Троянский конь "All-Radio Portable" всё-таки можно удалить?

Moxito

Пользователь
Сообщения
423
Реакции
48
Баллы
43
Здравствуйте, уважаемые форумники.
Сегодня я Вам расскажу про то, как удалить вирус-программу All-Radio Portable.

Кто и как передал Вам эту программу
Программа распространяется с помощью взломщиков различных программ, в которые встроен Adware-модуль.
Впервые пользователи на форуме Malwarebytes начали сообщать о неизвестной программе "All-Radio Portable" 27 июня.
Сама программа является безопасной, просматривает видео, ТВ, аудио-файлы, однако, злоумышленники отредактировали программу, и направили её на другой путь. На путь клиента для загрузки других вирусов.

Путь к вирусам от вируса
Программа сначала пытается установить различные виды вирусов.
Затем программа копирует себя в %AppData%\Microsoft\Windows\{случайное название}\{случайное название}.exe и внедряет себя в процесс explorer.exe.
Опять копирует себя в %Temp%\allradio_4.27_portable.exe и открывает интерфейс программы
Всё, что программа скачала в начале, перемещает в %Temp% и открывает.

Действия вирусов от программы All-Radio
Одна из программ соединяется с сервисом IP Logger для статистики использования, примерного местоположения Вашего компьютера.
Miner file.exe, который внедряется в системный svchost.exe.
Keylogger, который при определении биткоин-кошелька в буфере обмена заменяет его на адрес злоумышленников.
Запускается ещё одна программа, создающая службу "Wifi support", с описанием "wifi internet connection", из папки C:\Windows\SysWOW64\fjuolnkd, файл wwvbmahk.exe и C:\Users\Имя\AppData\Local\Temp, файл A159.tmp.exe.
Почтовый спаммер.

Информация для очистки
HKCU\Software\All-Radio
HKCU\Software\All-Radio\Settings
HKCU\Software\All-Radio\Settings\TimeStamp 914BE45509E88CBE12C9C147B92F8928
HKCU\Software\All-Radio\Settings\CurrentLanguage English
HKCU\Software\All-Radio\Settings\skin name Cold
HKCU\Software\All-Radio\Settings\color 0
HKCU\Software\All-Radio\Settings\saturation 0
HKCU\Software\All-Radio\Settings\use skin 1
HKCU\Software\All-Radio\Settings\CurrentServer аштитипи://вэвэвэ.radioserver2.com/
HKCU\Software\All-Radio\Settings\ServersCount 8
HKCU\Software\All-Radio\Settings\resize 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\agwpyjho "C:\Users\User\gidulfmf.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\DirectX 11 rundll32 %Temp%\d3dx11_31.dll,includes_func_runnded
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E50B01A9-6717-4321-B6C1-3444E35D4419}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E50B01A9-6717-4321-B6C1-3444E35D4419}\Path \Opera scheduled Autoupdate 1427321617
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E50B01A9-6717-4321-B6C1-3444E35D4419}\Hash BINARY SIZE=32 MD5=5520F781167B06815EF8BD54DD186F9C
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E50B01A9-6717-4321-B6C1-3444E35D4419}\Triggers BINARY SIZE=352 MD5=83356B89B15EAB067435487A7B92FDBE
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E50B01A9-6717-4321-B6C1-3444E35D4419}\DynamicInfo BINARY SIZE=28 MD5=3068A03846DFF3649992C32FBA75E688
HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths\C:\Windows\SysWOW64\kqgzitry 0

Megasync.exe/allradio_4.27_portable.exe (random exec name): 9d891048dddda8a65de966c71f81464b20e402766aaee8a284da8d25c98270bd -
d3dx11_31.dll: 48b66dd02a336eb049a784b3fd1beb5312fb8c078b3729d49e92e3e986c98e91 - Clipboard CryptoCoin Hijacker
Logger.exe: 0cc32e6e6a407b2b69e1d89b3f005eecc54e238104725dcdcc8d3fc09c109bb4
Injected miner: cf8ef10678e63ffd02a5a35c84461d0195e0eed234bf9328eede52f3bef0e5f7
Hidden Service: 2e23ab52259e45eaced300811a6d6795db719b029d06b08ca7bac7d86cc289ad
Satamon.exe: 2c3eae980a88e7bb6a91f2b466856f612f34b8a37fac46bbbb52c0af0e695488
ffdc286711557df5f0bfd6a96744e93633d13fe45c02c240d5d6cf7531b21847
20bdef6e68bbec5ddeb7b893a9b4f387adbf2ee304963e905d98116a57334a41
acf810c7bb3961fd42f5925fcd4417cb812eb6fdaad00c98830c522d54c7f6eb
084d4811c47a5dc36df59bfaf477e1f0bf3a9b3901877de1d1548c3343d1e4d6
ea92702d5fe168a57ccf5abbe6b9f5eca25f039e111db4b010183aa6909c38d2
2c3eae980a88e7bb6a91f2b466856f612f34b8a37fac46bbbb52c0af0e695488

%Temp%A26.tmp.exe
%Temp%\A159.tmp.exe
%Temp%\allradio_4.27_portable.exe
%Temp%\F1BD.tmp.exe
%Temp%\lame_enc.dll
%Temp%\d3dx11_31.dll
%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\SATA Monitor.lnk
%AppData%\Microsoft\Windows\[random]\[random].exe
%AppData%37\file.exe
%AppData%37\Logger.exe
%AppData%\SATA Monitor\satamon.exe
C:\Windows\SysWOW64\[random]\[random].exe
C:\Windows\System32\Tasks\Opera scheduled Autoupdate 1427321617

