Роман Гусев Опубликовано 15 июня, 2018 Опубликовано 15 июня, 2018 (изменено) Обнаружил два процесса в системе. Один из них грузит процессор на 50%, Второй является его охранником - не дает запустить ни avz, ни AdwCleaner, И даже захлопывает броузер при попытке открыть сайт AVZ или Касперского. Выделяются они тем, что являются 32-битными в 64-битной Win7, и запущены от пользователя, не от системы. Антивирус Avast и CureIt ничего не обнаружили, сайт virustotal сообщает что файл svchost.exe на 100% чист. Если убить оба процесса, через несколько часов они стартуют снова. Автозагрузка ничего подозрительного не содержит. Прилагаю логи AVZ и AswCleaner, снятые при закрытом процессе-охраннике. AdwCleanerC00.txt AdwCleanerS00.txt virusinfo_syscheck.zip Изменено 15 июня, 2018 пользователем Роман Гусев
Роман Гусев Опубликовано 16 июня, 2018 Автор Опубликовано 16 июня, 2018 Прикладываю логи универсального сборщика CollectionLog-2018.06.16-01.11.zip
regist Опубликовано 16 июня, 2018 Опубликовано 16 июня, 2018 Здравствуйте!Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Program Files (x86)\Common Files\oyZBe.exe', ''); DeleteFile('C:\Program Files (x86)\Common Files\oyZBe.exe'); ExecuteFile('schtasks.exe', '/delete /TN "{0CF4038D-CB2F-259A-7B5B-807058E5772A}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{21FCD1EB-FFD9-335B-43D2-90DC1BC411B4}" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "{F6C12608-3A64-F1B2-9DDE-CBFAAA574A1B}" /F', 0, 15000, true); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); ExecuteSysClean; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) "Пофиксите" в HijackThis (некоторые строки могут отсутствовать): O4-32 - (disabled) HKLM\..\Run-: [DelaypluginInstall] = C:\ProgramData\Wondershare\Video Converter Ultimate\DelayPluginI.exe (file missing) O4-32 - (disabled) HKLM\..\Run-: [Wondershare Helper Compact.exe] = C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe (file missing) O22 - Task: Opera scheduled Autoupdate 1528485029 - C:\Users\User\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (file missing) O22 - Task: {0CF4038D-CB2F-259A-7B5B-807058E5772A} - C:\Users\User\AppData\Local\Programs\Opera\Launcher.exe http://cetttip.net/cl/?guid=gykfts5gpi9ytdbbti22aszhvrnf60zd&prid=1&pid=4_1390_0 (file missing) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Роман Гусев Опубликовано 17 июня, 2018 Автор Опубликовано 17 июня, 2018 спасибо! После перезагрузки вредоносных процессов нет. К сожалению, файл quarantine.zip является пустым zip файлом размером 22 байта. oyZBe.exe был предварительно проверен на virustotal.com и имеет 0 срабатываний.
mike 1 Опубликовано 17 июня, 2018 Опубликовано 17 июня, 2018 Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. ???
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти