Камиль Мусаев 0 Опубликовано 23 февраля, 2018 Share Опубликовано 23 февраля, 2018 Добрый день, иногда запускаются сами по себе две командные строки и быстро исчезают, при этом начинает сильно крутится кулер. Стоит КИС, полная проверка показывает что всё чисто. Для спокойствия хотелось бы полностью убедится что это не вирус. CollectionLog-2018.02.23-13.21.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 23 февраля, 2018 Share Опубликовано 23 февраля, 2018 (изменено) 1) Удалите остатки Аваст https://safezone.cc:443/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/ 2) - Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите. 3) "Пофиксите" в HijackThis: O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt: Se&nd to OneNote - C:\Program Files\Microsoft Office\Root\Office16\ONBttnIE.dll (file missing) O20-32 - HKLM\..\Winlogon\Notify: ScCertProp [DllName] = (no file) O22 - Task: Nvbackend_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe (file missing) O22 - Task: Opera scheduled Autoupdate 1507739385 - C:\Users\Musaev\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (file missing) O22 - Task: WpsExternal_20161109044301 - C:\Program Files (x86)\Kingsoft\WPS Office\ksolaunch.exe /wpscloudlaunch /wpsexternal /from=task (file missing) 4) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. 5) Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования, Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме.!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да". + Watchdog service - вам знакомо? Изменено 23 февраля, 2018 пользователем regist Цитата Ссылка на сообщение Поделиться на другие сайты
Камиль Мусаев 0 Опубликовано 23 февраля, 2018 Автор Share Опубликовано 23 февраля, 2018 @regist, про watchdog не слышал. Ссылка о загрузке https://virusinfo.info/showthread.php?t=217850. ССылка на результаты, но пока недоступны https://virusinfo.info/virusdetector/report.php?md5=66C948E004BFD71674B6CF0214511708 ClearLNK-23.02.2018_14-21.log DESKTOP-PT9D46V_2018-02-23_14-35-19.7z Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 23 февраля, 2018 Share Опубликовано 23 февраля, 2018 @Камиль Мусаев, насчёт загруженного карантина Анализ карантина завершен с ошибкой Причины ошибки: получен поврежденный архив, ошибка при распаковке Для устранения ошибки рекомендуется повторить загрузку карантина Так что просьба ещё раз провести процедуру. А лог uVS сейчас посмотрю. Цитата Ссылка на сообщение Поделиться на другие сайты
Камиль Мусаев 0 Опубликовано 23 февраля, 2018 Автор Share Опубликовано 23 февраля, 2018 @regist, Готово. Ссылка на тему https://virusinfo.info/showthread.php?t=217851. Ссылка на результаты: https://virusinfo.info/virusdetector/report.php?md5=70A9B60FA5545371F7465B71FC768B27 Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 23 февраля, 2018 Share Опубликовано 23 февраля, 2018 Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:;uVS v4.0.10 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v400c BREG deltmp zoo %SystemRoot%\SYSWOW64\G3E1F25BF10.EXE ;---------command-block--------- delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL delref %SystemDrive%\USERS\MUSAEV\APPDATA\LOCAL\TEMP\WCT324D.TMP delref %SystemDrive%\USERS\MUSAEV\APPDATA\LOCAL\TEMP\WCT63A6.TMP delref %SystemDrive%\USERS\MUSAEV\APPDATA\LOCAL\TEMP\WCTE6D9.TMP delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {EBA7A1E6-E69D-4BA5-B291-95782A004604}\[CLSID] delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID] apply czoo restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus . Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. про watchdog не слышал. Может вирус, а может и фолс https://www.virustotal.com/ru/file/7c3b2aa2f18129fe5858df4b7c6478f38e38a7767b2541794265c24b1167fc0b/analysis/1519384033/ Использует библиотеки от CRYPTO PRO, может для него используется. Так что 1) Выполните скрипт и пришлите карантин uVS. 2) Переименуйте пока C:\WINDOWS\SYSWOW64\G3E1F25BF10.EXE например в C:\WINDOWS\SYSWOW64\G3E1F25BF10.bak 3) Проверьте снова проблему. Цитата Ссылка на сообщение Поделиться на другие сайты
Камиль Мусаев 0 Опубликовано 23 февраля, 2018 Автор Share Опубликовано 23 февраля, 2018 (изменено) @regist, готово, если не будет больше сообщений , значит всё ок. А за что отвечает файл в SySWow64? И его вообще надо потом обратно в ехе переименовывать или можно оставить в bak? @regist, Поставил в КИСЕ обнаружение вредоносных программ, обновил базы , запустил быструю проверку и он нашёл такую вот шляпу, после перезагрузки удалил. По поводу того файла который я переименовал в bak так его оставить или в exe обратно вернуть? Изменено 23 февраля, 2018 пользователем Камиль Мусаев Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 23 февраля, 2018 Share Опубликовано 23 февраля, 2018 Карантин от вас не дошёл Программа Microsoft Forefront Protection for Exchange Server удалила файл, совпадающий с фильтром. Заархивируйте этот файл в zip архив с паролем virus закачайте архив на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) ссылку на скачивание пришлите мне в ЛС. запустил быструю проверку и он нашёл такую вот шляпу, после перезагрузки удалил. это драйвер от AVZ, с учётом что AVZ вы запускали сами и сознательно, то некрично. По поводу того файла который я переименовал в bak так его оставить или в exe обратно вернуть? Пока оставьте так и проверьте повторится проблема или нет. И нормально ли работает КриптоПро. Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 24 февраля, 2018 Share Опубликовано 24 февраля, 2018 @Камиль Мусаев, скачал карантин с этим файлом. Это всё-таки вирус. Удаляйте этот файл и меняйте все пароли. + выполните скрипт в uVS ;uVS v4.0.10 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v400c BREG ;---------command-block--------- bl 1DE584EC7436FB83D7BAD88E1DCC1A3A 25480 zoo %SystemRoot%\SYSWOW64\G3E1F25BF10.EXE delall %SystemRoot%\SYSWOW64\G3E1F25BF10.EXE apply czoo restart проблема решена? Цитата Ссылка на сообщение Поделиться на другие сайты
Камиль Мусаев 0 Опубликовано 24 февраля, 2018 Автор Share Опубликовано 24 февраля, 2018 @regist, Спасибо, буду наблюдать. Если ничего не напишу значит всё ок Цитата Ссылка на сообщение Поделиться на другие сайты
Камиль Мусаев 0 Опубликовано 24 февраля, 2018 Автор Share Опубликовано 24 февраля, 2018 @regist, Помимо этого файла больше вирусов нету? Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 24 февраля, 2018 Share Опубликовано 24 февраля, 2018 Помимо этого файла больше вирусов нету? больше ничего плохого не заметил. Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Выполните рекомендации после лечения. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.