Удаление вируса
1. Загрузите Revo Uninstaller.
2. После установки и запуска программы найдите в списках "All-Radio 4.27 Portable" (без кавычек), нажмите правой кнопкой мыши > удалить. Затем выберите "Advanced" (без кавычек), выберите всё и нажмите "Далее".
3. Перезапустите компьютер.
4. Откройте браузер (на примере будет Chrome) Chrome > нажмите на три точки справа сверху > Дополнительные инструменты > Расширения.
5. Найдите расширение "All-Radio 4.27 Portable" (без кавычек), и нажмите справа на корзину, подтвердите удаление и поставьте галочку "Сообщить о нарушении".
6. Откройте браузер (на примере будет Mozilla) Mozilla > Нажмите в правом углу, чтобы открыть меню браузера > выберите Дополнения > выберите и удалите расширение "All-Radio 4.27 Portable" (без кавычек).
7. Откройте Internet Explorer > нажмите Инструменты > Управление надстройками, инструменты и расширения > Расширение "All-Radio 4.27 Portable" (без кавычек) удалите.
8. Удалите в реестре следующие ключи (будьте аккуратными, создайте копию реестра!)

HKLM\SOFTWARE\Classes\AppID\<random>.exe
HKEY_CURRENT_USER\software\Microsoft\Internet Explorer\Main\Start Page Redirect=”http://<random>.com”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\virus name
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon “Shell” = “%AppData%\<All-Radio 4.27 Portable>.exe”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
‘Random’ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Random

9. Загрузите программу CCleaner.
10. Откройте программу, выберите справа "Registry" или "Реестр" (без кавычек).
11. Нажмите и нажмите на "Поиск проблем" или "Fix all Issues" (без кавычек).
12. После сканирования нажмите "Далее" или "Next" (без кавычек), затем, если сохраните резервную копию - выберите путь и нажмите "Сохранить", затем нажмите "Исправить отмеченные" или "Fix All" (без кавычек). Если нет - Нажмите "Исправить отмеченные" или "Fix All" (без кавычек).
13. Закройте все программы и перезагрузите компьютер.
14. Обратитесь в раздел "Удаление компьютерных вирусов", создайте тему с заголовком "Профилактическое сканирование системы после удаления вируса All-Radio" (без кавычек) и после работы программы прикрепите логи (журналы событий программы) AutoLogger.
15, На Ваше усмотрение: Скачайте программу CST, запустите файл "cst_admin.bat". Нажмите 1, затем любую клавишу на клавиатуре, выберите пункт 5, затем пункт 6 в уже новом меню. Могут быть каракули, иногда нажимайте на любую клавишу на клавиатуре. После выполнения действий откройте папку CST на Вашем системном диске и также прикрепите файл "cst_administrator_log.txt" (без кавычек). Затем перезагрузите компьютер.
 
Последнее редактирование модератором:

akok

Команда форума
Администратор
Сообщения
17,789
Реакции
13,524
Баллы
2,203
@regist, завтра, после прочтения посмотрю можно ли ее переносить в раздел с типовыми зловредами.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,344
Реакции
5,966
Баллы
998
сомневаюсь, что вообще это вирь сейчас будет работать. Когда он был актуален у меня был дроппер, а сейчас уже не найду наверно, так что проверить наверняка не могу. Да и базы его давно внесли все кому не лень.
Насчёт имён файлов, то насколько помню это была куча разной популярной фигни (ключевое слово популярной) под которую вирус маскировалИ, так что тут зависит что именно там Мохито качал. А у пользователя уже будет другое. А для лечения (если только не считать общих советов типа удалить лишние расширения браузеров) всё равно придётся создавать тему в лечение.
Ну и разумеется последний пункт статьи сразу в глаза бросается ;).
 
Последнее редактирование:

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,132
Реакции
5,907
Баллы
648
выберите пункт 5, затем пункт 6
Если не ошибаюсь, пункт 6 называется "предотвращение", а не "удаление".

9. Загрузите программу CCleaner.
10. Откройте программу, выберите справа "Registry" или "Реестр" (без кавычек).
11. Нажмите и нажмите на "Поиск проблем" или "Fix all Issues" (без кавычек).
Уже множество раз обсуждалось на этом форуме (даже где-то статья у Nozdri была), что эти действия среднестатистически наносят больше вреда, чем пользы.

8. Удалите в реестре следующие ключи (будьте аккуратными, создайте копию реестра!)
...
HKLM\SOFTWARE\Classes\AppID\<random>.exe
...
random - как понимаю случайные буквы?
Там по дефолту 500+ разделов.
Неопытный пользователь может понаудалять там всё что нужно и ненужно.
 

Moxito

Пользователь
Сообщения
423
Реакции
48
Баллы
43
Привет слоупокам.
И если проспали новость, то рекомендую для начала воспользоваться поиском https://safezone.cc:443/threads/all-radio-4-27-poluchi-polnyj-nabor-neudaljaemyx-vredonosov-v-windows.31770/
1. Та тема - копия с комсс.
2. Там нет лечения.
А здесь я описываю лечение)
Именно поэтому тема отличается от других
 
Сверху Снизу