Перейти к содержанию
Правила раздела

Подозрение на скрытую загрузку библиотек через AppInit_DLLs

Kaz

От Kaz
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Kaz Новичок

Kaz

Опубликовано
Опубликовано (изменено)

Добрый день !

 

Прошу помочь - через определённое время (10-20 мин) компьютер стал странно работать. В процессах тишина, компьютер не загружён. Гаснет экран, пишет нет сигнала. Из корпуса слышен звук похожий на рестарт компьютера (визг и остановка HDD возможно), ничего дальше не происходит, перезагружаю вручную. Решил проверить на вирусы для интереса: Dr.Web CureIt ничего не нашёл, Касперский тоже. AVZ4 и HijackThis показали - Эвристичеcкая проверка системы, Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~2\KASPER~1\KASPER~1.0FO\adialhk.dll,C:\PROGRA~2\KASPER~1\KASPER~1.0FO\kloehk.dll" Что это ? В реестре AppInit_Dlls и LoadAppInit_Dlls со значением (1) не удаляются и не изменяются после рестарта системы. Пытался через HijackThis удалить, ничего так же не удалилось. Так же уже продолжительное время стал замечать что контрольные точки восстановления системы перестали храниться в системе (выделено 14 gb, но используется 0) 

avz_log.txt

post-49547-0-04154100-1523515893_thumb.jpg

Изменено пользователем Kaz
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано (изменено)

1) Антивирус Касперского 6.0 для Windows Workstations - безнадёжно устарел. В силу старых модулей он уже не может защитить и увидеть часть вирусов, антивирусные базы для него тоже давно не выпускаются. Так что настоятельно рекомендую его удалить и поставить актуальную версию.

 

2) "Пофиксите" в HijackThis:

O4 - MSConfig\startupreg: Google Update [command] = C:\Users\1\AppData\Local\Google\Update\GoogleUpdate.exe /c (file missing) (HKCU) (2015/12/17)
O4 - MSConfig\startupreg: NvBackend [command] = C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe  (file missing) (HKLM) (2016/09/14)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt: Закачать ВСЕ при помощи Download Master - (no file)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt: Закачать при помощи Download Master - (no file)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt: Передать на удаленную закачку DM - (no file)
O9-32 - Button: HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no name) - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers: ###MegaShellExtPending - {056D528D-CE28-4194-9BA3-BA2E9197FF8C} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers: ###MegaShellExtSynced - {05B38830-F4E9-4329-978B-1DD28605D202} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers: ###MegaShellExtSyncing - {0596C850-7BDD-4C9D-AFDF-873BE6890637} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers: ###MegaShellExtPending - {056D528D-CE28-4194-9BA3-BA2E9197FF8C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers: ###MegaShellExtSynced - {05B38830-F4E9-4329-978B-1DD28605D202} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers: ###MegaShellExtSyncing - {0596C850-7BDD-4C9D-AFDF-873BE6890637} - (no file)
O22 - Task: (disabled) GoogleUpdateTaskUserS-1-5-21-2784730708-1388988239-998563159-1000Core - C:\Users\1\AppData\Local\Google\Update\GoogleUpdate.exe /c (file missing)
O22 - Task: (disabled) GoogleUpdateTaskUserS-1-5-21-2784730708-1388988239-998563159-1000UA - C:\Users\1\AppData\Local\Google\Update\GoogleUpdate.exe /ua /installsource scheduler (file missing)
O22 - Task: (disabled) Steam-S-1-8-22-9865GUI - C:\Users\1\AppData\Roaming\Steam\Reversed\steam.exe dtqrfg. (file missing)
O22 - Task: \Macromedia\ErrorCheck - C:\Users\1\AppData\Roaming\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\ErrorCheck.exe -ErrorCheck (file missing)

3) - Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
 

C:\Users\1\AppData\Local\Microsoft\Windows\GameExplorer\{6C57A656-1491-48D5-A23B-D8EEF4DDE885}\PlayTasks\0\Играть.lnk
C:\Users\1\AppData\Local\Microsoft\Windows\GameExplorer\{C3D5E94D-11A9-4D04-AB47-5D3146C1B309}\PlayTasks\0\Играть.lnk
C:\Users\1\AppData\Local\Microsoft\Windows\GameExplorer\{465612EA-9369-43FE-ADB3-368B33F62073}\PlayTasks\0\Играть.lnk
C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\c673ffaa202ad8f2\Bibou.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NFS Carbon - Collector's Edition\NFS Carbon - Collector's Edition.lnk
C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\e5879d05a17cc45\et.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NFS Carbon - Collector's Edition\Деинсталлировать NFS Carbon - Collector's Edition.lnk
C:\Users\1\Desktop\Программы\Adobe Reader 9.lnk
C:\Users\1\AppData\Local\Microsoft\Windows\GameExplorer\{DDAB32E4-A578-4D93-8396-70A8792E8EC0}\PlayTasks\0\Играть.lnk
C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\57d4963759eb80b1\GrottyScape.lnk
C:\Users\1\Desktop\Программы\Alcohol 120%.lnk
C:\Users\1\AppData\Local\Microsoft\Windows\GameExplorer\{1C2AA067-09AB-4ADE-B510-1C9BD3001E66}\PlayTasks\0\Играть.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ArtMoney PRO\ArtMoney PRO v7.35.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ArtMoney PRO\Руководство пользователя.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ArtMoney PRO\Посетить сайт ArtMoney.lnk
C:\Users\1\Desktop\Программы\ArtMoney PRO v7.35.lnk
C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\d30f36c6cce4b54a\KabitisModernVersion.lnk
C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\9451eb43856dbd48\SAMOLIOTIK.lnk
C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\b5b9f77329763ebc\Aircraftwarx.lnk
C:\Users\1\AppData\Local\Microsoft\Windows\GameExplorer\{544625DD-4D6C-40B4-9FD3-6CBF45ACB96E}\PlayTasks\0\Играть.lnk
C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\d081d00e6f627ffb\ninjablock.lnk
C:\Users\1\AppData\Local\Microsoft\Windows\GameExplorer\{F114E9CE-58EB-4783-BB6F-E03471914F40}\PlayTasks\0\Играть.lnk
C:\ProgramData\Microsoft\Windows\GameExplorer\{570FC9BA-FC23-4129-81DF-F410BE3CD26B}\PlayTasks\0\Blur(TM).lnk
C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\c7fd301c6a96b7cd\GoMissionSpaceTravel.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Alice Madness Returns\Alice Madness Returns.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Alice Madness Returns\Деинсталлировать Alice Madness Returns.lnk
C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\b17f6a2173f01d02\JumpBall.lnk

4) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

 

 


1) Антивирус Касперского 6.0 для Windows Workstations - безнадёжно устарел. В силу старых модулей он уже не может защитить и увидеть часть вирусов, антивирусные базы для него тоже давно не выпускаются. Так что настоятельно рекомендую его удалить и поставить актуальную версию.
Не сделали.

 

Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Medoed Stepa
      Поймал "умный" ,скрытый майнер
      От Medoed Stepa
      Недавно заметил что у меня очень сильно начал греться процессор, после запуска компьютера, FPS  начал проседать и.т.д
      Захожу в диспетчер задач вначале высокая загрузка, потом падает ( на форумах говорится что это нормально в первые 2-3с пока диспетчер задач считывает информацию), но  проблема в том что заходя через приложение MyASUS, показывается загрузка процессора которая в среднем составляет 30-40%, при только открытом этом приложении , дальше при открытии диспетчера задач загрузка падает до 3%  что в диспетчере задач что в приложении , но при закрытии сразу возрастает до 40%, так же сегодня заметил что если отключить интернет то загрузка тоже падает . Одним словом майнер в чистом виде.
      Писать бы на форум не стал не попробовав базовые способы решения , что было сделано: полная проверка через KVRT , Dr web Cureit , ручная проверка через монитор ресурсов , все виды проверок через Microsoft Defender (он кстати нашел троян и 1 вирус, но всё равно удалив их проблема не решилась)
       Физические проблемы с процессором и видеокартой сомнительны так как при запуске приложений-игр ,производительность заметно возрастает если держать свернутым диспетчере задач (производительность не возрастала бы в обратном случае)
      Все драйвера обновлены до последних версий и windows тоже, так же проверял на системные сбои через приложение LatencyMon (проблемы не были найдены)
      Из последнего ,что запускал необычного обходы для dicord и youtube  -Zapret , через командные строки , А так всегда пользуюсь только лицензированным ПО  и соблюдаю цифровую гигиену.
      Есть предположение что так как Zapret был запущен через командую строку от имени администратора ,антивирусы не могут его найти так как считают его расширением или программным ПО - Приложением (на данный момент  Zapret был деинсталлирован через командную строку (предположительно)) 
       
      Снизу прикрепил ,то что нашел Microsoft Defender
       
       


    • Flawor_Swift
      [РЕШЕНО] Подозрение на майнер
      От Flawor_Swift
      Доброго времени суток! В состоянии покоя через некоторое время ноутбук начинает сильно шуметь, как будто бы я на нем активно активно работаю. Из необычного еще  окно "Безопасность  Windows" При открытии фризит и выдает черный экран на пару минут. Другие проявления типичные майнеру, по типу невозможности зайти на сайты, создавать папки или запускать антивирусы отсутствуют.  KVRT и Cureit  не нашли ничего вредоносного

      CollectionLog-2024.11.14-01.14.zip
    • Viani
      Поймал скрытый майнер, обычные утилиты не помогают
      От Viani
      Добрый вечер. Майнер грузит систему под 90-95% (бездействие системы в диспетчере задач) ЦП при любом открытом окне, ноутбук сильно греется, хотя при открытом браузере даже не включал винты. Вирус был подхвачен когда на ноутбук скачали игру "растения против зомби 2", но проявил себя спустя месяц. (Больше ничего не скачивалось). В корневой папке C после каждого запуска системы появляется свежий файл "HaxLogs.log", внутри написано это: "慨彸敧彴敭潭祲瑟牨獥潨摬›砰〸〰〰〰
      ⴭⴭ䠠塁⁍敲敬獡⁥⸱⸰‶ⴭⴭⴭⴭ
      桔獩氠杯挠汯敬瑣⁳畲湮楧杮猠慴畴⁳景䠠塁⁍牤癩牥ਮ".
      Юзал DrWeb, утулиту касперского, всё по нулям. Помогите, пожалуйста. Логи по вашим правилам прилагаю:
      CollectionLog-2024.11.10-21.44.zip report1.log report2.log
    • Salieri
      Подозрения на вирусы, помощь. Торможения
      От Salieri
      Здравствуйте, столкнулся с такой проблемой что у меня начали вылазить окна cmd, долгая перезагрузка, обновления какие-то, проблемы с производительностью. Нужна ваша помощь, антивирусы не дают ничего.CollectionLog-2024.11.17-12.39.zip
    • kostyan2008
      Подозрение на вирусы, майнер
      От kostyan2008
      В журнале служб windows часто выскакивает ошибка "Сбой при запуске службы "Служба Google Update (gupdate)" из-за ошибки 
      Служба не ответила на запрос своевременно."
      Сбой при запуске службы "WinRing0_1_2_0" из-за ошибки 
      Системе не удается найти указанный путь.
      В автозагрузке присутствуют непонятные сервисы, включая непонятный google update
      CollectionLog-2024.09.18-20.26.zip
×
×
  • Создать...