Alexander37 Опубликовано 12 марта, 2018 Опубликовано 12 марта, 2018 (изменено) Здравствуйте, с недавнего времени мой антивирус KAV стал постоянно находить вирусы: E:\Windows\System32\tpmagentservice.dll;E:\Windows\System32\tpmagentservice.dll;Trojan.Win32.Miner.tjpe;Троянская программа; e:\windows\system32\lsass.exe;e:\windows\system32\lsass.exe;PDM:Exploit.Win32.Generic;Другая вредоносная программа; и тп. Также вылезает окно с критической ошибкой и компьютер перезагружается через 1 мин. После удаления найденных вирусов Касперским они появляются снова. За последнее время никаких программ не устанавливал. Делал полную проверку, но после удаления вирусы появляются снова. Прошу помочь в решение вопроса. Прикрепил отчет за сегодня. отчет.txt Изменено 12 марта, 2018 пользователем Alexander37
Mark D. Pearlstone Опубликовано 12 марта, 2018 Опубликовано 12 марта, 2018 @Alexander37, кнопку "Загрузить" нужно нажимать для отправки файлов.
Alexander37 Опубликовано 12 марта, 2018 Автор Опубликовано 12 марта, 2018 Прикрепил файлы логов с dr.Web Cureit и avz. CollectionLog-2018.03.12-21.26.zip cureit.log
regist Опубликовано 12 марта, 2018 Опубликовано 12 марта, 2018 "Пофиксите" в HijackThis: O4 - MSConfig\startupreg: GameCenterMailRu [command] = E:\Users\Alex\AppData\Local\Mail.Ru\GameCenter\GameCenter@Mail.Ru.exe -autostart (file missing) (HKCU) (2016/10/24) O22 - Task: ASUS Live Update Task Schedule - C:\Program Files\ASUS\GPU Tweak\ASUSLiveUpdate.exe (file missing) Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования, Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. !!! Обратите внимание , что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите "Да" .
Alexander37 Опубликовано 13 марта, 2018 Автор Опубликовано 13 марта, 2018 Сделал, что написано, прикрепил лог. ALEX-ПК_2018-03-13_17-46-39.7z
regist Опубликовано 13 марта, 2018 Опубликовано 13 марта, 2018 1) Пожалуйста, запустите adwcleaner.exe Нажмите File (Файл) Uninstall (Деинсталлировать). Подтвердите удаление нажав кнопку: Да. 2) В папке E:\DOWNLOADS\AUSLOGICS\AUSLOGICS BOOSTSPEED у вас что? 3) E:\USERS\ALEX\DOWNLOADS\CORELDRAW_X8_PORTABLE_ID2123857IDS3S.EXE удалите вручную. 4) C:\ДРАЙВЕРА\BICW_6.EXE Это что за файл? Он вам знаком? https://www.virustotal.com/ru/file/1d28dab0e202b5acf4b89a88e15a9fb17ee912baa5dbeb9b2f334f91136f74f0/analysis/ 5) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:;uVS v4.0.10 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c BREG ;---------command-block--------- delref %SystemDrive%\USERS\ALEX\APPDATA\LOCAL\MAIL.RU\GAMECENTER\NPDETECTOR.DLL delref %SystemDrive%\PROGRAM FILES\AMD\\CNEXT\CNEXT\DVRCMD.EXE delref %SystemDrive%\PROGRAM FILES\AMD\\CNEXT\CNEXT\CNCMD.EXE delref %SystemDrive%\PROGRAM FILES\AMD\CIM\BIN\AMDPRW.EXE delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.115\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.8\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\OPERA\LAUNCHER.EXE apply restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
Alexander37 Опубликовано 13 марта, 2018 Автор Опубликовано 13 марта, 2018 Выполнил всё, что написано выше, но при запуске Касперского снова вылазит критическая ошибка и компьютер перезагружается. Так же Касперский находит след. вирусы: 13.03.2018 19.20.47;Обнаруженный объект (файл) удален;E:\Windows\System32\tpmagentservice.dll;E:\Windows\System32\tpmagentservice.dll;Trojan.Win32.Miner.tjpe;Троянская программа;03/13/2018 19:20:47 13.03.2018 19.20.27;Обнаруженный объект (память процесса) невозможно вылечить;e:\windows\system32\lsass.exe;e:\windows\system32\lsass.exe;PDM:Exploit.Win32.Generic;Другая вредоносная программа;03/13/2018 19:20:27
Alexander37 Опубликовано 13 марта, 2018 Автор Опубликовано 13 марта, 2018 Пункт №2 всё жду ответа. Программа AUSLOGICS BOOSTSPEED использовал для чистки реестра и дефрагментации файлов. Сейчас удалил с компьютера.
regist Опубликовано 13 марта, 2018 Опубликовано 13 марта, 2018 (изменено) Программа AUSLOGICS BOOSTSPEED использовал для чистки реестра и дефрагментации файлов. там вообще-то у вас ещё файлы от проекта в RAD Studio лежали , но я ошибься с номером пункта. Жду пункт №4 Изменено 13 марта, 2018 пользователем regist
Alexander37 Опубликовано 13 марта, 2018 Автор Опубликовано 13 марта, 2018 Программа AUSLOGICS BOOSTSPEED использовал для чистки реестра и дефрагментации файлов. там вообще-то у вас ещё файлы от проекта в RAD Studio лежали , но я ошибься с номером пункта. Жду пункт №4 Удалил тоже.
regist Опубликовано 13 марта, 2018 Опубликовано 13 марта, 2018 Удалил тоже. А файл вам был неизвестен? У вас ещё один подобный файл лежит в E:\USERS\ALEX\APPDATA\LOCAL\BEELINE NETWORK MANAGER\UPDATER\CHP.EXE https://www.virustotal.com/ru/file/a9f1fb265c7f7c554cd6ed69d919c43672e8119ae688c3f61a1ffab7d457cdfb/analysis/ Его тоже удалите? + следующий раз когда касперский найдёт угрозу нажмите не "Удалить", а блокировать. И сделайте свежий образ автозапуска. А то по логу E:\Windows\System32\tpmagentservice.dll такого файла не видно.
Alexander37 Опубликовано 14 марта, 2018 Автор Опубликовано 14 марта, 2018 (изменено) Сделал новый лог. p.s. Вчера вылез "синий экран", к сожалению не сохранил код ошибки. ALEX-ПК_2018-03-14_17-54-14.7z Изменено 14 марта, 2018 пользователем Alexander37
regist Опубликовано 14 марта, 2018 Опубликовано 14 марта, 2018 По логу ничего плохого не вижу и никаких следов tpmagentservice.dll. Лицензия на касперского имеется?
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти