Перейти к содержанию
Правила раздела

Вирус использует 50% CPU, синий экран при завершении процесса

genki nai

От genki nai
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

genki nai Новичок

genki nai

Опубликовано
Опубликовано

Прошу совета как уничтожить вирус со следующими оcобенностями:

1. Маскируется под процесс svchost.exe *32 (либо tracert.exe, nslookup.exe и другие), запускается от имени пользователя из папки C:\Windows\SysWOW64, использует 48-50% CPU.

2. Запускается примерно через 10-30 минут после подключения к сети Интернет, при отсутствии подключения неактивен.

3. При запуске вируса принудительно завершается работа некоторых программ: AnVir, AVZ, также их невозможно запустить во время активности вируса. Принудительно закрывается Google Chrome при попытке зайти на страницы скачивания AVZ, Farbar Recovery Scan Tool, при наборе "AVZ" в строке поиска.

4. При попытке завершить запущенный вирусом процесс появляется сообщение об ошибке - синий экран. Также синий экран появляется при нажатии кнопок "Завершение работы", "Перезагрузка", "Выход из системы".

5. Проверка основными антивирусными утилитами (Web CureIt, Kaspersky Virus Removal Tool, Comodo Cleaning Essentials, AdwCleaner), запущенными в безопасном режиме, проблему не решила.

 

Файл логов проверки Autologger и скриншот запущенного вирусом процесса прилагаю.

CollectionLog-2018.03.11-15.07.zip

post-49244-0-15532000-1520775707_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files\firefox\mozavcodec.dll', '');
 QuarantineFile('C:\Program Files\firefox\mozavutil.dll', '');
 QuarantineFile('C:\Windows\EUJMex.exe', '');
 QuarantineFile('C:\Windows\oENIAy.exe', '');
 DeleteFile('C:\Windows\EUJMex.exe');
 DeleteFile('C:\Windows\oENIAy.exe');
 ExecuteFile('schtasks.exe', '/delete /TN "{466E16C9-3B6F-4D33-AA4A-838F6E7B8F3B}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{BD03D5F5-9B9D-4B20-B21A-BFF659BC3406}" /F', 0, 15000, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Ссылка на комментарий
Поделиться на другие сайты
genki nai Новичок

genki nai

Опубликовано
  • Автор
Опубликовано (изменено)

Здравствуйте! Логи проверки AutoLogger после применения скрипта прилагаю.

 

Ссылка на результаты проверки онлайн сервисом VirusDetector (MD5: DBAC56666721B05BE0E90CDB358CEAC6):

 

https://virusinfo.info/virusdetector/report.php?md5=DBAC56666721B05BE0E90CDB358CEAC6

 

Ответ Антивирусной Лаборатории newvirus@kaspersky.com

 

Re: Файл quarantine.zip из папки AVZ [KLAN-7747272601]

 

Благодарим за обращение в Антивирусную Лабораторию


Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
mozavcodec.dll
mozavutil.dll

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.
 
 

 

CollectionLog-2018.03.11-18.30.zip

Изменено пользователем genki nai
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

Проверьте эти файлы на virustotal

C:\Program Files\firefox\mozavcodec.dll
C:\Program Files\firefox\mozavutil.dll
кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.
 

+ что с проблемой?

Ссылка на комментарий
Поделиться на другие сайты
genki nai Новичок

genki nai

Опубликовано
  • Автор
Опубликовано

Ссылки на результат проверки virustotal:

https://www.virustotal.com/#/file/13105ec25248efcd33e4d1d61ddb87459d1f151d335dafb7bcb6a46ca873b0ca/detection

https://www.virustotal.com/#/file/355257fb09da32c7d05976638c9d2ccc6cec7265276bbea2fbd49838a96d475c/detection

 

Проблема больше не проявляется, спасибо за помощь! 

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

 

 


Нажать на кнопку Повторить анализ (Reanalyse)
Не сделали. Я просил сделать повторный анализ, а не просто дать ссылки на отчёт годовой давности, их и так видел. Так что сделайте реанализ и оставьте свежие ссылки.
Ссылка на комментарий
Поделиться на другие сайты
genki nai Новичок

genki nai

Опубликовано
  • Автор
Опубликовано

Извиняюсь, вот свежие ссылки:

https://www.virustotal.com/#/file/13105ec25248efcd33e4d1d61ddb87459d1f151d335dafb7bcb6a46ca873b0ca/detection

https://www.virustotal.com/#/file/355257fb09da32c7d05976638c9d2ccc6cec7265276bbea2fbd49838a96d475c/detection

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Александра_
      [РЕШЕНО] Не обновляется windows 10, синий экран смерти
      От Александра_
      Добрый день! Столкнулась с ошибкой обновления windows 10, при обновлении выходит синий экран смерти
      В параметрах "Центр обновления windows ошибка "Что-то пошло не так. Попытайтесь повторно открыть параметры позже"
      В системе Службы "Центр обновления windows" не запускается, выходит ошибка "Не удалось запустить службу центра обновления windows 10. Ошибка 1053...". Почему так, в чем причина?
      CollectionLog-2024.11.10-12.18.zip
    • Вадимка
      Синий экран смерти
      От Вадимка
      Такова проблема:устанавливаю драйвера на видеокарту,вылезает синий экран смерти, когда устанавливаю драйвера на все остальное,все работает нормально,ссд проверял через программу viktoria все было нормально,пытался переустановить Винду через интернет тоже вылезала ошибка
    • Auyr
      Синий экран с ошибкой DCP_WATCH, а также появление файла deafult.rpd, при сканировании обнаружен троян, постоянно возникают в большом количестве ссылки в истории браузера
      От Auyr
      Здраствуйте, хочу уточнить, что на данный момент актуальная проблема это обнаруженный троян утилитой "Kaspersky Virus Removal Tool"(прикрепляю все скрины) , а также я проверил с помощью avz 4 мне также выдали 2 файла с трояном, также меня очень волнует в истории браузера при заходе на свою страницу "Вконтакте" возникают в огромном количестве непонятные ссылки каждую минуту около 100 штук, при переходе на которые ведут на начальную страницу со входом в аккаунт "ВК"(прикрепляю ссылки) такое я замечал еще ранее, на протяжении года минимум, также 30.04.24 возник экран смерти с ошибкой DCP_WATCH_violation (я перезагрузил ПК, далее подозрительных действий не наблюдалось)
      Скажу что был случай заражения вирусом в 2021 году в то время я снес виндоувс, (отформатировал полностью системный диск С) однако я не стал форматировать второй диск D, и вот сегодня 11.05 решил также проверить диск D и обнаружил как раз остатки трояна, однако до сегодняшнего момента очень явных признаков я не наблюдал (на протяжении 3 лет) , только если сослаться на торможение слегка своего ПК
      Скажу что использую базовую версию антивируса платного Касперский.
      Насчет файла default.rpd я взял сохраненное сообщение на другом форуме где мне не помогли привожу его ниже:
      """""Началось 2 июня 2023 , когда сидел в discord я начал демонстрацию экрана и заметил roaming window (предложено было дискордом демонстрировать данное окно, которое было черное) далее я начал проверку avz и когда она подходила к концу, неожиданно в чате дискорда началось печатания каких то букв , в этот момент я ничего не писал( клавиатура чиста, это не техника) текст был такой примерно "еуеуеуеуеуеуеу" далее я заметил в скрытых значках сенсорную клавиатуру, её значок ( у меня windows 10) которую я не открывал и не мог ее закрыть долгое время(сенсорная клавиатура появилась задолго до этого момента , я просто не обращал внимания) , далее я решил просто удалить старый антивирус бесплатный dr web и установил пробную версию премиум касперского и после этого вроде других действий не замечал до момента когда в папку документов появился скрытый документ default.rpd с размером 0 кб и созданием в тот момент когда я возился с проверками (2 июня ночью)""""
      Также уточню что 10.05.24 (вчера) установил solidworks крякнутый в сайта diakov (я уже пользовался им, проверенный, устанавливал офисы2016 и adobe), там я вводил какие то изменения в реестр по инструкции, ссылался на локальный хост, отключал сеть, программа работает. 
      Внизу прикладываю также скрины найденных файлов вирусных разными сканерами - avz(отдельно сканировал им без аутологгера)--2 файла удаленных привожу полное наименование одного из (CWindowsservicingLCUPackage_for_RollupFix~31bf3856ad364e35~amd64~~19041.4291.1.10amd64_microsoft-windows-m..nt-browser.appxmain_31bf3856ad364e35_10.0.19041.3636_none_708b8c01b2212346fsquare44x44logo.targetsize-48_altform-unplated_contrast-white.png)
      Если возникнут вопросы отвечу на всё и попытаюсь быстро реагировать 





      CollectionLog-2024.05.11-12.53.zip
    • ahawk
      Не запускается приложение CCleaner и синий экран при включении ноутбука
      От ahawk
      Добрый день. 
      На ноутбуке не запускается приложение CCleaner. В диспетчере процессов висит, потребляет примерно 30% загрузки ЦП и 11МБ памяти.
      Также при загрузке ноутбука появляется синий экран с сообщением SYSTEM SERVICE EXCEPTION. 
      Я проверил диск на наличие ошибок - ошибок нет
      проверил диск с помощью Kaspersky Free - вирусы не обнаружены
      проверил целостность системных файлов командой sfc /scannow и проверил и восстановил хранилище командой dism /online /cleanup-image /restorehealth - команды выполнены успешно, нарушений целостности не выявлено и повреждения хранилища также не выявлено.
      Также с помощью программы BlueScreenView посмотрел дампы ошибок. Они все одинаковые. Скриншот во вложении.
      Прошу помощи, так как не знаю что еще можно сделать без переустановки ОС и приложений
      Заранее спасибо!


    • dobrota_xx
      И вирус и синий экран
      От dobrota_xx
      Я проводил проверку dr.Web и наткнулся на неудаляемый вирус. Потом я получил синий экран IRQL_NOT_LESS_OR_EQUAL (0x0000000a), а теперь, когда я пытаюсь сделать повторную проверку, я получаю DRIVER_VERIFIER_DETECTED_VIOLATION (0x000000c4). Как быть?

×
×
  • Создать...