Maks Sim 0 Опубликовано 25 января Share Опубликовано 25 января Затронутые элементы: bitsjob: 0980fa52-181e-43ed-bba5-a91029e698d5 bitsjob: 794defb4-3e4e-4183-a4b3-aedb9826b9fa и т.д. микрософт говорит что встроенный антивирус должен удалять. но оно не удаляет. adware удалил 1шт C:\Users\info\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk это была ссылка на запуск C:\Users\info\AppData\Roaming\AnyDesk\ctfmon.exe. После удаления AnyDesk, удалось его удалить, он написал что он openVPN клиент (или что-то подобное) Addition.txt FRST.txt Ссылка на сообщение Поделиться на другие сайты
safety 125 Опубликовано 25 января Share Опубликовано 25 января Сделайте, пожалуйста, все логи по правилам. Ссылка на сообщение Поделиться на другие сайты
Maks Sim 0 Опубликовано 26 января Автор Share Опубликовано 26 января (изменено) 8 часов назад, safety сказал: Сделайте, пожалуйста, все логи по правилам. CollectionLog-2024.01.26-10.59.zip cureIT и kvrt ничего не находят существенного Изменено 26 января пользователем Maks Sim Ссылка на сообщение Поделиться на другие сайты
safety 125 Опубликовано 26 января Share Опубликовано 26 января (изменено) судя по логу FRST файла нет. Task: {486FD115-FB84-400B-B19C-3E4EC94C7659} - System32\Tasks\ctfmon => C:\Users\info\AppData\Roaming\AnyDesk\ctfmon.exe -xxewz:8930 -yl -exwai -lr (Нет файла) <==== ВНИМАНИЕ + добавьте, пожалуйста, образ автозапуска в uVS Добавьте образ автозапуска системы в uVS. 1. Скачать архив программы можно отсюда: 2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe (для Vista, W7, W8, W10, W11 запускаем с правами администратора) 3. В стартовом окне программы - нажмите "запустить под текущим пользователем" (если текущий пользователь с правами администратора). 4. Далее, меню "Файл" / Сохранить Полный образ автозапуска. 5. дождитесь, пока процесс создания файла образа завершится. Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar. 6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ. Изменено 26 января пользователем safety Ссылка на сообщение Поделиться на другие сайты
Maks Sim 0 Опубликовано 26 января Автор Share Опубликовано 26 января (изменено) 3 часа назад, safety сказал: судя по логу FRST файла нет. Task: {486FD115-FB84-400B-B19C-3E4EC94C7659} - System32\Tasks\ctfmon => C:\Users\info\AppData\Roaming\AnyDesk\ctfmon.exe -xxewz:8930 -yl -exwai -lr (Нет файла) <==== ВНИМАНИЕ так я же написал выше, что были сомнения в происхождении anydesk, они сменило ID компьютера на котором было установлено после самостоятельного обновления "на новую. версию" (внезапно). Я его и удалил. По крайне мере постарался полностью. Поговорил со знакомым он сказал что это может быть реакция антивируса микрософт на новый транспорт anydesk D9HCUDN_2024-01-26_21-32-16_v4.15.1.7z Изменено 26 января пользователем Maks Sim Ссылка на сообщение Поделиться на другие сайты
safety 125 Опубликовано 26 января Share Опубликовано 26 января Выполните в uVS скрипт из буфера обмена. ЗАпускаем start,exe от имени Администратора (если не запущен) текущий пользователь, Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер. В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена" Скрипт автоматически очистит систему и перезагрузит ее. Скрипт ниже: ;uVS v4.15.1 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE hide %SystemDrive%\USERS\INFO\DESKTOP\PROGRAMS\KMSAUTO LITE PORTABLE V1.5.5\KMSAUTO X64.EXE ;------------------------autoscript--------------------------- delall %SystemDrive%\USERS\INFO\APPDATA\ROAMING\ANYDESK\CTFMON.EXE delall %SystemDrive%\USERS\INFO\APPDATA\LOCAL\TEMP\EDGE_BITS_5048_1276367274\4293ED7C-3494-4C5F-83A9-787F1B5E3FE0 delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIAKDDMMLEDECLCODPBGEBFKHEGAADDGE%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPBCGCPEIFKDJIJDJAMBAAKMHHPKFGOEC%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\PROGRAM FILES\GOOGLE\DRIVE FILE STREAM\80.0.1.0\GOOGLEDRIVEFS.EXE delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFAHHEAKDHOEOIGMAFEJKEHDOEIKPGDFP%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLMJEGMLICAMNIMMFHCMPKCLMIGMMCBEH%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\USERS\INFO\DESKTOP\TOR BROWSER\BROWSER\FIREFOX.EXE apply regt 27 deltmp delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID] delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL delref {D2CBF5F7-5702-440B-8D8F-8203034A6B82}\[CLSID] delref %SystemDrive%\USERS\INFO\DOWNLOADS\MSIAFTERBURNERREMOTESERVER\REMOTESERVER\MSIAFTERBURNERREMOTESERVER.EXE delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\TENSOR COMPANY LTD\SBIS3PLUGIN\21.1270.3\SERVICE\PLUGINS\NMH-TRANSPORT\FIREFOX\SBIS_PLUGIN_NMH@TENSOR.RU.XPI delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref {BBACC218-34EA-4666-9D7A-C78F2274A524}\[CLSID] delref {5AB7172C-9C11-405C-8DD5-AF20F3606282}\[CLSID] delref {A78ED123-AB77-406B-9962-2A5D9D2F7F30}\[CLSID] delref {F241C880-6982-4CE5-8CF7-7085BA96DA5A}\[CLSID] delref {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E}\[CLSID] delref {9AA2F32D-362A-42D9-9328-24A483E2CCC3}\[CLSID] delref {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C}\[CLSID] delref %SystemDrive%\USERS\INFO\APPDATA\LOCAL\TEMP\MCSE64_00.DLL delref %SystemDrive%\USERS\INFO\APPDATA\LOCAL\TEMP\MCSE32_00.DLL delref {EE15C2BD-CECB-49F8-A113-CA1BFC528F5B}\[CLSID] delref {5D924130-4CB1-11DB-B0DE-0800200C9A66}\[CLSID] delref {2D8B3101-E025-480D-917C-835522C7F628}\[CLSID] delref %Sys32%\DRIVERS\VNVDIMM.SYS delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.62\MSEDGE.DLL delref %Sys32%\PWCREATOR.EXE delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.2107.4-0\DRIVERS\WDNISDRV.SYS delref %Sys32%\HVSICONTAINERSERVICE.DLL delref %Sys32%\DRIVERS\INVDIMM.SYS delref %Sys32%\DRIVERS\NVDIMMN.SYS delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL delref %SystemDrive%\USERS\INFO\APPDATA\LOCAL\AWESOMEMINER delref %Sys32%\SPPEXTCOMOBJPATCHER.EXE delref %Sys32%\SPPEXTCOMOBJHOOK.DLL delref %SystemDrive%\PROGRAM FILES\OO SOFTWARE\DEFRAG\OODTRAY.EXE delref %Sys32%\BLANK.HTM delref {5E2121EE-0300-11D4-8D3B-444553540000}\[CLSID] delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS delref {8ABE89E2-1A1E-469B-8AF0-0A111727CFA5}\[CLSID] delref {C442AC41-9200-4770-8CC0-7CDB4F245C55}\[CLSID] delref %SystemDrive%\USERS\INFO\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVE.EXE delref %SystemDrive%\USERS\INFO\APPDATA\LOCAL\WHATSAPP\WHATSAPP.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME_PROXY.EXE delref %SystemDrive%\PROGRAM FILES (X86)\1CV8\COMMON\1CESTART.EXE delref %SystemDrive%\PROGRAM FILES (X86)\OVERDRIVENTOOL\LINEWALLET.EXE ;------------------------------------------------------------- restart После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату, что с проблемой Ссылка на сообщение Поделиться на другие сайты
Maks Sim 0 Опубликовано 26 января Автор Share Опубликовано 26 января думаю что все осталось "как есть" скриншот запустившегося антивиря микрософта прикладываю. 2024-01-27_02-47-27_log.txt 7 часов назад, safety сказал: напишите по результату, что с проблемой выполнил быстрое сканирование, оно написало что новые угрозы не обнаружены (за исключением насканированных). Может имеет смысл прочистить журнал ? Но при перезапуске "верхним" висит сообщение о наличии со временем запуска. D9HCUDN_2024-01-27_03-07-27_v4.15.1.7z единственно, collection log сделал при запущенной утилите start.exe CollectionLog-2024.01.27-03.17.zip Ссылка на сообщение Поделиться на другие сайты
