Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Подозрительные процессы

Spanden

Автор Spanden
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Rustem\AppData\Roaming\UPUpdata\service90132.exe','');
 QuarantineFile('C:\Users\Rustem\AppData\Roaming\UPUpdata\service72564.exe','');
 QuarantineFile('C:\Users\Rustem\AppData\Roaming\UPUpdata\msiql.exe','');
 QuarantineFile('C:\ProgramData\UltimateSecurityPackage\Aplotlab.dll','');
 DeleteService('nfileverbecultControlsdertatainniph.exe');
 QuarantineFile('C:\Program Files\Plufertnenule\nfileverbecultControlsdertatainniph.exe','');
 SetServiceStart('xomiboxozbt', 4);
 DeleteService('xomiboxozbt');
 SetServiceStart('UltimateSecurityPackage', 4);
 DeleteService('UltimateSecurityPackage');
 SetServiceStart('ProntSpooler', 4);
 DeleteService('ProntSpooler');
 QuarantineFile('C:\ProgramData\CloudPrinter\CloudPrinter.exe','');
 SetServiceStart('CloudPrinter', 4);
 DeleteService('CloudPrinter');
 SetServiceStart('AppxelfmuzyaH', 4);
 DeleteService('AppxelfmuzyaH');
 TerminateProcessByName('c:\programdata\ultimatesecuritypackage\ultimatesecuritypackage.exe');
 QuarantineFile('c:\programdata\ultimatesecuritypackage\ultimatesecuritypackage.exe','');
 TerminateProcessByName('c:\program files\74511fc0-1471498240-11d5-8bf6-90e6bac2a241\knsp913d.tmp');
 QuarantineFile('c:\program files\74511fc0-1471498240-11d5-8bf6-90e6bac2a241\knsp913d.tmp','');
 TerminateProcessByName('c:\programdata\cloudprinter\cloudprinter.exe');
 QuarantineFile('c:\programdata\cloudprinter\cloudprinter.exe','');
 QuarantineFile('c:\users\rustem\appdata\local\apps\2.0\abril.exe','');
 TerminateProcessByName('c:\users\rustem\appdata\local\apps\2.0\abril.exe');
 TerminateProcessByName('c:\programdata\appxelfmuzyah\appxelfmuzyah.exe');
 QuarantineFile('c:\programdata\appxelfmuzyah\appxelfmuzyah.exe','');
 DeleteFile('c:\programdata\appxelfmuzyah\appxelfmuzyah.exe','32');
 DeleteFile('c:\users\rustem\appdata\local\apps\2.0\abril.exe','32');
 DeleteFile('c:\programdata\cloudprinter\cloudprinter.exe','32');
 DeleteFile('c:\program files\74511fc0-1471498240-11d5-8bf6-90e6bac2a241\knsp913d.tmp','32');
 DeleteFile('c:\programdata\ultimatesecuritypackage\ultimatesecuritypackage.exe','32');
 DeleteFile('C:\ProgramData\CloudPrinter\CloudPrinter.exe','32');
 DeleteFile('C:\Program Files\Plufertnenule\nfileverbecultControlsdertatainniph.exe','32');
 DeleteFile('C:\ProgramData\UltimateSecurityPackage\Aplotlab.dll','32');
 DeleteFile('C:\Users\Rustem\AppData\Roaming\UPUpdata\msiql.exe','32');
 DeleteFile('C:\Users\Rustem\AppData\Roaming\UPUpdata\service72564.exe','32');
 DeleteFile('C:\Users\Rustem\AppData\Roaming\UPUpdata\service90132.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QGuan10in12','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QGuan10in1','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\msiql','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log из папки Autologger на ClearLNK как показано на рисунке

move.gif

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
Spanden

Spanden

Опубликовано
  • Автор
Опубликовано

[KLAN-4872577174]

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

service90132.exe

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

service72564.exe - Trojan.Win32.Vimditator.vrz

Детектирование файла будет добавлено в следующее обновление.

CollectionLog-2016.08.21-09.09.zip

ClearLNK-21.08.2016_08-55.log

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
AppInit_DLLs: C:\ProgramData\AppxelfmuzyaH\Saokix.dll => No File
GroupPolicy: Restriction - Chrome <======= ATTENTION
HKU\S-1-5-21-3258686118-2025189111-3318848143-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBKhl918K0qpwZ-sC_9-rPc_bK8FkE1o3ruesDfj8CHeUycylLN2UD9H3yBMkI9D_J2ORt-wA3xhLuB-co8yL-F7hZhqMoGdCcftyv0DnhQLbqCx1ABGpjZalLgTVMHiXCwatucmbxBO5PTmNNKXDv165jMbgL2A0fD68cfn7uJtDTVIi0EZTn4DK4,&q={searchTerms}
HKU\S-1-5-21-3258686118-2025189111-3318848143-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBKhl918K0qpwZ-sC_9-rPc_bK8FkE1o3ruesDfj8CHeUycylLN2UD9H3yBMkI9D_J2ORt-wA3xhLuB-co8yL-F7hZhqMZfIoKeHEOzv17FJ3YyosSf60VoGya2f0x1LTxoc0M9mhXuzpB9AA-TOlr4-m-HGJwIGSRHSYhjwVMadiazpxFz7VaEYR0,
HKU\S-1-5-21-3258686118-2025189111-3318848143-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBKhl918K0qpwZ-sC_9-rPc_bK8FkE1o3ruesDfj8CHeUycylLN2UD9H3yBMkI9D_J2ORt-wA3xhLuB-co8yL-F7hZhqMoGdCcftyv0DnhQLbqCx1ABGpjZalLgTVMHiXCwatucmbxBO5PTmNNKXDv165jMbgL2A0fD68cfn7uJtDTVIi0EZTn4DK4,&q={searchTerms}
HKU\S-1-5-21-3258686118-2025189111-3318848143-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBKhl918K0qpwZ-sC_9-rPc_bK8FkE1o3ruesDfj8CHeUycylLN2UD9H3yBMkI9D_J2ORt-wA3xhLuB-co8yL-F7hZhqMoGdCcftyv0DnhQLbqCx1ABGpjZalLgTVMHiXCwatucmbxBO5PTmNNKXDv165jMbgL2A0fD68cfn7uJtDTVIi0EZTn4DK4,&q={searchTerms}
SearchScopes: HKLM -> ielnksrch URL = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBKhl918K0qpwZ-sC_9-rPc_bK8FkE1o3ruesDfj8CHeUycylLN2UD9H3yBMkI9D_J2ORt-wA3xhLuB-co8yL-F7hZhqMoGdCcftyv0DnhQLbqCx1ABGpjZalLgTVMHiXCwatucmbxBO5PTmNNKXDv165jMbgL2A0fD68cfn7uJtDTVIi0EZTn4DK4,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3258686118-2025189111-3318848143-1000 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBKhl918K0qpwZ-sC_9-rPc_bK8FkE1o3ruesDfj8CHeUycylLN2UD9H3yBMkI9D_J2ORt-wA3xhLuB-co8yL-F7hZhqMoGdCcftyv0DnhQLbqCx1ABGpjZalLgTVMHiXCwatucmbxBO5PTmNNKXDv165jMbgL2A0fD68cfn7uJtDTVIi0EZTn4DK4,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3258686118-2025189111-3318848143-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxps://yandex.ru/search/?win=242&clid=2256028&text={searchTerms}
SearchScopes: HKU\S-1-5-21-3258686118-2025189111-3318848143-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuNBlZSWebrcVmfFD_Pfb5VtepRBM5FWOSwcp8dyXpo5RWpRiTTBpP5J_Ncs97ux4EW6venWWSrG3G1yYOGAjSMiU3eYKoZbyO-MZyPIEPKQddKguKqVpzX7TthnXJCVcHIt4O49gZn5Gsf0Of3cytxmwF5avi0&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3258686118-2025189111-3318848143-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBKhl918K0qpwZ-sC_9-rPc_bK8FkE1o3ruesDfj8CHeUycylLN2UD9H3yBMkI9D_J2ORt-wA3xhLuB-co8yL-F7hZhqMoGdCcftyv0DnhQLbqCx1ABGpjZalLgTVMHiXCwatucmbxBO5PTmNNKXDv165jMbgL2A0fD68cfn7uJtDTVIi0EZTn4DK4,&q={searchTerms}
CHR HKLM\...\Chrome\Extension: [ablpcikjmhamjanpibkccdmpoekjigja] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [cpegcopcfajiiibidlaelhjjblpefbjk] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [gdljkkmghdkckhaogaemgbgdfophkfco] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
S2 hedesyjezbt; C:\Program Files\74511FC0-1471498240-11D5-8BF6-90E6BAC2A241\knsk8146.tmp [X]
S2 hxYlfxul; C:\Program Files\WebShield\WebShield.exe [X]
S2 YGDEUHwa; C:\Program Files\WebShield\WebShield.exe [X]
2016-08-18 10:50 - 2016-08-13 09:45 - 00002394 _____ C:\Windows\system32\findit.xml
2016-08-18 10:35 - 2016-08-21 08:47 - 00000000 ____D C:\Users\Rustem\AppData\Roaming\UPUpdata
2016-08-14 10:09 - 2016-08-14 10:09 - 00000000 _____ C:\Windows\system32\Number of results
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Garguha
      [РЕШЕНО] Два dwm.exe процесса один из которых скрытый майнер
      Автор Garguha
      Заметил что в простое происходит сильный нагрев и съедается около 20% процессора. После поисков проблем обнаружил 2 dwm.exe процесса один из которых и берёт на себя нагрузку. После прочтения нескольких статей форума не смог лично разобраться в решении проблемы.
      CollectionLog-2025.07.18-20.40.zip
    • Nelidoff
      [РЕШЕНО] Второй процесс dmw.exe греет процессор
      Автор Nelidoff
      На днях обнаружил что процессор нагревается в простое. При открытии диспетчера задач процессор остывает. Проверил ПК разными антивирусными программами, проблема сохраняется. Один антивирус начал все время показывать сообщение о блокировании исходящего трафика от файла C:\Windows\system32\dmw.exe .Через ProcessKiller увидел два процесса dmw.exe. При закрытии одного из них, того что с подробным адресом C:\Windows\system32\dmw.exe процессор остывает. Обновил windows но это ничего не дало. 
      CollectionLog-2025.07.15-16.59.zip
    • KL FC Bot
      57 подозрительных расширений Chrome с миллионами установок | Блог Касперского
      Автор KL FC Bot
      В официальном магазине Chrome Web Store исследователи кибербезопасности обнаружили 57 подозрительных расширений более чем с 6 000 000 пользователей. Эти плагины привлекли внимание исследователей из-за того, что разрешения, которые они запрашивают, не соответствуют заявленным функциям.
      К тому же эти расширения скрыты от индексирования — они не отображаются в результатах поиска в Chrome Web Store и их не находят поисковые системы. Для установки такого плагина необходимо иметь прямую ссылку на него в магазине Chrome. В нашем посте расскажем подробно, почему расширения могут быть опасным инструментом в руках киберпреступников, в чем состоит угроза непосредственно от недавно обнаруженных подозрительных плагинов и как не стать жертвой их создателей.
      Чем опасны расширения и как удобство ставит под угрозу безопасность
      Мы уже не раз рассказывали о том, почему к установке браузерных расширений не стоит относиться легкомысленно. Плагины для браузеров часто помогают пользователям ускорить рутинные задачи — например, перевод информации на посещаемых сайтах или же проверку грамотности написанного текста. Однако за сэкономленные минуты нередко приходится платить собственной приватностью и безопасностью.
      Дело в том, что для эффективной работы расширениям, как правило, необходимо иметь широкий доступ ко всему, что делает пользователь в браузере. Например, даже «Google Переводчик» для своей работы просит доступ к «Просмотру и изменению данных на всех сайтах» — то есть он может не только наблюдать за всем, что делает пользователь в Интернете, но и изменять любую отображаемую на странице информацию. Например, в случае переводчика, подставлять переведенный текст вместо оригинального. А теперь представьте, что может сделать вредоносное расширение с таким уровнем доступа!
      Проблема еще и в том, что большинство пользователей не особенно задумывается о потенциальной опасности плагинов. Если исполняемых файлов из непроверенных источников многие уже привыкли опасаться, то от браузерных расширений, да к тому же загруженных из официального магазина, обычно никто не ждет подвоха.
       
      View the full article
    • Snak3EyeS92
      Подозрительная сетевая активность
      Автор Snak3EyeS92
      Некоторое время назад стал наблюдать исходящее сетевое соединение от проводника на мониторе сетевой активности Kaspersky Internet Security. Раньше подобного не замечал. Появляется оно после перезагрузки системы. Проверял внешние IP, на которые идет соединение в Virus Total. Выдавалось вот такое: AS 8075 MICROSOFT-CORP-MSN-AS-BLOCK. К одному из этих IP были комментарии "Malware" и "Bot". Естественно возникли подозрения на вирус или взлом. Проверял компьютер как KIS, так и другими антивирусами, отправлял логи в поддержку Касперского и в соседний форум по помощи с удалением вирусов. В итоге почистил систему от мусора, а подозрений на заражение не было обнаружено. Но проблема остается. Посоветовали обратиться сюда. Остались опасения, что это может быть или глубоко спрятавшийся вирус/шпион/малварь/бот, или следы взлома. Хочу обновиться до Windows 10 с полным удалением данных старой системы, но сперва хочется понять что это вообще за соединение, и чем вызвано такое поведение проводника, если это не вирус. Ну и убедиться, что могу безопасно сохранить некоторые нужные данные на внешние носители или хотя бы в облако перед обновлением системы.
      Ссылка на предыдущую тему:
       
    • Sergant1983
      Появился процесс "Телефон Microsoft Windows" нагружающий процессор и оператику.
      Автор Sergant1983
      Добрый день.Стал замечать падение производительности ПК в играх. В программе Advanced SystemCare в мониторе производительности увидел процесс Телефон Microsoft Windows сильно грузящий оперативку и процессор.В диспетчере задач этого процесса нет,и при открытии диспетчера задач,заметил,что этот процесс может исчезнуть,но потом все равно выскакивает.При закрытии этото процесса вылетает Синий экран!
      CollectionLog-2025.06.16-00.50.zip
×
×
  • Создать...