wanted3866 Опубликовано 27 июня, 2017 Опубликовано 27 июня, 2017 Здравствуйте. Не так давно я заметил, что в диспетчере задач начали появляться пачки процессов без имени.Они грузят процессор и через какое то время пропадают. Периодически это заканчивается этой ошибкой После этого, активно нагружать ЦП начинает процесс "утилита атрибутов" (до 50% использования ресурсов процессора), которая также через какое то время закрывается. Я подумал, что словил какой то вирус, но антивирусные утилиты (Ваша и adw cleaner) ничего не нашли. В интернете про эту ошибку говорят только иностранные источники, которые ссылаются на трояны. Процессы появляются, в основном, при запуске каких нибудь игр. Заметного снижения производительности я не заметил, но выскакивающий баннер с ошибкой не слишком приятен. В диспетчере задач они выглядят так. Не уверен, что я обратился по адресу, но если это действительно какой то вирус, то помогите пожалуйста. Если же нет, то посоветуйте форум, на который стоит обратиться с данной проблемой. Заранее спасибо. лог почему то не прикрепился
wanted3866 Опубликовано 27 июня, 2017 Автор Опубликовано 27 июня, 2017 лог CollectionLog-2017.06.27-18.17.zip
regist Опубликовано 27 июня, 2017 Опубликовано 27 июня, 2017 (изменено) Здравствуйте! - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('C:\Users\Alex\AppData\Local\Temp\Rar$EXa0.070\Svchost Viewer.exe'); TerminateProcessByName('C:\Users\Alex\AppData\Roaming\Microsoft\Windows\svchost.exe'); QuarantineFile('C:\WINDOWS\system32\bstreamsvc.dll',''); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GoogleChromeAutoLaunch_AD2529C7DB5B63D28C23362385276129'); RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GoogleChromeAutoLaunch_AD2529C7DB5B63D28C23362385276129'); QuarantineFile('C:\Users\Alex\AppData\Local\Temp\Rar$EXa0.070\Svchost Viewer.exe', ''); QuarantineFile('C:\Users\Alex\AppData\Roaming\Microsoft\Windows\svchost.exe', ''); QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', ''); QuarantineFileF('c:\program files (x86)\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0); DeleteFile('C:\Users\Alex\AppData\Local\Temp\Rar$EXa0.070\Svchost Viewer.exe', '32'); DeleteFile('C:\Users\Alex\AppData\Roaming\Microsoft\Windows\svchost.exe', '32'); DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32'); ExecuteFile('schtasks.exe', '/delete /TN "SystemCheck" /F', 0, 15000, true); DeleteFileMask('c:\program files (x86)\zaxar', '*', true); DeleteDirectory('c:\program files (x86)\zaxar'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Zaxar'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteRepair(3); ExecuteRepair(4); ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. После перезагрузки: - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger. Скачайте AdwCleaner и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt. Прикрепите отчет к своему следующему сообщению. Изменено 27 июня, 2017 пользователем regist
wanted3866 Опубликовано 27 июня, 2017 Автор Опубликовано 27 июня, 2017 KLAN-6456685879 AdwCleanerS16.txt CollectionLog-2017.06.27-19.21.zip
regist Опубликовано 27 июня, 2017 Опубликовано 27 июня, 2017 1) Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора). В меню Tools ->Options (Инструменты ->Настройки) отметьте: Сброс политик IE Сброс политик Chrome [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. "Пофиксите" в HijackThis: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://nqaqeba.ru/?utm_source=startpage03&utm_content=c08d131bc9bf107f5cf4658225c11c43 O4 - HKCU\..