safety 125 Опубликовано 27 января Share Опубликовано 27 января 5 часов назад, Maks Sim сказал: Может имеет смысл прочистить журнал ? Но при перезапуске "верхним" висит сообщение о наличии со временем запуска. т.е. время в обнаружении всегда актуальное? а действие по очистке угрозы выполняете в Windef? Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт автоматически очистит систему, и перезагрузит ее. Start:: CloseProcesses: HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-19\...\Run: [GoogleDriveFS] => C:\Program Files\Google\Drive File Stream\80.0.1.0\GoogleDriveFS.exe --startup_mode (Нет файла) HKU\S-1-5-20\...\Run: [GoogleDriveFS] => C:\Program Files\Google\Drive File Stream\80.0.1.0\GoogleDriveFS.exe --startup_mode (Нет файла) HKU\S-1-5-18\...\Run: [GoogleDriveFS] => C:\Program Files\Google\Drive File Stream\80.0.1.0\GoogleDriveFS.exe --startup_mode (Нет файла) HKU\S-1-5-18\...\Run: [] => [X] GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ Task: {486FD115-FB84-400B-B19C-3E4EC94C7659} - System32\Tasks\ctfmon => C:\Users\info\AppData\Roaming\AnyDesk\ctfmon.exe -xxewz:8930 -yl -exwai -lr (Нет файла) <==== ВНИМАНИЕ System32\Tasks\GoogleSystem\GoogleUpdater\GoogleUpdaterTaskSystem122.0.6253.0{828AE37C-D0BE-431E-A41B-0FC231CD6D8F} => C:\Program Files (x86)\Google\GoogleUpdater\122.0.6253.0\updater.exe [4652320 2024-01-17] (Google LLC -> Google LLC) <==== ВНИМАНИЕ Task: C:\WINDOWS\Tasks\ctfmon.job => C:\Users\info\AppData\Roaming\AnyDesk\ctfmon.exe FirewallRules: [{E6C527DF-6D74-44C8-A371-F6262ACB8425}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла FirewallRules: [{BBCBFF20-71DF-412F-BF78-5302DCE2AD92}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла FirewallRules: [{85B9B67A-3362-49DD-B81B-7F2CC78D5AA3}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла FirewallRules: [{4D532841-3C59-487E-886B-4A393193C881}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла FirewallRules: [{BA8B8AA2-BFA3-462D-9CEE-CD04849FADC1}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла FirewallRules: [{C7A31411-CC3D-44AD-AC32-B2AC11AE30A8}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла Reboot: End:: После перезагрузки добавьте, пожалуйста, лог Fixlog.txt в ваше сообщение. Ссылка на сообщение Поделиться на другие сайты
Maks Sim 0 Опубликовано 27 января Автор Share Опубликовано 27 января (изменено) 5 часов назад, safety сказал: лог Fixlog.txt в ваше сообщение. windef сообщение после загрузки выдает что не удалось исправить... при сканировании пишет что новые угрозы не обнаружены при попытке выполнить действие над угрозой от 11:29, она исчезла в журнале угроз висят "оставшиеся". при попытке выполнить действия на д ними - ничего не происходит (они, видимо, устарели) Fixlog.txt C:\ProgramData\Microsoft\Windows Defender\Scans пишет "отказано в доступе" Изменено 27 января пользователем Maks Sim Ссылка на сообщение Поделиться на другие сайты
safety 125 Опубликовано 27 января Share Опубликовано 27 января (изменено) 1 hour ago, Maks Sim said: при попытке выполнить действие над угрозой от 11:29, она исчезла т.е. можно предположить, что при перезагрузки системы появится новая запись с данной угрозой. Для очистки записей с угрозами можно выполнить следующие: 1. Уменьшить время хранения журнала угроз безопасности Windows (до одного дня). В PowerShell от имени администратора выполнить: Set-MpPreference -ScanPurgeItemsAfterDelay X Где X количество дней хранения журнала. + https://answers.microsoft.com/en-us/windows/forum/all/trojanwin32bitsabusey/d593661c-8ad9-4580-9f80-4283a7a9e0ac возможно это имеет место быть: Это ложное срабатывание. https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/safety-scanner-download Вы можете устранить ложные оповещения, удалив историю обнаружения. Полностью безопасно! Windows перестраивает папку «История обнаружения», когда она ей снова понадобится. Инструкции по удалению истории обнаружения приведены по этой ссылке. https://answers.microsoft.com/en-us/protect/forum/all/windows-defender-identifices-the-same-pup-as-a/63f17794-3815-4784-b9cd-c6059c8e0828 Изменено 27 января пользователем safety Ссылка на сообщение Поделиться на другие сайты
