Странный файл {kosxheyi}.dll

Не знаю, где спросить про странный файл.

Сегодня запускала SpyHunter и в отчете (в списке "безопасных компонентов") увидела ссылочку на ProgramData. Поскольку я там никаких разрешений/исключений не делала, то стала разбираться, что там такое завелось. SpyHunter дал общую информацию:

Путь: C:\ProgramData\{kosxheyi}.dll
Точка исполнения: C:\ProgramData\{kosxheyi}.dll
Размер: 116 bytes
MD5: ec6aae2bb7d8781226ea61adca8f0586

ESET, Virustotal, Kaspersky VirusDesk, Malware Fighter угрозы в нем не видят.

ВСЁ. Больше об этом файле ничего не известно, поисковые системы (проверила через десяток наиболее популярных) не находят соответствий ни по полному названию, ни по имени без расширения, ни по имени без скобок. И что еще напрягает, так это его необъяснимое появление на жестком диске.
Надо бы, конечно, его зашредерить для порядка, но сначала хотелось бы понять, что это за зверь и откуда взялся. Может, кто-то знает или встречал что-то подобное?

Миниатюры

 

0

Здравствуйте!

Если хотите проверить систему, выполните Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

Если только "поговорить", сообщите и перенесем тему в общий раздел.

1

Здравствуйте!
Лечить? А что, всё так серьёзно? Я думала, что это обычный мусорный файлец, созданный какой-то программой, и хотела просто выяснить, откуда у него ноги растут, ну, и по ходу их выдернуть. Однако, если есть подозрения на вирусню, то буду, конечно, возиться с логами. Что посоветуете, - затевать эту процедуру или "не стоит шкурка выделки"?

0

Объективно что-либо можно будет сказать, изучив логи. А так - только догадки.

1

Ну, что ж, отработала по инструкции всю процедуру с AutoLogger'ом (оказалось, совсем не сложно и не муторно). CollectionLog прикрепила к сообщению.
Теперь с интересом жду продолжения банкета. Очень надеюсь, что файлец окажется вирусом, - руки чешутся загнобить его с особым садизмом.

Вложения

CollectionLog-2019.10.09-18.45.zip (118.9 Кб, 2 просмотров)

0

Внимание! Рекомендации написаны специально для пользователя VI0LA. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Advanced SystemCare 12 Driver Booster 6 DriverPack Cloud DriverPack Notifier IObit Malware Fighter 7 IObit Software Updater IObit Uninstaller 9 Smart Defrag 6 SpyHunter 5 TuneUp Utilities 2014

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

1. Выполните скрипт в AVZ (Файл - Выполнить скрипт):
   
   
   Code

   begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    ClearQuarantineEx(true);
    StopService('c65a34a252b67058');
    QuarantineFile('C:\Windows\system32\drivers\c65a34a252b67058.sys', '');
    DeleteFile('C:\Windows\system32\drivers\c65a34a252b67058.sys', '64');
    DeleteService('c65a34a252b67058');
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
   ExecuteSysClean;
    ExecuteRepair(3);
    ExecuteRepair(4);
    ExecuteRepair(9);
    ExecuteWizard('SCU', 2, 3, true);
   RebootWindows(true);
   end.

   Компьютер перезагрузится.
   
   После перезагрузки, выполните такой скрипт:
   
   
   Code

   begin
    DeleteFile(GetAVZDirectory+'quarantine.7z');
    ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
   end.

2. Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
   К сообщению прикреплять файл quarantine.7z не нужно!
   
   
   
3. Подготовьте новый CollectionLog.

