Перейти к содержанию
Правила раздела

Подозрительные процессы

Spanden

Автор Spanden
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Rustem\AppData\Roaming\UPUpdata\service90132.exe','');
 QuarantineFile('C:\Users\Rustem\AppData\Roaming\UPUpdata\service72564.exe','');
 QuarantineFile('C:\Users\Rustem\AppData\Roaming\UPUpdata\msiql.exe','');
 QuarantineFile('C:\ProgramData\UltimateSecurityPackage\Aplotlab.dll','');
 DeleteService('nfileverbecultControlsdertatainniph.exe');
 QuarantineFile('C:\Program Files\Plufertnenule\nfileverbecultControlsdertatainniph.exe','');
 SetServiceStart('xomiboxozbt', 4);
 DeleteService('xomiboxozbt');
 SetServiceStart('UltimateSecurityPackage', 4);
 DeleteService('UltimateSecurityPackage');
 SetServiceStart('ProntSpooler', 4);
 DeleteService('ProntSpooler');
 QuarantineFile('C:\ProgramData\CloudPrinter\CloudPrinter.exe','');
 SetServiceStart('CloudPrinter', 4);
 DeleteService('CloudPrinter');
 SetServiceStart('AppxelfmuzyaH', 4);
 DeleteService('AppxelfmuzyaH');
 TerminateProcessByName('c:\programdata\ultimatesecuritypackage\ultimatesecuritypackage.exe');
 QuarantineFile('c:\programdata\ultimatesecuritypackage\ultimatesecuritypackage.exe','');
 TerminateProcessByName('c:\program files\74511fc0-1471498240-11d5-8bf6-90e6bac2a241\knsp913d.tmp');
 QuarantineFile('c:\program files\74511fc0-1471498240-11d5-8bf6-90e6bac2a241\knsp913d.tmp','');
 TerminateProcessByName('c:\programdata\cloudprinter\cloudprinter.exe');
 QuarantineFile('c:\programdata\cloudprinter\cloudprinter.exe','');
 QuarantineFile('c:\users\rustem\appdata\local\apps\2.0\abril.exe','');
 TerminateProcessByName('c:\users\rustem\appdata\local\apps\2.0\abril.exe');
 TerminateProcessByName('c:\programdata\appxelfmuzyah\appxelfmuzyah.exe');
 QuarantineFile('c:\programdata\appxelfmuzyah\appxelfmuzyah.exe','');
 DeleteFile('c:\programdata\appxelfmuzyah\appxelfmuzyah.exe','32');
 DeleteFile('c:\users\rustem\appdata\local\apps\2.0\abril.exe','32');
 DeleteFile('c:\programdata\cloudprinter\cloudprinter.exe','32');
 DeleteFile('c:\program files\74511fc0-1471498240-11d5-8bf6-90e6bac2a241\knsp913d.tmp','32');
 DeleteFile('c:\programdata\ultimatesecuritypackage\ultimatesecuritypackage.exe','32');
 DeleteFile('C:\ProgramData\CloudPrinter\CloudPrinter.exe','32');
 DeleteFile('C:\Program Files\Plufertnenule\nfileverbecultControlsdertatainniph.exe','32');
 DeleteFile('C:\ProgramData\UltimateSecurityPackage\Aplotlab.dll','32');
 DeleteFile('C:\Users\Rustem\AppData\Roaming\UPUpdata\msiql.exe','32');
 DeleteFile('C:\Users\Rustem\AppData\Roaming\UPUpdata\service72564.exe','32');
 DeleteFile('C:\Users\Rustem\AppData\Roaming\UPUpdata\service90132.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QGuan10in12','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QGuan10in1','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\msiql','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log из папки Autologger на ClearLNK как показано на рисунке

move.gif

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
Spanden

Spanden

Опубликовано
  • Автор
Опубликовано

[KLAN-4872577174]

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

service90132.exe

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

service72564.exe - Trojan.Win32.Vimditator.vrz

Детектирование файла будет добавлено в следующее обновление.

