Подозрительный процесс при старте системы

13 июля, 2016

При старте системы в диспетчере задач появляется процесс с разными именами (каждый раз новый) "5F818406-0FEE-B26D-5A8A-DED198045F12.exe[/size]" или "1B15C81B-DD1B-1E3B-547B-DD2420835ED9.exe".

В папке C:\Users\"пользователь"\AppData\Local\Temp\[/size]nsvB702.tmp находится этот файл, докачиваются еще 4 :Crypto.dll [/size]InetC.dll [/size]Registry.dll [/size]System.dll . [/size]

Подскажите что это за софт и как от него избавиться. Стоял Нод32, проверял [/size]Cureit, поставил пробную версию антивируса Касперского для Дома, никто не ругается.[/size]

CollectionLog-2016.07.11-07.24.zip

Изменено 13 июля, 2016 пользователем Sandor
Без указания не прикрепляйте подозрительные файлы.

13 июля, 2016

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\lb426\appdata\local\temp\nsa9bb4.tmp\f94b4b4a-6c31-ecd5-1a1e-c29b35bcf634.exe');
 QuarantineFile('c:\users\lb426\appdata\local\temp\nsa9bb4.tmp\f94b4b4a-6c31-ecd5-1a1e-c29b35bcf634.exe', '');
 QuarantineFile('C:\Users\LB426\AppData\Local\Temp\nsaB76E.tmp\System.dll', '');
 QuarantineFile('C:\Users\LB426\AppData\Local\Microsoft\Macromed\Flash Player\Updater Startup Utility\0D46EE5D-FFC8-4242-8AA4-4394CF36BFBC.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "A4C61A02D-4039-481A-A4C0-46CBEA57B6EF" /F', 0, 15000, true);
 DeleteFile('c:\users\lb426\appdata\local\temp\nsa9bb4.tmp\f94b4b4a-6c31-ecd5-1a1e-c29b35bcf634.exe', '32');
 DeleteFile('C:\Users\LB426\AppData\Local\Temp\nsaB76E.tmp\System.dll', '32');
 DeleteFile('C:\Users\LB426\AppData\Local\Microsoft\Macromed\Flash Player\Updater Startup Utility\0D46EE5D-FFC8-4242-8AA4-4394CF36BFBC.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','4C61A02D-4039-481A-A4C0-46CBEA57B6EF');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

13 июля, 2016

KLAN-4677388313

CollectionLog-2016.07.13-20.09.zip

13 июля, 2016

Скачайте AdwCleaner (by ToolsLib) и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

14 июля, 2016

В процессах при загрузке вроде пропали подозрительные сущности, за что большое спасибо. Хотелось бы узнать что за зверь то был.

AdwCleanerS1.txt

15 июля, 2016

Еще не все.

1.

Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Настройки и отметьте дополнительно:
- Сброс политик IE
- Сброс политик Chrome
Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Подозрительный процесс при старте системы

Рекомендуемые сообщения

Борис Мячиков

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Борис Мячиков

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Борис Мячиков

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum