Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Вирус Vofer2.exe, процессы pythonw, CPUNetfilter.exe

RaitanNMZ

Автор RaitanNMZ
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

RaitanNMZ

RaitanNMZ

Опубликовано
Опубликовано (изменено)

Добрый день, никак не могу решить проблему с вирусом на своем компьютере. Где то 1 месяц назад я скачивал 1 приложение, проверял его, галочки при установке все убрал, вроде все нормально. Затем после его удаления (установщиков этого приложения не осталось), начались проблемы с браузером Google Chrome, при пойске в Google открывался яндекс, и при пойске в других системах тоже, при пойске в яндексе открывался simple-search, на стартовой странице был ya.ru, хотя стоял гугл в настройках, Youtube стал странно запускаться при запуске видео он открывал его через другой видеопроигрыватель или писал что "Youtube не распознает ни один из доступных видеоформатов. Затем chrome перестал запускаться "запуск программы невозможен, так как на компьютере отсутствует chrome_elf.dll. Попробуйте переустановить программу." либо что у меня нету доступа. В диспетчере появилось много процессов pythonw, которые ссылаются на папки с программой Vofer2.exe. Затем Windows стал запускаться от временного пользователя, и на свою учетную запись зайти не мог (но это я уже решил и больше такого не наблюдалось). Стала тормозить мышь практически невозможно управлять, в играх ставлю очень высокую чувствительность. После того как я убирал процессы pythonw и удалял Vofer2, то какое то время все работало нормально, но после перезагрузки все снова возвращалось, но даже после удаления процессов мышь тормозила. Чуть позже браузер стал самооткрыватся в режиме инкогнито, и создавал новые профили Chome. Сейчас стала открываться командная строка при запуске компьютера с программой CPUNetfilter и в папке с Vofer2.exe появился CPUNetfilter.exe и компьютер стал тормоить через раз. Удаление процессов больше не помогает решить проблему даже на пару минут. Проверял систему Malwarebytes, Kaspersky Virus Removal Tool, CureIt, каждый находил кучу вирусов или подозрительных файлов и удалял их, но после перезагрузки все начаналось по новой.

 

Прошу о помощи в лечении.

,

CollectionLog-2017.04.28-22.20.zip

Изменено пользователем RaitanNMZ
Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Матвей\AppData\Roaming\Vofer2\updater.py','');
 QuarantineFile('C:\Users\Матвей\AppData\Roaming\SearchAY\app.py','');
 QuarantineFile('C:\Users\Матвей\AppData\Roaming\CDManager\updater.py','');
 QuarantineFile('C:\Users\Роман\AppData\Roaming\Vofer2\python\pythonw.exe','');
 QuarantineFile('C:\Users\Роман\AppData\Roaming\CDManager\python\pythonw.exe','');
 QuarantineFile('C:\Users\Матвей\AppData\Roaming\CDManager\ml.py','');
 QuarantineFile('C:\Users\Матвей\AppData\Roaming\SearchAY\ml.py','');
 QuarantineFile('C:\Users\Матвей\AppData\Roaming\SearchAY\python\pythonw.exe','');
 QuarantineFile('C:\Users\71C7~1\AppData\Roaming\CPUNET~1\stmi.py','');
 QuarantineFile('C:\Users\Матвей\AppData\Roaming\Vofer2\ml.py','');
 QuarantineFile('C:\Users\Матвей\AppData\Roaming\Vofer2\IQmanager\ml.py','');
 TerminateProcessByName('C:\Users\71C7~1\AppData\Roaming\CPUNET~1\snasx.exe');
 QuarantineFile('C:\Users\71C7~1\AppData\Roaming\CPUNET~1\snasx.exe','');
 DeleteFile('C:\Users\71C7~1\AppData\Roaming\CPUNET~1\snasx.exe','32');
 DeleteFile('C:\Users\Матвей\AppData\Roaming\Vofer2\IQmanager\ml.py','32');
 DeleteFile('C:\Users\Матвей\AppData\Roaming\Vofer2\ml.py','32');
 DeleteFile('C:\Users\71C7~1\AppData\Roaming\CPUNET~1\stmi.py','32');
 DeleteFile('C:\Users\Матвей\AppData\Roaming\SearchAY\python\pythonw.exe','32');
 DeleteFile('C:\Users\Матвей\AppData\Roaming\SearchAY\ml.py','32');
 DeleteFile('C:\Users\Матвей\AppData\Roaming\CDManager\ml.py','32');
 DeleteFile('C:\Users\Роман\AppData\Roaming\CDManager\python\pythonw.exe','32');
 DeleteFile('C:\Users\Роман\AppData\Roaming\Vofer2\python\pythonw.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\CDManager','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\CDManager2','64');
 DeleteFile('C:\Users\Матвей\AppData\Roaming\CDManager\updater.py','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\IQmanager','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\SearchAY2','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Vofer2','64');
 DeleteFile('C:\Users\Матвей\AppData\Roaming\SearchAY\app.py','32');
 DeleteFile('C:\Users\Матвей\AppData\Roaming\Vofer2\updater.py','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\Vofer22','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

Ссылка на комментарий
Поделиться на другие сайты
regist

regist

Опубликовано
Опубликовано (изменено)

Здравствуйте!

 

1)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

2) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Матвей\AppData\Roaming\SearchAY\python\pythonw.exe', '');
 QuarantineFile('C:\Users\Матвей\AppData\Roaming\SearchAY\ml.py', '');
 QuarantineFile('C:\Users\Матвей\AppData\Roaming\Vofer2\IQmanager\ml.py', '');
 QuarantineFile('C:\Users\Матвей\AppData\Roaming\Vofer2\ml.py', '');
 QuarantineFile('C:\Users\Роман\AppData\Roaming\Vofer2\python\pythonw.exe', '');
 QuarantineFileF('c:\users\матвей\appdata\roaming\searchay', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\users\матвей\appdata\roaming\vofer2', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\users\роман\appdata\roaming\vofer2', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('C:\Users\Матвей\AppData\Roaming\SearchAY\python\pythonw.exe', '32');
 DeleteFile('C:\Users\Матвей\AppData\Roaming\SearchAY\ml.py', '32');
 DeleteFile('C:\Users\Матвей\AppData\Roaming\Vofer2\IQmanager\ml.py', '32');
 DeleteFile('C:\Users\Матвей\AppData\Roaming\Vofer2\ml.py', '32');
 DeleteFile('C:\Users\Роман\AppData\Roaming\Vofer2\python\pythonw.exe', '32');
 DeleteFileMask('c:\users\матвей\appdata\roaming\searchay', '*', true);
 DeleteFileMask('c:\users\матвей\appdata\roaming\vofer2', '*', true);
 DeleteFileMask('c:\users\роман\appdata\roaming\vofer2', '*', true);
 DeleteDirectory('c:\users\матвей\appdata\roaming\searchay');
 DeleteDirectory('c:\users\матвей\appdata\roaming\vofer2');
 DeleteDirectory('c:\users\роман\appdata\roaming\vofer2');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-3835959178-1744398173-3292196236-1006\Software\Microsoft\Windows\CurrentVersion\Run', 'SearchAY');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-3835959178-1744398173-3292196236-1006\Software\Microsoft\Windows\CurrentVersion\Run', 'IQmanager');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-3835959178-1744398173-3292196236-1006\Software\Microsoft\Windows\CurrentVersion\Run', 'Vofer2');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.


3) - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

4) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

 

5)

Skype Click to Call [20161025]-->MsiExec.exe /I{873F8E7C-10E6-449F-BD7E-5FBA7C8E1C9B}

Советую деинсталировать.

Unity Web Player (x64) (All users) [2016/09/23 15:19:22]-->C:\Program Files\Unity\WebPlayer64\Uninstall.exe /AllUsers
Uplay [2017/04/03 16:13:42]-->D:\Matthew Games\Ubisoft Game Launcher\Uninstall.exe

Если сами не ставили/не используете, то тоже.

6)  Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

 

7)

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
  • Прикрепите отчет к своему следующему сообщению.


Подробнее читайте в этом руководстве.
 

Изменено пользователем regist
дописал про деинсталяцию программ.
Ссылка на комментарий
Поделиться на другие сайты
RaitanNMZ

RaitanNMZ

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

1)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

2) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Матвей\AppData\Roaming\SearchAY\python\pythonw.exe', '');
 QuarantineFile('C:\Users\Матвей\AppData\Roaming\SearchAY\ml.py', '');
 QuarantineFile('C:\Users\Матвей\AppData\Roaming\Vofer2\IQmanager\ml.py', '');
 QuarantineFile('C:\Users\Матвей\AppData\Roaming\Vofer2\ml.py', '');
 QuarantineFile('C:\Users\Роман\AppData\Roaming\Vofer2\python\pythonw.exe', '');
 QuarantineFileF('c:\users\матвей\appdata\roaming\searchay', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\users\матвей\appdata\roaming\vofer2', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\users\роман\appdata\roaming\vofer2', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('C:\Users\Матвей\AppData\Roaming\SearchAY\python\pythonw.exe', '32');
 DeleteFile('C:\Users\Матвей\AppData\Roaming\SearchAY\ml.py', '32');
 DeleteFile('C:\Users\Матвей\AppData\Roaming\Vofer2\IQmanager\ml.py', '32');
 DeleteFile('C:\Users\Матвей\AppData\Roaming\Vofer2\ml.py', '32');
 DeleteFile('C:\Users\Роман\AppData\Roaming\Vofer2\python\pythonw.exe', '32');
 DeleteFileMask('c:\users\матвей\appdata\roaming\searchay', '*', true);
 DeleteFileMask('c:\users\матвей\appdata\roaming\vofer2', '*', true);
 DeleteFileMask('c:\users\роман\appdata\roaming\vofer2', '*', true);
 DeleteDirectory('c:\users\матвей\appdata\roaming\searchay');
 DeleteDirectory('c:\users\матвей\appdata\roaming\vofer2');
 DeleteDirectory('c:\users\роман\appdata\roaming\vofer2');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-3835959178-1744398173-3292196236-1006\Software\Microsoft\Windows\CurrentVersion\Run', 'SearchAY');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-3835959178-1744398173-3292196236-1006\Software\Microsoft\Windows\CurrentVersion\Run', 'IQmanager');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-3835959178-1744398173-3292196236-1006\Software\Microsoft\Windows\CurrentVersion\Run', 'Vofer2');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

 

3) - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

4) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

 

5)

Skype Click to Call [20161025]-->MsiExec.exe /I{873F8E7C-10E6-449F-BD7E-5FBA7C8E1C9B}

Советую деинсталировать.

Unity Web Player (x64) (All users) [2016/09/23 15:19:22]-->C:\Program Files\Unity\WebPlayer64\Uninstall.exe /AllUsers
Uplay [2017/04/03 16:13:42]-->D:\Matthew Games\Ubisoft Game Launcher\Uninstall.exe

Если сами не ставили/не используете, то тоже.

6)  Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

 

7)

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
  • Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

 

 

Я все выполнил, но возникли проблемы(хотя может все нормально)

1. Архив quarantine.zip оказался пустой, но KLAN отправлю(не знаю зачем) [KLAN-6178006191]

2. При запуске ClearLNK выдало "Здесь нет ярлыков или файлы не существуют (далее пусть к файлу CheckBrowsersLNK)"

3. В программах и компонентах обнаружил CPUNetflit, может он и раньше был, просто я его не увидел.

Я все выполнил, но возникли проблемы(хотя может все нормально)

1. Архив quarantine.zip оказался пустой, но KLAN отправлю(не знаю зачем) [KLAN-6178006191]

2. При запуске ClearLNK выдало "Здесь нет ярлыков или файлы не существуют (далее пусть к файлу CheckBrowsersLNK)"

3. В программах и компонентах обнаружил CPUNetflit, может он и раньше был, просто я его не увидел.

Извиняюсь, что 2 раза текст, наверно случайность

CollectionLog-2017.05.01-23.11.zip

AdwCleanerS13.txt

Ссылка на комментарий
Поделиться на другие сайты
regist

regist

Опубликовано
Опубликовано

1)

 


При запуске ClearLNK выдало "Здесь нет ярлыков или файлы не существуют (далее пусть к файлу CheckBrowsersLNK)"
Каким способом исправляли ярлыки?

 

2)

 


В программах и компонентах обнаружил CPUNetflit, может он и раньше был, просто я его не увидел.
Странно, но в логах её не видно.

 

Выполните в AVZ скрипт:

begin
 ExpRegKey('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall','HKLM_Uninstall.txt');
 ExpRegKey('HKCU','SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall','HKCU_Uninstall.txt');
end.
Файлы:

HKLM_Uninstall.txt
HKCU_Uninstall.txt

из папки с AVZ упакуйте в архив и прикрепите к своему следующему сообщению.

 

После этого CPUNetflit если не знакома, то деинсталируйте.

 

3)

  • Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Tools ->Options (Инструменты ->Настройки) отметьте:
    • Сброс политик IE
    • Сброс политик Chrome

    [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Ссылка на комментарий
Поделиться на другие сайты
RaitanNMZ

RaitanNMZ

Опубликовано
  • Автор
Опубликовано

1)

 

При запуске ClearLNK выдало "Здесь нет ярлыков или файлы не существуют (далее пусть к файлу CheckBrowsersLNK)"

Каким способом исправляли ярлыки?

 

2)

 

В программах и компонентах обнаружил CPUNetflit, может он и раньше был, просто я его не увидел.

Странно, но в логах её не видно.

 

Выполните в AVZ скрипт:

begin
 ExpRegKey('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall','HKLM_Uninstall.txt');
 ExpRegKey('HKCU','SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall','HKCU_Uninstall.txt');
end.
Файлы:

 

HKLM_Uninstall.txt

HKCU_Uninstall.txt

 

из папки с AVZ упакуйте в архив и прикрепите к своему следующему сообщению.

 

После этого CPUNetflit если не знакома, то деинсталируйте.

 

3)

  • Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Tools ->Options (Инструменты ->Настройки) отметьте:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
  • Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Все выполнил, отправляю отчет

1)По поводу ClearLNK, я взял перетащил файл CheckBrowsersLNK на утилиту ClearLNK и мне выдало эту ошибку

2)Не совсем понял, какой файл из папки AdwCleaner отправить, отправил 2 созданных сегодня, вроде то что надо

AdwCleanerC9.txt

AdwCleanerS13.txt

HKCU_Uninstall.txt

HKLM_Uninstall.txt

Ссылка на комментарий
Поделиться на другие сайты
regist

regist

Опубликовано
Опубликовано

1) Есть поле для быстрого ответа внизу, не обязательно заниматься оверквотингом.

2) С CPUNetflit в экспортированных ключах реестра нет никакого упоминания о ней. Вы уверенны, что она именно так называлась в установке программ?

 

3)

  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите File (Файл) Uninstall (Деинсталлировать).
  • Подтвердите удаление нажав кнопку: Да.

 

4) Какие проблемы остались?

Ссылка на комментарий
Поделиться на другие сайты
RaitanNMZ

RaitanNMZ

Опубликовано
  • Автор
Опубликовано

1) Не знал, что есть быстрые ответы

2) В названии CPUNetflit я уверен, но теперь уже никак не узнаю, но раз она пропала, то это хорошо.

3) Проблем больше не наблюдается, буду смотреть, но сейчас все работает нормально, спасибо за помощь.

Ссылка на комментарий
Поделиться на другие сайты
regist

regist

Опубликовано
Опубликовано

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • LexaXpNet
      Не могу удалить майнинг-вирус DOC001.exe
      Автор LexaXpNet
      Доброе время суток, пользуюсь продуктом Kaspersky Endpoint Security 12.3 в корпорации, лицензия все дела.... 
      Имеется большая локальная сеть, в которой часть рабочий мест без антивируса.
      Сама локальная сеть без доступа к интернету. 
      Само собой в локальной сети имеются расшаренные папки для работы с пользователями. 
      Затисался в сетке каким-то образом.. откуда-то... как я уже понял майнинг-вирус DOC001.exe, который при удалении всегда появляется снова... 
      На рабочих местах где стоит Каспер, он попадает, но потом его сразу же убивает Каспер...
      На других подобных местах и местах без Антивируса такая же беда.
      Пробовал удалять его СПО Malwarebytes и KVRT, как итог не вышло... Все равно появляется. 
      Люди добрые, как его побороть?) 

    • scaramuccia
      Как распаковать EXE
      Автор scaramuccia
      Всем привет!
      Касперский обнаружил объект HEUR:Trojan.Win32.Generic в установочном exe-файле. Скорее всего это ложное срабатывание, но все же.
      Он показывает полный путь к объекту: папка, архив, установочный файл и т. д. Как Касперский его так разбирает, если этот файл не распаковывается архиватором, пишет: "Ошибка. Есть данные после конца блока полезных данных"?
      Какие есть способы и ресурсы для этого?
      DIE показывает, что большую часть файла занимает оверлей, который хранит какую-то DLL.

    • Garguha
      [РЕШЕНО] Два dwm.exe процесса один из которых скрытый майнер
      Автор Garguha
      Заметил что в простое происходит сильный нагрев и съедается около 20% процессора. После поисков проблем обнаружил 2 dwm.exe процесса один из которых и берёт на себя нагрузку. После прочтения нескольких статей форума не смог лично разобраться в решении проблемы.
      CollectionLog-2025.07.18-20.40.zip
    • Nelidoff
      [РЕШЕНО] Второй процесс dmw.exe греет процессор
      Автор Nelidoff
      На днях обнаружил что процессор нагревается в простое. При открытии диспетчера задач процессор остывает. Проверил ПК разными антивирусными программами, проблема сохраняется. Один антивирус начал все время показывать сообщение о блокировании исходящего трафика от файла C:\Windows\system32\dmw.exe .Через ProcessKiller увидел два процесса dmw.exe. При закрытии одного из них, того что с подробным адресом C:\Windows\system32\dmw.exe процессор остывает. Обновил windows но это ничего не дало. 
      CollectionLog-2025.07.15-16.59.zip
    • sencity72
      [РЕШЕНО] вирус который маскируется под системный процесс Телефон Microsoft Windows
      Автор sencity72
      Добрый день, поймал вирус - силно загружает энергопотребление - ноутбук работает на максимальном охлождении постоянно - ранее небыло видно этого процесса в диспетчере задач, а теперь он на самом верху -  Телефон Microsoft Windows, при попытке отключить процесс - система уходит в синий экран
      CollectionLog-2025.04.25-19.02.zip
×
×
  • Создать...