Перейти к содержанию
Правила раздела
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

[РЕШЕНО] Переход остановлен: источник msiexec.exe

nmrlstc

Автор nmrlstc
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

nmrlstc

nmrlstc

Опубликовано
Опубликовано

Здравствуйте, столкнулась с такой проблемой, нигде решение найти не могу - Каспер каждые 3-4 часа присылает уведомление "переход остановлен: вредоносный сайт", соответственно - ссылка на сайт и виновником обозначен msiexec.exe по пути на SYSWOW64. В ADWcleaner, FRST, Malware проверки сделала, они удалили некоторые вирусняки, но они походу не относились к тому, что меня тревожит сейчас. msiexec - это же установщик. Как его почистить или запретить процессы, которые запускают вирус? Откровенно стремновато от того, что его невозможно почистить. Спасибо тем, кто откликнется. 

 

Нашла в реестре по пути HKEY_USERS\S-1-5-21-3688185596-1786232887-1367929869-1001\SOFTWARE\Microsoft\Notepad файл "SearchString" с названием этого сайта. Наверное это оно и есть?

Sandor

Sandor

Опубликовано
Опубликовано

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
 

Цитата

 

Bonjour

Java 8 Update 51 (64-bit)

plumbing-prominent

Кнопка "Яндекс" на панелі завдань

 

 

Перезагрузите компьютер, удалите старые и соберите новые логи FRST.txt и Addition.txt

 

Sandor

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {2636329D-964A-4CEB-8098-350039D3A0D0} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe [2250576 2022-05-24] (Avast Software s.r.o. -> Avast Software)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
CHR HKU\S-1-5-21-3688185596-1786232887-1367929869-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
2022-09-30 17:25 - 2022-10-01 09:15 - 000000000 ____D C:\ProgramData\pork-positions
2022-09-30 17:25 - 2022-09-30 17:28 - 000000000 ____D C:\ProgramData\DiskOptimizer
2022-09-30 17:25 - 2022-09-30 17:25 - 000000000 ____D C:\ProgramData\RjlpvTLTBpjLXrp
2022-09-30 17:25 - 2022-09-30 17:25 - 000000000 ____D C:\ProgramData\playerFolder
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [442]
FirewallRules: [{23AE19AE-FF26-4091-BCE7-06D5EA6ECE3B}] => (Allow) LPort=1688
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано
16 часов назад, nmrlstc сказал:

Каспер каждые 3-4 часа присылает уведомление "переход остановлен: вредоносный сайт"

Это сейчас продолжается?

Если да, какой браузер при этом запущен (если запущен)?

nmrlstc

nmrlstc

Опубликовано
  • Автор
Опубликовано

Сейчас не появилось, думаю, оно уже прошло, потому что после перезагрузки не появилось уведомление от Касп.. От браузера не зависело, пользуюсь Оперой GX. По сути, оно может появиться через час-два. Если что, я отпишусь тут, а потом тему можно закрывать?

Sandor

Sandor

Опубликовано
Опубликовано

Отлично, в завершение, пожалуйста:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Sandor

Sandor

Опубликовано
Опубликовано

--------------------------- [ OtherUtilities ] ----------------------------
NVIDIA GeForce Experience 3.17.0.126 v.3.17.0.126 Внимание! Скачать обновления
Python 3.9.5 (64-bit) v.3.9.5150.0 Внимание! Скачать обновления
FileZilla 3.60.1 v.3.60.1 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
7-Zip 19.00 v.19.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
-------------------------- [ IMAndCollaborate ] ---------------------------
Cisco Webex Meetings v.42.10.3 Внимание! Скачать обновления
Zoom v.5.11.11 (8425) Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45146 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.6 Внимание! Скачать обновления
Spotify v.1.1.94.872.g7a9200fe Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Opera GX Stable 71.0.3770.441 v.71.0.3770.441 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Google Chrome v.105.0.5195.127 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
---------------------------- [ UnwantedApps ] -----------------------------
Ultimate Ad Eraser 1.0.0.0 v.1.0.0.0 << Скрыта Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
 

Последнюю попробуйте удалить самостоятельно. Если не получится, сообщите.

Остальное по возможности исправьте.

 

Читайте Рекомендации после удаления вредоносного ПО

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Detanatar2
      Автономный выход из почтовых аккаунтов и \AppData\Local\temp\????
      Автор Detanatar2
      Добрый день
      на этой неделе лечили комп от вирусов
      все прошло успешно, но сегодня обнаружил, что при входе в мозилу, я вышел из всех почтовых аккаунтов
      входить не стал и стразу перегрузил комп и увидел, что система не успела создать файл  прикрепляю изображение
      так же в корне другого диска обнаружил странный текстовый файл, прикрепляю в архиве.

      Подскажите, может грохнуть диск С и поставить вин 11
      или сначала попробовать вылечить комп.

      Почему я написал в тегах Мамонт, часто качаю видео и вот один MOV просто блымнул на экране и ничего...

      topfiles.zip
    • SuperFlanker
      Зашифрована куча файлов...
      Автор SuperFlanker
      После входа на сайт www.medkv.ru   (по-видимому зараженный) огромное количество файлов оказалось зашифрованным.
      В корне почти всех логических зон появились пронумерованный файлы README1.txt (1,2,3,и т.д.), в которых оказался текст:
          Ваши файлы были зашифрованы.     Чтобы расшифровать их, Вам необходимо отправить код:     D578B51556B1A605148F|0     на электронный адрес files1147@gmail.com или post100023@gmail.com .     Далее вы получите все необходимые инструкции.       Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.   И аналогичный текст на английском.   Никаких действий кроме тех что указаны в методике - "Порядок оформления запроса о помощи" я не делал. Надеюсь на помощь! CollectionLog-2015.07.08-18.43.zip
    • detanatar
      [РЕШЕНО] Похоже поймал майнер - самостоятельное исследование не помогло
      Автор detanatar
      Добрый день
      обнаруживаю, что видеокарта регулярно громко молотит вентиляторами, температура поднимается до 65 градусов.
      перегружал комп все отключал, все равно температура доползает до 65 градусов и когда начинаю мониторить процессы  опускается до 40, а затем опять взлетает 55-65 гадусов.
      Думаю я поймал майнера
      Помогите с лечение компьютера
      CollectionLog-2026.06.20-20.47.zip
    • Сава
      Файлы зашифрованы
      Автор Сава
      Добрый день, возникла проблема
       
      Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 649BCB4DE5CB3267B4B0|286|2|2 на электронный адрес files1147@gmail.com или post100023@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации. (и так же на английском)    Прикрепляю лог проверки.   Заранее благодарю за помощь!   CollectionLog-2015.06.24-19.20.zip
    • sxhwre
      [РЕШЕНО] Очень сильно просел интернет, маленькая скорость загрузки, предполагаю что у меня вирус
      Автор sxhwre
      CollectionLog-2026.06.06-23.09.zip
      забыл более подробно написать о проблеме, как бы стыдно щас не было но это началось после того как я скачал игру с интернета
×
×
  • Создать...