщите и перенесем тему в общий раздел.
1
VI0LA
0 / 0 / 0
Регистрация: 25.08.2018
Сообщений: 11
09.10.2019, 14:55  [ТС] 3
Здравствуйте!
Лечить? А что, всё так серьёзно? Я думала, что это обычный мусорный файлец, созданный какой-то программой, и хотела просто выяснить, откуда у него ноги растут, ну, и по ходу их выдернуть. Однако, если есть подозрения на вирусню, то буду, конечно, возиться с логами. Что посоветуете, - затевать эту процедуру или "не стоит шкурка выделки"?
0
Sandor
Вирусоборец
14107 / 11986 / 1965
Регистрация: 08.10.2012
Сообщений: 48,698
09.10.2019, 16:13 4
Объективно что-либо можно будет сказать, изучив логи. А так - только догадки.
1
09.10.2019, 16:13
VI0LA
0 / 0 / 0
Регистрация: 25.08.2018
Сообщений: 11
09.10.2019, 19:07  [ТС] 5
Ну, что ж, отработала по инструкции всю процедуру с AutoLogger'ом (оказалось, совсем не сложно и не муторно). CollectionLog прикрепила к сообщению.
Теперь с интересом жду продолжения банкета. Очень надеюсь, что файлец окажется вирусом, - руки чешутся загнобить его с особым садизмом.
0
Вложения
Тип файла: zip CollectionLog-2019.10.09-18.45.zip (118.9 Кб, 1 просмотров)
Sandor
Вирусоборец
14107 / 11986 / 1965
Регистрация: 08.10.2012
Сообщений: 48,698
10.10.2019, 08:26 6
Внимание! Рекомендации написаны специально для пользователя VI0LA. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Через Панель управления - Удаление программ - удалите нежелательное ПО:
Advanced SystemCare 12
Driver Booster 6
DriverPack Cloud
DriverPack Notifier
IObit Malware Fighter 7
IObit Software Updater
IObit Uninstaller 9
Smart Defrag 6
SpyHunter 5
TuneUp Utilities 2014
Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.
  1. Выполните скрипт в AVZ (Файл - Выполнить скрипт):

    Код
    begin
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ClearQuarantineEx(true);
     StopService('c65a34a252b67058');
     QuarantineFile('C:\Windows\system32\drivers\c65a34a252b67058.sys', '');
     DeleteFile('C:\Windows\system32\drivers\c65a34a252b67058.sys', '64');
     DeleteService('c65a34a252b67058');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    ExecuteSysClean;
     ExecuteRepair(3);
     ExecuteRepair(4);
     ExecuteRepair(9);
     ExecuteWizard('SCU', 2, 3, true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки, выполните такой скрипт:

    Код
    begin
     DeleteFile(GetAVZDirectory+'quarantine.7z');
     ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
    end.
  2. Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
    К сообщению прикреплять файл quarantine.7z не нужно!


  3. Подготовьте новый CollectionLog.
1
VI0LA
0 / 0 / 0
Регистрация: 25.08.2018
Сообщений: 11
10.10.2019, 11:39  [ТС] 7
Ага, ну, садизм, как вижу, присутствует, только пока не в отношении конкретного файлеца в 116 байт весом... Круче только забить в командную строку "format c:/" как говорится, нет системы - нет проблемы.
---------------------------------------------------------------------
А теперь несколько уточнений на полном серьёзе:
1. Удаление всего лицензионного ПО семейства IObit (6 программ!) - это принципиально? Я их юзаю по подписке с 2006 года, и они никогда ни в чём таком подозрительном замечены не были.
2. DriverPack Notifier, TuneUp Utilities тоже из числа доверенных, но хотя бы не покупные, снести не жалко.
3. А SpyHunter'а за что к стенке? Это ведь он обнаружил "засланного казачка" со странным погонялом {kosxheyi}.
4. Теперь насчёт AVZ. Лично я уважаю г-на Зайцева, а его чудо-утилька до 2007 года вообще была уникальной. Но вот уже 12 лет он работает под крышей Касперского, сливая туда весь креатив. Так вот, если в целом "Кашпер" ничего не нашёл, с чего бы его отдельному структурному элементу оказаться более дошлым и ушлым?
5. И наконец, обсудим "виновника торжества" - стрёмный мелкий файлец, которому и так уделено внимания больше, чем он заслуживает. Не поленилась открыть его в текстовом редакторе (на старом убитом компе, - так, на всякий случай), - хрень полная. Посылаю этого гада {kosxheyi}, поменяв расширение с dll на txt для принятия окончательного решения. Может, и впрямь проще его тупо зачистить шредером, и дело с концом? - Ну, не тянет этот прыщик на шматок вредоносного кода... если б ещё не прикидывался чьей-то типа "библиотекой" и не самопрописался в приличной системной папке, вообще бы интереса не вызвал.
0
Вложения
Тип файла: txt {kosxheyi}.txt (116 байт, 2 просмотров)
Sandor
Вирусоборец
14107 / 11986 / 1965
Регистрация: 08.10.2012
Сообщений: 48,698
10.10.2019, 11:46 8
Переношу тему в общий раздел ввиду отказа от лечения.
0
VI0LA
0 / 0 / 0
Регистрация: 25.08.2018
Сообщений: 11
10.10.2019, 14:31  [ТС] 9
Ого, как сурово! Вот и у нас в поликлинике та же байда: отказалась от ампутации, - всё, значиццо прыщик лечить не будем, мабуть, сам рассосётся.
Да, впрочем, ладно, я ж не в претензии, - время уделили, помощь предложили, на том и спасибо.

Вот про странный файлец я ничего не разузнала... ну, так шо ж теперь, убиться ап-стену? - а ни фига, я лучше прибью этого {kosxheyi}, как и собиралась изначально. Любопытство, конечно, останется неудовлетворённым, ну, и бог с ним.
0
Sandor
Вирусоборец
14107 / 11986 / 1965
Регистрация: 08.10.2012
Сообщений: 48,698
10.10.2019, 20:29 10
Пожалуй, признаю, что погорячился.
Раз уж вас устраивает работа системы со всеми перечисленными PUP-ами, нужно было сразу перенести сюда.

Цитата Сообщение от VI0LA Посмотреть сообщение
А SpyHunter'а за что к стенке?
Почитайте здесь (в адресной строке resources замените на threads)

Что касается файла, скорее всего "запчасть" от чего-то, возможно даже вредоносного.
1
VI0LA
0 / 0 / 0
Регистрация: 25.08.2018
Сообщений: 11
11.10.2019, 13:39  [ТС] 11
Ага, ну, как говорит Карлсон, "продолжаем разговор".
Докладываю о ходе лечения, в котором что-то пошло не так:
1. Обсуждение SpyHunter'а почитала, впечатлилась и программу удалила от греха подальше.
2. DriverPack Cloud, DriverPack Notifier и TuneUp Utilities тоже деинсталировала (последняя, правда, оказалась лицензионной, ну, да и хрен с ней, - померла, так померла).
3. Весь Иобит, как и оговорено, не убит, а деактивирован.
4. ESET тоже введён в искусственную кому (с-шот №1).
5. Запустила утилиту AVZ (от админа) --> "Файл" --> "Выполнить скрипт".
6. В появившееся окошко скопипастила предложенный скрипт(с-шот №2).
7. Отключила интернет, браузер, ваще всё, что шевелится на компьютере, нажала кнопку "Запустить" и пошла пить кофе.
Минут через 10-15 возвращаюсь - AVZ то ли висит, то ли просто отдыхает, оставив в окошке скудную инфу (с-шот №3).
Попыталась AVZ выключить, - сначала культурно, потом через диспетчер задач, - глухо. Ладно, раз такое дело, перезагружаю компьютер и повторяю процедуру от 3-го пункта до 7-го, включая кофе.
Результат тот же.
И в третий раз запустила эту карусель (но уже без кофе, ибо тахикардия... избыточная выработка холецистокинина и кортизола... то-сё). Снова по нулям.

В общем, засылаю очередной лог и 3 скрина, чтобы понять, что не так с системой (или что я там не так делаю).
0
Миниатюры
Странный файл {kosxheyi}.dll   Странный файл {kosxheyi}.dll   Странный файл {kosxheyi}.dll  

Вложения
Тип файла: zip CollectionLog-2019.10.11-12.56.zip (104.9 Кб, 1 просмотров)
Sandor
Вирусоборец
14107 / 11986 / 1965
Регистрация: 08.10.2012
Сообщений: 48,698
11.10.2019, 13:46 12
Цитата Сообщение от VI0LA Посмотреть сообщение
Весь Иобит, как и оговорено, не убит, а деактивирован
Хотя бы IObit Malware Fighter 7 удалите. В системе достаточно одного антивируса.

