Перейти к содержанию
Правила раздела

Подозрительный процесс при старте системы

Борис Мячиков

Автор Борис Мячиков
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Борис Мячиков

Борис Мячиков

Опубликовано
Опубликовано (изменено)

При старте системы в диспетчере задач появляется процесс с разными именами (каждый раз новый) "5F818406-0FEE-B26D-5A8A-DED198045F12.exe[/size]" или "1B15C81B-DD1B-1E3B-547B-DD2420835ED9.exe".

     В папке C:\Users\"пользователь"\AppData\Local\Temp\[/size]nsvB702.tmp находится этот файл, докачиваются еще 4 :Crypto.dll  [/size]InetC.dll  [/size]Registry.dll  [/size]System.dll . [/size]

Подскажите что это за софт и как от него избавиться. Стоял Нод32, проверял [/size]Cureit, поставил пробную версию антивируса Касперского для Дома, никто не ругается.[/size]

CollectionLog-2016.07.11-07.24.zip

Изменено пользователем Sandor
Без указания не прикрепляйте подозрительные файлы.
Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\lb426\appdata\local\temp\nsa9bb4.tmp\f94b4b4a-6c31-ecd5-1a1e-c29b35bcf634.exe');
 QuarantineFile('c:\users\lb426\appdata\local\temp\nsa9bb4.tmp\f94b4b4a-6c31-ecd5-1a1e-c29b35bcf634.exe', '');
 QuarantineFile('C:\Users\LB426\AppData\Local\Temp\nsaB76E.tmp\System.dll', '');
 QuarantineFile('C:\Users\LB426\AppData\Local\Microsoft\Macromed\Flash Player\Updater Startup Utility\0D46EE5D-FFC8-4242-8AA4-4394CF36BFBC.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "A4C61A02D-4039-481A-A4C0-46CBEA57B6EF" /F', 0, 15000, true);
 DeleteFile('c:\users\lb426\appdata\local\temp\nsa9bb4.tmp\f94b4b4a-6c31-ecd5-1a1e-c29b35bcf634.exe', '32');
 DeleteFile('C:\Users\LB426\AppData\Local\Temp\nsaB76E.tmp\System.dll', '32');
 DeleteFile('C:\Users\LB426\AppData\Local\Microsoft\Macromed\Flash Player\Updater Startup Utility\0D46EE5D-FFC8-4242-8AA4-4394CF36BFBC.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','4C61A02D-4039-481A-A4C0-46CBEA57B6EF');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано
  • Скачайте AdwCleaner (by ToolsLib) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
Борис Мячиков

Борис Мячиков

Опубликовано
  • Автор
Опубликовано

В процессах при загрузке вроде пропали подозрительные сущности, за что большое спасибо. Хотелось бы узнать что за зверь то был.

AdwCleanerS1.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Еще не все.

1.

  • Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Настройки и отметьте дополнительно:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Михаил Ш.
      Подозрительный сайт tonzz3.ru
      Автор Михаил Ш.
      Обнаружил у себя в кэше на сервере подозрительные записи.
      KES стоит, подозрительной активности не наблюдаю, так что вроде бы сервер в порядке.
      Но данных по сайту в интернете нет.
      Главная страница это явно инжектор скриптов, что в таком виде как сейчас явно намекает на нелегитимное использование.
      Возможно из KSN можно получить больше полезной информации? и в случае подтверждения опасений внести в базу.
       
      Имена:
      tonzz3.ru
      hit.tonzz3.ru
      hitcrypt.tonzz3.ru
       
      P.S. не нашёл подходящей темы и выбрал текущую. Помощь с сервером не нужна.
      Сообщение от модератора kmscom тема перемещена из раздела Помощь в удалении вирусов
    • Илья X-trail
      [РЕШЕНО] черезмерный расход трафика, зависание системы
      Автор Илья X-trail
      Здраствуйте, помогите пожалуйста.
      Компьютер сам по себе стал тратить слишком много трафика, даже в режиме простоя.
      Так же наблюдается общее зависание системы, которое немног опропадает при открытии диспетчера задач.
      CollectionLog-2025.08.19-17.51.zip
    • Anov
      SGRC системы для мультинационального бизнеса
      Автор Anov
      Единственные системы класса Security Governance, Risk & Compliance, которые я знаю, имеют довольно узкий функционал, потому что покрывают обычно только одну страну.
       
      Многие страны не приняли Будапештскую конвенцию по кибер преступлениям и развивают собственное регулирование национальных сегментов Интернета. В результате появились требования, например, к локализации хранения персональных данных с ограничениями на трансграничную передачу. Такое регулирование есть уже в России, Казахстане, Узбекистане.
       
      Появились даже сайты, которые пытаются отслеживать изменения в законах об обработке персональных данных различных стран.
       
      Однако понятно, что законами о персональных данных регулирование ИТ сферы едва ли может ограничиваться. Потому что та же локализация хранения требует дополнительного уточнения требований, связанных, например, с местными национальными стандартами шифрования данных и тд.
       
      Поскольку национальные власти различных стран требуют также сообщать о фактах утечки персональных данных в течение 1-3 дней, то сразу возникает вопрос: кому и куда писать в случае утечки? Едва ли контактные данные регуляторов являются частью любой SGRC системы, а хотелось бы..
       
      Мне любопытно, существуют ли какие-то решения класса SGRC для мультинациональных корпораций, бизнес-операции которых связаны не с одной конкретной, а множеством разных стран?
       
      Сразу добавлю, что меня не интересуют SGRC решения, предлагающие лишь удобство доступа к санкционным черным спискам (типа списка OFAC). Заранее благодарю за рекомендации.
       
       
       
    • Garguha
      [РЕШЕНО] Два dwm.exe процесса один из которых скрытый майнер
      Автор Garguha
      Заметил что в простое происходит сильный нагрев и съедается около 20% процессора. После поисков проблем обнаружил 2 dwm.exe процесса один из которых и берёт на себя нагрузку. После прочтения нескольких статей форума не смог лично разобраться в решении проблемы.
      CollectionLog-2025.07.18-20.40.zip
    • Nelidoff
      [РЕШЕНО] Второй процесс dmw.exe греет процессор
      Автор Nelidoff
      На днях обнаружил что процессор нагревается в простое. При открытии диспетчера задач процессор остывает. Проверил ПК разными антивирусными программами, проблема сохраняется. Один антивирус начал все время показывать сообщение о блокировании исходящего трафика от файла C:\Windows\system32\dmw.exe .Через ProcessKiller увидел два процесса dmw.exe. При закрытии одного из них, того что с подробным адресом C:\Windows\system32\dmw.exe процессор остывает. Обновил windows но это ничего не дало. 
      CollectionLog-2025.07.15-16.59.zip
×
×
  • Создать...