CollectionLog-2016.08.21-09.09.zip

ClearLNK-21.08.2016_08-55.log

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
AppInit_DLLs: C:\ProgramData\AppxelfmuzyaH\Saokix.dll => No File
GroupPolicy: Restriction - Chrome <======= ATTENTION
HKU\S-1-5-21-3258686118-2025189111-3318848143-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBKhl918K0qpwZ-sC_9-rPc_bK8FkE1o3ruesDfj8CHeUycylLN2UD9H3yBMkI9D_J2ORt-wA3xhLuB-co8yL-F7hZhqMoGdCcftyv0DnhQLbqCx1ABGpjZalLgTVMHiXCwatucmbxBO5PTmNNKXDv165jMbgL2A0fD68cfn7uJtDTVIi0EZTn4DK4,&q={searchTerms}
HKU\S-1-5-21-3258686118-2025189111-3318848143-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBKhl918K0qpwZ-sC_9-rPc_bK8FkE1o3ruesDfj8CHeUycylLN2UD9H3yBMkI9D_J2ORt-wA3xhLuB-co8yL-F7hZhqMZfIoKeHEOzv17FJ3YyosSf60VoGya2f0x1LTxoc0M9mhXuzpB9AA-TOlr4-m-HGJwIGSRHSYhjwVMadiazpxFz7VaEYR0,
HKU\S-1-5-21-3258686118-2025189111-3318848143-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBKhl918K0qpwZ-sC_9-rPc_bK8FkE1o3ruesDfj8CHeUycylLN2UD9H3yBMkI9D_J2ORt-wA3xhLuB-co8yL-F7hZhqMoGdCcftyv0DnhQLbqCx1ABGpjZalLgTVMHiXCwatucmbxBO5PTmNNKXDv165jMbgL2A0fD68cfn7uJtDTVIi0EZTn4DK4,&q={searchTerms}
HKU\S-1-5-21-3258686118-2025189111-3318848143-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBKhl918K0qpwZ-sC_9-rPc_bK8FkE1o3ruesDfj8CHeUycylLN2UD9H3yBMkI9D_J2ORt-wA3xhLuB-co8yL-F7hZhqMoGdCcftyv0DnhQLbqCx1ABGpjZalLgTVMHiXCwatucmbxBO5PTmNNKXDv165jMbgL2A0fD68cfn7uJtDTVIi0EZTn4DK4,&q={searchTerms}
SearchScopes: HKLM -> ielnksrch URL = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBKhl918K0qpwZ-sC_9-rPc_bK8FkE1o3ruesDfj8CHeUycylLN2UD9H3yBMkI9D_J2ORt-wA3xhLuB-co8yL-F7hZhqMoGdCcftyv0DnhQLbqCx1ABGpjZalLgTVMHiXCwatucmbxBO5PTmNNKXDv165jMbgL2A0fD68cfn7uJtDTVIi0EZTn4DK4,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3258686118-2025189111-3318848143-1000 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBKhl918K0qpwZ-sC_9-rPc_bK8FkE1o3ruesDfj8CHeUycylLN2UD9H3yBMkI9D_J2ORt-wA3xhLuB-co8yL-F7hZhqMoGdCcftyv0DnhQLbqCx1ABGpjZalLgTVMHiXCwatucmbxBO5PTmNNKXDv165jMbgL2A0fD68cfn7uJtDTVIi0EZTn4DK4,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3258686118-2025189111-3318848143-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxps://yandex.ru/search/?win=242&clid=2256028&text={searchTerms}
SearchScopes: HKU\S-1-5-21-3258686118-2025189111-3318848143-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuNBlZSWebrcVmfFD_Pfb5VtepRBM5FWOSwcp8dyXpo5RWpRiTTBpP5J_Ncs97ux4EW6venWWSrG3G1yYOGAjSMiU3eYKoZbyO-MZyPIEPKQddKguKqVpzX7TthnXJCVcHIt4O49gZn5Gsf0Of3cytxmwF5avi0&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3258686118-2025189111-3318848143-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBKhl918K0qpwZ-sC_9-rPc_bK8FkE1o3ruesDfj8CHeUycylLN2UD9H3yBMkI9D_J2ORt-wA3xhLuB-co8yL-F7hZhqMoGdCcftyv0DnhQLbqCx1ABGpjZalLgTVMHiXCwatucmbxBO5PTmNNKXDv165jMbgL2A0fD68cfn7uJtDTVIi0EZTn4DK4,&q={searchTerms}
CHR HKLM\...\Chrome\Extension: [ablpcikjmhamjanpibkccdmpoekjigja] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [cpegcopcfajiiibidlaelhjjblpefbjk] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [gdljkkmghdkckhaogaemgbgdfophkfco] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
S2 hedesyjezbt; C:\Program Files\74511FC0-1471498240-11D5-8BF6-90E6BAC2A241\knsk8146.tmp [X]
S2 hxYlfxul; C:\Program Files\WebShield\WebShield.exe [X]
S2 YGDEUHwa; C:\Program Files\WebShield\WebShield.exe [X]
2016-08-18 10:50 - 2016-08-13 09:45 - 00002394 _____ C:\Windows\system32\findit.xml
2016-08-18 10:35 - 2016-08-21 08:47 - 00000000 ____D C:\Users\Rustem\AppData\Roaming\UPUpdata
2016-08-14 10:09 - 2016-08-14 10:09 - 00000000 _____ C:\Windows\system32\Number of results
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Михаил Ш.
      Подозрительный сайт tonzz3.ru
      Автор Михаил Ш.
      Обнаружил у себя в кэше на сервере подозрительные записи.
      KES стоит, подозрительной активности не наблюдаю, так что вроде бы сервер в порядке.
      Но данных по сайту в интернете нет.
      Главная страница это явно инжектор скриптов, что в таком виде как сейчас явно намекает на нелегитимное использование.
      Возможно из KSN можно получить больше полезной информации? и в случае подтверждения опасений внести в базу.
       
