Перейти к содержанию
Правила раздела
Конкурс по разработке Telegram-бота Kaspersky Club

Подозрение на скрытую загрузку библиотек через AppInit_DLLs

Kaz

Автор Kaz
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Kaz Новичок

Kaz

Опубликовано
Опубликовано (изменено)

Добрый день !

 

Прошу помочь - через определённое время (10-20 мин) компьютер стал странно работать. В процессах тишина, компьютер не загружён. Гаснет экран, пишет нет сигнала. Из корпуса слышен звук похожий на рестарт компьютера (визг и остановка HDD возможно), ничего дальше не происходит, перезагружаю вручную. Решил проверить на вирусы для интереса: Dr.Web CureIt ничего не нашёл, Касперский тоже. AVZ4 и HijackThis показали - Эвристичеcкая проверка системы, Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~2\KASPER~1\KASPER~1.0FO\adialhk.dll,C:\PROGRA~2\KASPER~1\KASPER~1.0FO\kloehk.dll" Что это ? В реестре AppInit_Dlls и LoadAppInit_Dlls со значением (1) не удаляются и не изменяются после рестарта системы. Пытался через HijackThis удалить, ничего так же не удалилось. Так же уже продолжительное время стал замечать что контрольные точки восстановления системы перестали храниться в системе (выделено 14 gb, но используется 0) 

avz_log.txt

post-49547-0-04154100-1523515893_thumb.jpg

Изменено пользователем Kaz
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано (изменено)

1) Антивирус Касперского 6.0 для Windows Workstations - безнадёжно устарел. В силу старых модулей он уже не может защитить и увидеть часть вирусов, антивирусные базы для него тоже давно не выпускаются. Так что настоятельно рекомендую его удалить и поставить актуальную версию.

 

2) "Пофиксите" в HijackThis:

O4 - MSConfig\startupreg: Google Update [command] = C:\Users\1\AppData\Local\Google\Update\GoogleUpdate.exe /c (file missing) (HKCU) (2015/12/17)
O4 - MSConfig\startupreg: NvBackend [command] = C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe  (file missing) (HKLM) (2016/09/14)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt: Закачать ВСЕ при помощи Download Master - (no file)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt: Закачать при помощи Download Master - (no file)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt: Передать на удаленную закачку DM - (no file)
O9-32 - Button: HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no name) - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers: ###MegaShellExtPending - {056D528D-CE28-4194-9BA3-BA2E9197FF8C} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers: ###MegaShellExtSynced - {05B38830-F4E9-4329-978B-1DD28605D202} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers: ###MegaShellExtSyncing - {0596C850-7BDD-4C9D-AFDF-873BE6890637} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers: ###MegaShellExtPending - {056D528D-CE28-4194-9BA3-BA2E9197FF8C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers: ###MegaShellExtSynced - {05B38830-F4E9-4329-978B-1DD28605D202} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers: ###MegaShellExtSyncing - {0596C850-7BDD-4C9D-AFDF-873BE6890637} - (no file)
O22 - Task: (disabled) GoogleUpdateTaskUserS-1-5-21-2784730708-1388988239-998563159-1000Core - C:\Users\1\AppData\Local\Google\Update\GoogleUpdate.exe /c (file missing)
O22 - Task: (disabled) GoogleUpdateTaskUserS-1-5-21-2784730708-1388988239-998563159-1000UA - C:\Users\1\AppData\Local\Google\Update\GoogleUpdate.exe /ua /installsource scheduler (file missing)
O22 - Task: (disabled) Steam-S-1-8-22-9865GUI - C:\Users\1\AppData\Roaming\Steam\Reversed\steam.exe dtqrfg. (file missing)
O22 - Task: \Macromedia\ErrorCheck - C:\Users\1\AppData\Roaming\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\ErrorCheck.exe -ErrorCheck (file missing)

3) - Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
 

C:\Users\1\AppData\Local\Microsoft\Windows\GameExplorer\{6C57A656-1491-48D5-A23B-D8EEF4DDE885}\PlayTasks\0\Играть.lnk
C:\Users\1\AppData\Local\Microsoft\Windows\GameExplorer\{C3D5E94D-11A9-4D04-AB47-5D3146C1B309}\PlayTasks\0\Играть.lnk
C:\Users\1\AppData\Local\Microsoft\Windows\GameExplorer\{465612EA-9369-43FE-ADB3-368B33F62073}\PlayTasks\0\Играть.lnk
C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\c673ffaa202ad8f2\Bibou.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NFS Carbon - Collector's Edition\NFS Carbon - Collector's Edition.lnk
C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\e5879d05a17cc45\et.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NFS Carbon - Collector's Edition\Деинсталлировать NFS Carbon - Collector's Edition.lnk
C:\Users\1\Desktop\Программы\Adobe Reader 9.lnk
C:\Users\1\AppData\Local\Microsoft\Windows\GameExplorer\{DDAB32E4-A578-4D93-8396-70A8792E8EC0}\PlayTasks\0\Играть.lnk
C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\57d4963759eb80b1\GrottyScape.lnk
C:\Users\1\Desktop\Программы\Alcohol 120%.lnk
C:\Users\1\AppData\Local\Microsoft\Windows\GameExplorer\{1C2AA067-09AB-4ADE-B510-1C9BD3001E66}\PlayTasks\0\Играть.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ArtMoney PRO\ArtMoney PRO v7.35.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ArtMoney PRO\Руководство пользователя.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ArtMoney PRO\Посетить сайт ArtMoney.lnk
C:\Users\1\Desktop\Программы\ArtMoney PRO v7.35.lnk
C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\d30f36c6cce4b54a\KabitisModernVersion.lnk
C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\9451eb43856dbd48\SAMOLIOTIK.lnk
C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\b5b9f77329763ebc\Aircraftwarx.lnk
C:\Users\1\AppData\Local\Microsoft\Windows\GameExplorer\{544625DD-4D6C-40B4-9FD3-6CBF45ACB96E}\PlayTasks\0\Играть.lnk
C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\d081d00e6f627ffb\ninjablock.lnk
C:\Users\1\AppData\Local\Microsoft\Windows\GameExplorer\{F114E9CE-58EB-4783-BB6F-E03471914F40}\PlayTasks\0\Играть.lnk
C:\ProgramData\Microsoft\Windows\GameExplorer\{570FC9BA-FC23-4129-81DF-F410BE3CD26B}\PlayTasks\0\Blur(TM).lnk
C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\c7fd301c6a96b7cd\GoMissionSpaceTravel.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Alice Madness Returns\Alice Madness Returns.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Alice Madness Returns\Деинсталлировать Alice Madness Returns.lnk
C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\b17f6a2173f01d02\JumpBall.lnk

4) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

 

 


1) Антивирус Касперского 6.0 для Windows Workstations - безнадёжно устарел. В силу старых модулей он уже не может защитить и увидеть часть вирусов, антивирусные базы для него тоже давно не выпускаются. Так что настоятельно рекомендую его удалить и поставить актуальную версию.
Не сделали.

 

Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Nesquik
      Подозрение на майнер
      Автор Nesquik
      Заметил что появились частые зависания, когда несколько дней назад все было идеально При перезагрузке компьютера появляются командные строки на 1 секунду Антивирус kaspersky ничего не нашел
    • SuPeR_1
      Подозрение на майнер
      Автор SuPeR_1
      Когда играл заметил что ФПС низкий почему то, решил быстро клавишами Ctrl+Shift+Esc диспетчер задач и ЦП со 100% резко падал до дна, и не надо как в прошлый раз писать что диспетчер задач не означает что есть вирус-майнер-троян, у меня ведь и ФПС низкий, раньше в Minecraft были 100-200 ФПС, сейчас 60 и даже меньше. Провёл сканером Dr web и логи собрал. Пол года назад тоже тут обращался, помогли, надеюсь и в этот раз помогут и буду теперь все файлы проверять онлайн-сканером
      CollectionLog-2025.02.23-15.08.zip
    • жаждущий ответа
      Проблемы с загрузкой виндовс
      Автор жаждущий ответа
      Здравствуйте,возникла проблема с виндовс 10, система начала дольше грузиться, яндекс и вовсе сразу  в панели не отображается, проверил через касперски пишет,что trojan win32 sepeh gen,вылечить не получается,после перрезагрузки он появляется снова,и также не открывается редакто реестра,что делать не знаю
       
      Сообщение от модератора kmscom Тема перемещена из раздела Интервью с экспертами Лаборатории Касперского
    • Snak3EyeS92
      [РЕШЕНО] Подозрение на Malware/Bot
      Автор Snak3EyeS92
      Некоторое время назад заметил в мониторе сетевой активности Kaspersky Internet Security исходящее сетевое соединение (иногда несколько) от Windows Explorer. Раньше подобного не было. В интернете мало информации, но все сходится к тому, что это ненормальное поведение Проводника. При попытке задать через Касперский правило на запрет любых исходящих соединений от проводника, начисто отваливается интернет. Проводил проверку Касперским, KVRT, Malwarebytes, Dr. Web CureIt. Последние два что-то нашли, но это были в основном файлы и библиотеки от давно удаленных программ. Удалил найденное, но проблема осталась. Проверял внешние IP, на которые идет соединение. Virus Total выдавал что-то такое: AS 8075 MICROSOFT-CORP-MSN-AS-BLOCK. В комментариях к одному из этих IP были комментарии "Malware" и "Bot". Отсюда и возникли опасения, что мне подсадили малварь, бот или что-то еще. Нет никаких видимых признаков заражения или взлома. Ноутбук не тормозит и не греется, никаких рекламных баннеров, браузер не открывается сам собой, объем трафика через это соединение мизерный, в основном ноль. Из странного подметил, что если я не пользуюсь ноутбуком несколько дней, то при включении это соединение не появляется, но появляется после перезагрузки. Незнакомые ссылки я проверяю через Virus Total, скачанные файлы - Касперским. Подозреваю, что что-то могло произойти из-за пользования торрент-клиентом, но Касперский при это всегда включен.
      Общался с поддержкой Касперского, отсылал им логи. Ничего не нашли.
      Если это все же какой-то вирус, можно ли его как-то вычислить и удалить? Нужно ли звонить провайдеру с просьбой о смене моего IP? Если все же придется сбрасывать ноутбук до заводских с последующим рекавери чистой системы, то безопасно ли будет перед этим сбросить данные на внешние носители или хотя бы облако без опасности повторения заражения?


      CollectionLog-2025.03.15-19.18.zip
    • EpaX
      Подозрение на майнер в процессе dwm.exe
      Автор EpaX
      Пару дней назад, при открытии диспетчера задач, обратила внимание, что загруженность процессора с 99% резко падает на стандартные 3-4%. Плюс замечено откровенное торможение в ресурсоемких процессах. Так же в процессах висит три dwm.exe.
      Утилиты cureIt и касперский не помогли.
      Логи прилагаю. Очень надеюсь на помощь.

      CollectionLog-2025.03.26-21.31.zip
×
×
  • Создать...