Попробуйте выполнить тот же скрипт в безопасном режиме.
1
VI0LA
0 / 0 / 0
Регистрация: 25.08.2018
Сообщений: 11
11.10.2019, 15:48  [ТС] 13
Очередной доклад.
1. Malware Fighter похоронила и оплакала.
2. В безопасном режиме запустила скрипт №1, - сработал.
3. Комп перезагрузился в обычном режиме.
4. Отключила ESET и запустила скрипт №2, - сработал.
5. Полученный файл отослала через "Форму отправки", - выскочило окошечко
"VI0LA, Ваш карантин отправлен, спасибо!
Имя карантин-а(ов) сообщите в теме:
2019.10.11_quarantine_99955ae6586e6278b6f76d7c180804ed.7z"

Всё, отмучилась.
Правда, по ходу слетели настройки персонализации, и раб.стол теперь выглядит уныло-дефолтно, но зато ведь теперь комп будет чистый и непорочный, аки агнец божий. Ведь будет?
0
Миниатюры
Странный файл {kosxheyi}.dll  
VI0LA
0 / 0 / 0
Регистрация: 25.08.2018
Сообщений: 11
11.10.2019, 15:48  [ТС] 14
Тут был дубль. Пост можно удалить
0
Sandor
Вирусоборец
14107 / 11986 / 1965
Регистрация: 08.10.2012
Сообщений: 48,698
11.10.2019, 15:49 15
Будет, только покажите контрольный CollectionLog после выполнения скрипта из нормального режима.
1
VI0LA
0 / 0 / 0
Регистрация: 25.08.2018
Сообщений: 11
11.10.2019, 16:10  [ТС] 16
Упс! Так и знала, что чего-нибудь да забуду.
0
Вложения
Тип файла: zip CollectionLog-2019.10.11-16.06.zip (97.2 Кб, 2 просмотров)
Sandor
Вирусоборец
14107 / 11986 / 1965
Регистрация: 08.10.2012
Сообщений: 48,698
12.10.2019, 12:53 17
Еще таки логи посмотрим:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.
1
VI0LA
0 / 0 / 0
Регистрация: 25.08.2018
Сообщений: 11
13.10.2019, 11:52  [ТС] 18
Вчера ближе к вечеру-ночеру попробовала "отфарбарить" систему, - не вышло: прога запускается, но на кнопку "скан" нажать невозможно, т.к. выскакивает всплывающее окно с информацией о том, что фарбара, дескать, надо обновить, тут же за пять секунд это как бы обновление как бы происходит, но на "скан" тынцнуть не успеваешь, потому что опять выскакивает то окошко, опять симулируется обновление, - и так по кругу. "Сказка про белого бычка, часть 2. Перезагрузка". Когда эта канитель повторилась раз -дцать, попробовала её прихлопнуть. - Фигушки. Процесс не убивается даже через диспетчер задач. Ну, сделала принудительную перезагрузку. Снова запустила прогу, снова облом.
Перекрестившись, деинсталлировала остатки Иобита. Скачала Farbar Recovery заново (теперь уже с зеркала), - с виду 1:1, но чем чёрт не шутит? Не прокатило. В смысле, фарбар запустился, но по тому же циклу.
Короче, решила я взять тайм-аут, - отдохнуть, поправить пошатнувшееся от лечения здоровье, а уже после Покровов, собрав силы, приступить ко второй части Марлезонского балета... или то будет уже третья?

Да, кстати о странном файлеце, с которого началась тема, - я его-таки вышвырнула из системы и забила нулями освободившееся на харде крошечное место. Делов-то оказалось на 5 копеек.
0
Миниатюры
Странный файл {kosxheyi}.dll  
Sandor
Вирусоборец
14107 / 11986 / 1965
Регистрация: 08.10.2012
Сообщений: 48,698
13.10.2019, 12:49 19
Вам "повезло", это была ошибка версии
Уже исправлена, скачайте заново и соберите отчёты.

Добавлено через 34 минуты
И, раз уж вы удалили IObit, дочистим его остатки. До сканирования FRST подготовьте и прикрепите лог сканирования AdwCleaner.
0
13.10.2019, 12:49
Answers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
13.10.2019, 12:49

файл sfc_os.dll
вот такой файл находится в папке system32, который находит антивирус Avira, но удалить не...

Файл rpcss.dll
Мой антивирусник объявляет тревогу насчет файла rpcss.dll. При попытке удалить, пишется ошибка. И...

Зараженный файл Фaйл: C:\WINDOWS\system32\vtjbfe.dll
При загрузке компьютера (ОС- windows xp) антивирус выдает следующее сообщение: Ocмoтp: ...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
19
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2019, vBulletin Solutions, Inc.