Maks Sim 0 Опубликовано 27 января Автор Share Опубликовано 27 января (изменено) 1 час назад, safety сказал: Для очистки записей с угрозами перезагрузка системы с нажатой клавишей shift, выбор загрузка в безопасном режиме, с сетевыми драйверами, далее переход в указанную мною выше папку, очистка папка service/history (не удаляется один файл .log) перезагрузка, вынесение всех скачанных ранее программ, удаление FRST64 пере наименованием в uninstall, перезагрузка, включение всех тумблеров на win defender, быстрая проверка, "новых угроз не обнаружено" по приведенной вами ссылке, увы, оно выбрасывает в корень сайта https://answers.microsoft.com/en-us/ в любом случае, спасибо Вам большое, надеюсь, что проблема решена а не глубоко спрятана (меня смутил метод удаления истории сканирования и результат получений этим методом. и реакция дефендера на kvrt и файлы созданные им (не удаляемая угроза) автономным модулем дефендера, я проходил ранее, он ничего нового не обнаруживал. Сейчас проблема решена. Спасибо большое ! (вы "прочистили" систему, установленную кучу лет назад) Изменено 27 января пользователем Maks Sim Ссылка на сообщение Поделиться на другие сайты
safety 125 Опубликовано 27 января Share Опубликовано 27 января (изменено) Хорошо, Как я понял, у windef есть период или срок жизни обнаруженных угроз,и если на эти угрозы не было никакой реакции, то он повторно по ним сигнализирует записью с новой датой, хотя на самом деле, возможно что эта угроза себя уже никак не проявляет на актуальную дату. Весьма странный подход к обнаружению. В завершении: Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10); Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу; Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt; Прикрепите этот файл в своем следующем сообщении Изменено 27 января пользователем safety Ссылка на сообщение Поделиться на другие сайты
Maks Sim 0 Опубликовано 27 января Автор Share Опубликовано 27 января 28 минут назад, safety сказал: сохраните утилиту на Рабочем столе ох как на нее ругается дефендер SecurityCheck.txt Ссылка на сообщение Поделиться на другие сайты
safety 125 Опубликовано 27 января Share Опубликовано 27 января (изменено) По возможности обновите указанное ПО TrueCrypt v.7.1 Данная программа больше не поддерживается разработчиком. Рекомендуется использовать VeraCrypt. Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.32.31332 v.14.32.31332.0 Внимание! Скачать обновления ------------------------------ [ ArchAndFM ] ------------------------------ WinRAR 6.00 (64-разрядная) v.6.00.0 Внимание! Скачать обновления Far Manager 3 x64 v.3.0.5092 Внимание! Скачать обновления ------------------------------- [ Imaging ] ------------------------------- IrfanView 4.54 (64-bit) v.4.54 Внимание! Скачать обновления paint.net v.5.0.11 Внимание! Скачать обновления WhatsApp (Outdated) v.2.2320.1 Внимание! Скачать обновления Java 8 Update 181 (64-bit) v.8.0.1810.13 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u401-windows-x64.exe - Windows Offline (64-bit))^ Java 8 Update 181 v.8.0.1810.13 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u401-windows-i586.exe - Windows Offline)^ --------------------------- [ AdobeProduction ] --------------------------- Adobe Flash Player 32 PPAPI v.32.0.0.403 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее. ------------------------------- [ Browser ] ------------------------------- Google Chrome v.120.0.6099.227 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О браузере Google Chrome!^ Microsoft Edge v.120.0.2210.144 Внимание! Скачать обновления ^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^ O&O Defrag Professional v.23.0.3094 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция Изменено 27 января пользователем safety Ссылка на сообщение Поделиться на другие сайты
safety 125 Опубликовано 27 января Share Опубликовано 27 января Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского". Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения