Перейти к содержанию
Правила раздела
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Помощь в удалении dph:process.hollowing.ep

Anastasiia

Автор Anastasiia
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Anastasiia

Anastasiia

Опубликовано
Опубликовано (изменено)

Сканировала DR.WEB Curelt!, вылезло dph:process.hollowing.ep - сканер не лечить, пишет ошибку. У меня начался нервяк, ибо на форумах пишут сноси винду... Но я нашла, что здесь человеку помогли. Я конечно не шарю в таких процессах которые там описали, но если кто то откликнется- приложу все усилия чтобы понять т__т  Не могу сказать что комп тормозит. Не вылетает, не зацикливается ( а хотя...).  Опять запустила проверку и надо еще ждать около часа чтобы сканер его нашел. НО я точно помню там было dph:process.hollowing.ep.....dllhost.exe

Изменено пользователем Anastasiia
safety

safety

Опубликовано
Опубликовано

Нужны логи по правилам данного раздела

+

Добавьте дополнительно образ автозапуска с отслеживанием процессов и задач.

 

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

 

  • Спасибо (+1) 1
Anastasiia

Anastasiia

Опубликовано
  • Автор
Опубликовано
5 часов назад, safety сказал:

Нужны логи по правилам данного раздела

+

Добавьте дополнительно образ автозапуска с отслеживанием процессов и задач.

 

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

 

Надеюсь я все сделала правильно.

CollectionLog-2026.03.25-16.43.zip BIRILLO_2026-03-25_16-50-39_v5.0.5v x64.7z

Sandor

Sandor

Опубликовано
Опубликовано
7 часов назад, Anastasiia сказал:

Сканировала DR.WEB Curelt!

Найдите дополнительно его отчёт в виде файла cureit.log

Обычно в папке профиля должен быть. Упакуйте в архив и прикрепите.

Также упакуйте в архив папку C:\KVRT2020_Data\Reports и тоже прикрепите.

 

Дождитесь ответа @safety

  • Спасибо (+1) 1
Anastasiia

Anastasiia

Опубликовано
  • Автор
Опубликовано

Поняла, ожидаю, спасибо за отзывчивость. Прикрепляю все что просили. 

 

Dr.Web находил dph:process.hollowing.ep, потом оно исчезло когда я сканировала еще раз. KVRT2020 не нашел  dph:process.hollowing.ep, но нашел троян. Я так понимаю в логах будет видно.

cureit.zip Reports.zip

safety

safety

Опубликовано
Опубликовано (изменено)

Что нашел KVRT

            <Event1 Action="Detect" Time="134189061280344940" Object="System Memory" Info="Trojan.Multi.BroSubsc.gen" />

Описание детекта.

 

Цитата

Зловреды этого семейства устанавливаются в браузеры обманным путём на мошеннических и рекламных ресурсах и показывают рекламные уведомления, даже если окно браузера не активно.

 

https://threats.kaspersky.com/ru/threat/Trojan.Multi.BroSubsc/

 

По очистке системы:

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу uVS без перезагрузкой системы 

;uVS v5.0.5v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
hide D:\LOGER\AUTOLOGGER\RSIT\RSITX64.EXE
;------------------------autoscript---------------------------

apply

deltmp
delref HTTPS://APP.RUNWAYML.COM:443,*
delref HTTPS://FLIPHTML5.COM:443,*
delref %SystemDrive%\PROGRAM FILES (X86)/WPS OFFICE/12.1.0.25225/OFFICE6\PROMECEFPLUGINHOST.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {2A39CB63-CC0C-4EDD-82D0-4559C5087670}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {A5A85624-037B-446E-9090-EEA49DFD5900}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {D37E99E3-20EB-4838-8BDF-89D0D35FF043}\[CLSID]
delref {E39B98A8-34A7-4D92-A979-920C48817670}\[CLSID]
delref {E6316651-CC1B-4FB9-A985-4796DC6B7670}\[CLSID]
delref {FFD2FD1F-C991-4A2F-8557-CDB11E277670}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\WPS OFFICE\12.1.0.16704\OFFICE6\ADDONS\KDESKTOPSHELLEXT\KDESKTOPSHELLEXT64.DLL
delref {4A47855F-8D41-43D0-BF75-CC3F15097100}\[CLSID]
delref %SystemDrive%\USERS\BIRIL\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.6.725\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\BIRIL\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.6.725\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\BIRIL\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.6.725\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\BIRIL\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.6.725\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\146.0.3856.62\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\146.0.3856.62\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\146.0.3856.62\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\146.0.3856.62\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\146.0.3856.62\RESOURCES\EDGE_FEEDBACK\ОТЗЫВЫ ОБ EDGE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\146.0.3856.62\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\146.0.3856.62\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\146.0.3856.62\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\146.0.3856.62\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref E:\SETUP.EXE
;-------------------------------------------------------------

restart

Далее:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте логи FRST для контроля

Изменено пользователем safety
Anastasiia

Anastasiia

Опубликовано
  • Автор
Опубликовано

прошла по ссылке  FRST , начала скачивать, и вылезло это...мне теперь заново сканировать систему? какой то страшный он

лог из uVS прикрепила

Снимок экрана (144).png

2026-03-25_18-13-10_log.txt

Anastasiia

Anastasiia

Опубликовано
  • Автор
Опубликовано (изменено)

аналогичная ситуация, дефендер нашел trojan wacatac....

у програмы схожин процесы как у вируса? по этому ругается?

 

* хотя virus total yt не нашел его в раре....

 

Изменено пользователем Anastasiia
Sandor

Sandor

Опубликовано
Опубликовано

Временно отключите Защитник. Программа вчера была обновлена, поэтому он и ругается.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...