1

Ага, ну, садизм, как вижу, присутствует, только пока не в отношении конкретного файлеца в 116 байт весом... Круче только забить в командную строку "format c:/" как говорится, нет системы - нет проблемы.
---------------------------------------------------------------------
А теперь несколько уточнений на полном серьёзе:
1. Удаление всего лицензионного ПО семейства IObit (6 программ!) - это принципиально? Я их юзаю по подписке с 2006 года, и они никогда ни в чём таком подозрительном замечены не были.
2. DriverPack Notifier, TuneUp Utilities тоже из числа доверенных, но хотя бы не покупные, снести не жалко.
3. А SpyHunter'а за что к стенке? Это ведь он обнаружил "засланного казачка" со странным погонялом {kosxheyi}.
4. Теперь насчёт AVZ. Лично я уважаю г-на Зайцева, а его чудо-утилька до 2007 года вообще была уникальной. Но вот уже 12 лет он работает под крышей Касперского, сливая туда весь креатив. Так вот, если в целом "Кашпер" ничего не нашёл, с чего бы его отдельному структурному элементу оказаться более дошлым и ушлым?
5. И наконец, обсудим "виновника торжества" - стрёмный мелкий файлец, которому и так уделено внимания больше, чем он заслуживает. Не поленилась открыть его в текстовом редакторе (на старом убитом компе, - так, на всякий случай), - хрень полная. Посылаю этого гада {kosxheyi}, поменяв расширение с dll на txt для принятия окончательного решения. Может, и впрямь проще его тупо зачистить шредером, и дело с концом? - Ну, не тянет этот прыщик на шматок вредоносного кода... если б ещё не прикидывался чьей-то типа "библиотекой" и не самопрописался в приличной системной папке, вообще бы интереса не вызвал.

Вложения

{kosxheyi}.txt (116 байт, 2 просмотров)

0

Переношу тему в общий раздел ввиду отказа от лечения.

0

Ого, как сурово! Вот и у нас в поликлинике та же байда: отказалась от ампутации, - всё, значиццо прыщик лечить не будем, мабуть, сам рассосётся.
Да, впрочем, ладно, я ж не в претензии, - время уделили, помощь предложили, на том и спасибо.

Вот про странный файлец я ничего не разузнала... ну, так шо ж теперь, убиться ап-стену? - а ни фига, я лучше прибью этого {kosxheyi}, как и собиралась изначально. Любопытство, конечно, останется неудовлетворённым, ну, и бог с ним.

0

Пожалуй, признаю, что погорячился.
Раз уж вас устраивает работа системы со всеми перечисленными PUP-ами, нужно было сразу перенести сюда.

Сообщение от VI0LA А SpyHunter'а за что к стенке?

Почитайте здесь (в адресной строке resources замените на threads)

Что касается файла, скорее всего "запчасть" от чего-то, возможно даже вредоносного.

1

Ага, ну, как говорит Карлсон, "продолжаем разговор".
Докладываю о ходе лечения, в котором что-то пошло не так:
1. Обсуждение SpyHunter'а почитала, впечатлилась и программу удалила от греха подальше.
2. DriverPack Cloud, DriverPack Notifier и TuneUp Utilities тоже деинсталировала (последняя, правда, оказалась лицензионной, ну, да и хрен с ней, - померла, так померла).
3. Весь Иобит, как и оговорено, не убит, а деактивирован.
4. ESET тоже введён в искусственную кому (с-шот №1).
5. Запустила утилиту AVZ (от админа) --> "Файл" --> "Выполнить скрипт".
6. В появившееся окошко скопипастила предложенный скрипт(с-шот №2).
7. Отключила интернет, браузер, ваще всё, что шевелится на компьютере, нажала кнопку "Запустить" и пошла пить кофе.
Минут через 10-15 возвращаюсь - AVZ то ли висит, то ли просто отдыхает, оставив в окошке скудную инфу (с-шот №3).
Попыталась AVZ выключить, - сначала культурно, потом через диспетчер задач, - глухо. Ладно, раз такое дело, перезагружаю компьютер и повторяю процедуру от 3-го пункта до 7-го, включая кофе.
Результат тот же.
И в третий раз запустила эту карусель (но уже без кофе, ибо тахикардия... избыточная выработка холецистокинина и кортизола... то-сё). Снова по нулям.

В общем, засылаю очередной лог и 3 скрина, чтобы понять, что не так с системой (или что я там не так делаю).

Миниатюры

     

Вложения

CollectionLog-2019.10.11-12.56.zip (104.9 Кб, 1 просмотров)

0

Сообщение от VI0LA Весь Иобит, как и оговорено, не убит, а деактивирован

Хотя бы IObit Malware Fighter 7 удалите. В системе достаточно одного антивируса.

Попробуйте выполнить тот же скрипт в безопасном режиме.

1

Очередной доклад.
1. Malware Fighter похоронила и оплакала.
2. В безопасном режиме запустила скрипт №1, - сработал.
3. Комп перезагрузился в обычном режиме.
4. Отключила ESET и запустила скрипт №2, - сработал.
5. Полученный файл отослала через "Форму отправки", - выскочило окошечко
"VI0LA, Ваш карантин отправлен, спасибо!
Имя карантин-а(ов) сообщите в теме:
2019.10.11_quarantine_99955ae6586e6278b6 f76d7c180804ed.7z"

Всё, отмучилась.
Правда, по ходу слетели настройки персонализации, и раб.стол теперь выглядит уныло-дефолтно, но зато ведь теперь комп будет чистый и непорочный, аки агнец божий. Ведь будет?

Миниатюры

 

0

Тут был дубль. Пост можно удалить

0

Будет, только покажите контрольный CollectionLog после выполнения скрипта из нормального режима.

1

Упс! Так и знала, что чего-нибудь да забуду.

Вложения

CollectionLog-2019.10.11-16.06.zip (97.2 Кб, 2 просмотров)

0

Еще таки логи посмотрим:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

1

Вчера ближе к вечеру-ночеру попробовала "отфарбарить" систему, - не вышло: прога запускается, но на кнопку "скан" нажать невозможно, т.к. выскакивает всплывающее окно с информацией о том, что фарбара, дескать, надо обновить, тут же за пять секунд это как бы обновление как бы происходит, но на "скан" тынцнуть не успеваешь, потому что опять выскакивает то окошко, опять симулируется обновление, - и так по кругу. "Сказка про белого бычка, часть 2. Перезагрузка". Когда эта канитель повторилась раз -дцать, попробовала её прихлопнуть. - Фигушки. Процесс не убивается даже через диспетчер задач. Ну, сделала принудительную перезагрузку. Снова запустила прогу, снова облом.
Перекрестившись, деинсталлировала остатки Иобита. Скачала Farbar Recovery заново (теперь уже с зеркала), - с виду 1:1, но чем чёрт не шутит? Не прокатило. В смысле, фарбар запустился, но по тому же циклу.
Короче, решила я взять тайм-аут, - отдохнуть, поправить пошатнувшееся от лечения здоровье, а уже после Покровов, собрав силы, приступить ко второй части Марлезонского балета... или то будет уже третья?

Да, кстати о странном файлеце, с которого началась тема, - я его-таки вышвырнула из системы и забила нулями освободившееся на харде крошечное место. Делов-то оказалось на 5 копеек.

Миниатюры

 

0

Вам "повезло", это была ошибка версии
Уже исправлена, скачайте заново и соберите отчёты.

Добавлено через 34 минуты
И, раз уж вы удалили IObit, дочистим его остатки. До сканирования FRST подготовьте и прикрепите лог сканирования AdwCleaner.

1

Ну, вот, отдохнула от трудов праведных и с новыми силами... нет, не продолжила лечить систему, - я её снесла. Ага. Под нолик. Поколдовала с биосом и поставила Восьмёрку (лицуху). Коллеги жужжали, мол, "десятка, десятка в тренде!" Ну, и в тренде, и что? - из двух зол я выбрала более знакомое. Теперь понаблюдаю, не пристанет ли к новой системе старая зараза

0