      Имена:
      tonzz3.ru
      hit.tonzz3.ru
      hitcrypt.tonzz3.ru
       
      P.S. не нашёл подходящей темы и выбрал текущую. Помощь с сервером не нужна.
      Сообщение от модератора kmscom тема перемещена из раздела Помощь в удалении вирусов
    • Garguha
      [РЕШЕНО] Два dwm.exe процесса один из которых скрытый майнер
      Автор Garguha
      Заметил что в простое происходит сильный нагрев и съедается около 20% процессора. После поисков проблем обнаружил 2 dwm.exe процесса один из которых и берёт на себя нагрузку. После прочтения нескольких статей форума не смог лично разобраться в решении проблемы.
      CollectionLog-2025.07.18-20.40.zip
    • Nelidoff
      [РЕШЕНО] Второй процесс dmw.exe греет процессор
      Автор Nelidoff
      На днях обнаружил что процессор нагревается в простое. При открытии диспетчера задач процессор остывает. Проверил ПК разными антивирусными программами, проблема сохраняется. Один антивирус начал все время показывать сообщение о блокировании исходящего трафика от файла C:\Windows\system32\dmw.exe .Через ProcessKiller увидел два процесса dmw.exe. При закрытии одного из них, того что с подробным адресом C:\Windows\system32\dmw.exe процессор остывает. Обновил windows но это ничего не дало. 
      CollectionLog-2025.07.15-16.59.zip
    • KL FC Bot
      57 подозрительных расширений Chrome с миллионами установок | Блог Касперского
      Автор KL FC Bot
      В официальном магазине Chrome Web Store исследователи кибербезопасности обнаружили 57 подозрительных расширений более чем с 6 000 000 пользователей. Эти плагины привлекли внимание исследователей из-за того, что разрешения, которые они запрашивают, не соответствуют заявленным функциям.
      К тому же эти расширения скрыты от индексирования — они не отображаются в результатах поиска в Chrome Web Store и их не находят поисковые системы. Для установки такого плагина необходимо иметь прямую ссылку на него в магазине Chrome. В нашем посте расскажем подробно, почему расширения могут быть опасным инструментом в руках киберпреступников, в чем состоит угроза непосредственно от недавно обнаруженных подозрительных плагинов и как не стать жертвой их создателей.
      Чем опасны расширения и как удобство ставит под угрозу безопасность
      Мы уже не раз рассказывали о том, почему к установке браузерных расширений не стоит относиться легкомысленно. Плагины для браузеров часто помогают пользователям ускорить рутинные задачи — например, перевод информации на посещаемых сайтах или же проверку грамотности написанного текста. Однако за сэкономленные минуты нередко приходится платить собственной приватностью и безопасностью.
      Дело в том, что для эффективной работы расширениям, как правило, необходимо иметь широкий доступ ко всему, что делает пользователь в браузере. Например, даже «Google Переводчик» для своей работы просит доступ к «Просмотру и изменению данных на всех сайтах» — то есть он может не только наблюдать за всем, что делает пользователь в Интернете, но и изменять любую отображаемую на странице информацию. Например, в случае переводчика, подставлять переведенный текст вместо оригинального. А теперь представьте, что может сделать вредоносное расширение с таким уровнем доступа!
      Проблема еще и в том, что большинство пользователей не особенно задумывается о потенциальной опасности плагинов. Если исполняемых файлов из непроверенных источников многие уже привыкли опасаться, то от браузерных расширений, да к тому же загруженных из официального магазина, обычно никто не ждет подвоха.
       
      View the full article
    • Sergant1983
      Появился процесс "Телефон Microsoft Windows" нагружающий процессор и оператику.
      Автор Sergant1983
      Добрый день.Стал замечать падение производительности ПК в играх. В программе Advanced SystemCare в мониторе производительности увидел процесс Телефон Microsoft Windows сильно грузящий оперативку и процессор.В диспетчере задач этого процесса нет,и при открытии диспетчера задач,заметил,что этот процесс может исчезнуть,но потом все равно выскакивает.При закрытии этото процесса вылетает Синий экран!
      CollectionLog-2025.06.16-00.50.zip
×
×
  • Создать...