\Run: [GoogleChromeAutoLaunch_AD2529C7DB5B63D28C23362385276129] "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --no-startup-window /prefetch:5 O18 - Protocol: mso-minsb-roaming.16 - {83C25742-A9F7-49FB-9138-434302C88D07} - (no file) O18 - Protocol: mso-minsb.16 - {42089D2D-912D-4018-9087-2B87803E93FB} - (no file) O18 - Protocol: osf-roaming.16 - {42089D2D-912D-4018-9087-2B87803E93FB} - (no file) O18 - Protocol: osf.16 - {5504BE45-A83B-4808-900A-3A5C36E7F77A} - (no file) O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file) O22 - ScheduledTask: (Disabled) PeriodicScanRetry - \Microsoft\Windows\Media Center - C:\WINDOWS\ehome\MCUpdate.exe -pscn 0 (file missing) O22 - ScheduledTask: (Disabled) RecordingRestart - \Microsoft\Windows\Media Center - C:\WINDOWS\ehome\ehrec /RestartRecording (file missing) O22 - ScheduledTask: (Ready) ActivateWindowsSearch - \Microsoft\Windows\Media Center - C:\WINDOWS\ehome\ehPrivJob.exe /DoActivateWindowsSearch (file missing) O22 - ScheduledTask: (Ready) Adobe Flash Player Updater - {root} - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe (file missing) O22 - ScheduledTask: (Ready) ConfigureInternetTimeService - \Microsoft\Windows\Media Center - C:\WINDOWS\ehome\ehPrivJob.exe /DoConfigureInternetTimeService (file missing) O22 - ScheduledTask: (Ready) DispatchRecoveryTasks - \Microsoft\Windows\Media Center - C:\WINDOWS\ehome\ehPrivJob.exe /DoRecoveryTasks $(Arg0) (file missing) O22 - ScheduledTask: (Ready) DllKitPRO - {root} - "C:\Program Files (x86)\DllKitPRO\dllkitpro.exe" start (file missing) O22 - ScheduledTask: (Ready) InstallPlayReady - \Microsoft\Windows\Media Center - C:\WINDOWS\ehome\ehPrivJob.exe /InstallPlayReady $(Arg0) (file missing) O22 - ScheduledTask: (Ready) MediaCenterRecoveryTask - \Microsoft\Windows\Media Center - C:\WINDOWS\ehome\mcupdate.exe -MediaCenterRecoveryTask (file missing) O22 - ScheduledTask: (Ready) OCURActivate - \Microsoft\Windows\Media Center - C:\WINDOWS\ehome\ehPrivJob.exe /OCURActivate (file missing) O22 - ScheduledTask: (Ready) OCURDiscovery - \Microsoft\Windows\Media Center - C:\WINDOWS\ehome\ehPrivJob.exe /OCURDiscovery $(Arg0) (file missing) O22 - ScheduledTask: (Ready) ObjectStoreRecoveryTask - \Microsoft\Windows\Media Center - C:\WINDOWS\ehome\mcupdate.exe -ObjectStoreRecoveryTask (file missing) O22 - ScheduledTask: (Ready) PBDADiscovery - \Microsoft\Windows\Media Center - C:\WINDOWS\ehome\ehPrivJob.exe /PBDADiscovery (file missing) O22 - ScheduledTask: (Ready) PBDADiscoveryW1 - \Microsoft\Windows\Media Center - C:\WINDOWS\ehome\ehPrivJob.exe /wait:7 /PBDADiscovery (file missing) O22 - ScheduledTask: (Ready) PBDADiscoveryW2 - \Microsoft\Windows\Media Center - C:\WINDOWS\ehome\ehPrivJob.exe /wait:90 /PBDADiscovery (file missing) O22 - ScheduledTask: (Ready) PvrRecoveryTask - \Microsoft\Windows\Media Center - C:\WINDOWS\ehome\mcupdate.exe -PvrRecoveryTask (file missing) O22 - ScheduledTask: (Ready) PvrScheduleTask - \Microsoft\Windows\Media Center - C:\WINDOWS\ehome\mcupdate.exe -PvrSchedule (file missing) O22 - ScheduledTask: (Ready) RegisterSearch - \Microsoft\Windows\Media Center - C:\WINDOWS\ehome\ehPrivJob.exe /DoRegisterSearch $(Arg0) (file missing) O22 - ScheduledTask: (Ready) ReindexSearchRoot - \Microsoft\Windows\Media Center - C:\WINDOWS\ehome\ehPrivJob.exe /DoReindexSearchRoot (file missing) O22 - ScheduledTask: (Ready) SqlLiteRecoveryTask - \Microsoft\Windows\Media Center - C:\WINDOWS\ehome\mcupdate.exe -SqlLiteRecoveryTask (file missing) O22 - ScheduledTask: (Ready) StartRecording - \Microsoft\Windows\Media Center - C:\WINDOWS\ehome\ehrec /StartRecording (file missing) O22 - ScheduledTask: (Ready) SystemCheck - \System - C:\Users\Alex\AppData\Roaming\Microsoft\Windows\svchost.exe -WindowsCheck (file missing) O22 - ScheduledTask: (Ready) UpdateRecordPath - \Microsoft\Windows\Media Center - C:\WINDOWS\ehome\ehPrivJob.exe /DoUpdateRecordPath $(Arg0) (file missing) O22 - ScheduledTask: (Ready) ehDRMInit - \Microsoft\Windows\Media Center - C:\WINDOWS\ehome\ehPrivJob.exe /DRMInit (file missing) O22 - ScheduledTask: (Ready) mcupdate - \Microsoft\Windows\Media Center - C:\WINDOWS\ehome\mcupdate $(Arg0) (file missing) O22 - ScheduledTask: (Ready) mcupdate_scheduled - \Microsoft\Windows\Media Center - C:\WINDOWS\ehome\mcupdate -crl -hms -pscn 15 (file missing) 3) Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.
wanted3866 Опубликовано 27 июня, 2017 Автор Опубликовано 27 июня, 2017 ... AdwCleanerS17.txt WANTED3866_2017-06-27_20-26-10.7z
regist Опубликовано 27 июня, 2017 Опубликовано 27 июня, 2017 (изменено) AdwCleanerS17.txt Не тот лог прикрепили. Перечитайте внимательно, что я просил. Поясню, что нужен лог с буквой [CX], вместо Х цифра. DLL-Files.com Fixer - нежелательное ПО, деинсталируйте. Unity Web Player, Uplay - если сами не ставили, то тоже деинсталируйте. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена: ;uVS v4.0.5 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v400c BREG ;---------command-block--------- dirzooex %SystemDrive%\PROGRAM FILES\GET-STYLES 2.0 delref %SystemDrive%\USERS\ALEX\APPDATA\LOCAL\YANDEX\BROWSERMANAGER\MBLAUNCHER.EXE delref %SystemDrive%\USERS\ALEX\APPDATA\LOCAL\MAIL.RU\GAMECENTER\GAMECENTER@MAIL.RU.EXE delref HTTP://NQAQEBA.RU/?UTM_SOURCE=STARTPAGE03&UTM_CONTENT=C08D131BC9BF107F5CF4658225C11C43 delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.153\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.165\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL delref G:\SOFT\FRAMEWORK.NET\DOTNETFX35.EXE delref G:\SOFT\FRAMEWORK.NET\DOTNETFX2.EXE delref %SystemDrive%\PROGRAM FILES (X86)\CCLEANER\CCLEANER.EXE apply restart zoo %SystemRoot%\SYSWOW64\BSTREAMSVC.DLL bl 24599C5C53C3173DB261CA73889DF971 275968 addsgn 79132211B9E9317E0AA1AB5925901205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A5AA6CAC9C4616EAF249DBF8FB58DE84283DFEB12FF30232FA 64 TrojanDownloader.Stantinko.BC 7 zoo %SystemRoot%\SYSWOW64\OPTSATADC.DLL bl DF5958459F89D775687190650DE4F08B 405504 addsgn 79132211B9E9317E0AA1AB5900A51205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A57AD3D21473A209FE6D88174799CCB63DD2A15B1A0F102462 64 TrojanDownloader.Stantinko.BC 7 zoo %SystemDrive%\PROGRAM FILES\GET-STYLES 2.0\HOMEPAGEGUARD.EXE bl E55B381FEB8FDF3CDC4882772ADE460C 127096 addsgn BA6F9BB2BDA553720B9C2D754C2104FBDA75303AC171DB300C9BCDF4D9BE6904AA67E31FB7058D1E6AD4C5CA074008AD355C04321851C92460FC85664C771A3E 8 Trojan.Triosir.165 [DrWeb] 7 chklst delvir czoo В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Подробнее читайте в этом руководстве. Сделайте свежий образ автозапуска. Изменено 27 июня, 2017 пользователем regist
wanted3866 Опубликовано 27 июня, 2017 Автор Опубликовано 27 июня, 2017 Ой, простите, не заметил.Файл я отправил на сайт, но я так и не понял как его назвать. Назвал его virusinfo_cure. .... WANTED3866_2017-06-27_22-04-55.7z AdwCleanerC6.txt
regist Опубликовано 27 июня, 2017 Опубликовано 27 июня, 2017 Файл я отправил на сайт, но я так и не понял как его назвать. Назвал его virusinfo_cure. Отправляли через форму как понимаю? Но сегодня вообще с фанклаба карантины не приходили, ни через форму, ни на почту. Отправьте ещё раз.+ 1) DLL-Files.com Fixer - нежелательное ПО, деинсталируйте. не сделали. и "Игровой центр" если не используете также деинсталируйте. 2) Пожалуйста, запустите adwcleaner.exe Нажмите File (Файл) Uninstall (Деинсталлировать). Подтвердите удаление нажав кнопку: Да. 3) что с проблемой?
wanted3866 Опубликовано 27 июня, 2017 Автор Опубликовано 27 июня, 2017 Меня перекидывает на этот сайт http://www.oszone.net/virusnet/ Я сделал все, о чём просили и мне показали баннер мол консультант сообщит о результатах проверки. Отправил еще раз. 1) А как DLL-Files.com Fixer вредит компьютеру? Мне его когда- то посоветовал IT-отдел моей работы и тогда он здорово поднял производительность машины. 2) Сделано 3) Проблема ушла после 1 скрипта. Во всяком случае она себя пока что не проявляла. Я думаю, что проблема решена. Спасибо вам большое. Это был все таки вирус?
regist Опубликовано 27 июня, 2017 Опубликовано 27 июня, 2017 Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Выполните рекомендации после лечения.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти