Перейти к содержанию

Подозрительный system.exe


Рекомендуемые сообщения

Здраствуйте, постояно откуда то берется, процесс system.exe
Я уже прошелся Dr.Web Cureit. Но эта зараза все вылазит, приходится через диспетчер закрывать.
Она лежит в какой то папке adobe, прилаживаю скриншот:
 

CollectionLog-2018.06.18-19.31.zip

post-50137-0-56436500-1529339697_thumb.png

Ссылка на сообщение
Поделиться на другие сайты

Скачайте автлогер по ссылке из правил

 

Скачайте актуальную версию автоматического сборщика логов

и переделайте логи.

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Cracked\AppData\Local\Adobe\adobe.exe', '');
 QuarantineFileF('C:\Users\Cracked\AppData\Local\Adobe', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\Cracked\AppData\Local\Adobe\adobe.exe', '32');
 DeleteFile('C:\Users\Cracked\AppData\Local\Adobe\adobe.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'system');
ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Изменено пользователем regist
Ссылка на сообщение
Поделиться на другие сайты

Карантин: https://virusinfo.info/virusdetector/report.php?md5=18299D69FEEFB152DC9778FFB0220283

Пришел ответ с newvirus:

quarantine.zip:

 

[KLAN-8251945879]

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы и ссылки были проверены в автоматическом режиме

В следующих файлах обнаружен вредоносный код:
adobe.exe - Trojan.Win32.Miner.tzrd

В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:
system.exe - not-a-virus:HEUR:RiskTool.Win32.BitCoinMiner.gen

В антивирусных базах информация по присланным вами ссылкам отсутствует:
https://forum.kasperskyclub.ru/index.php?showtopic=59643

Файлы и ссылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700
http://www.kaspersky.comhttps://www.securelist.com"


Кстати еще в папке adobe, сидит скрытый файл system.exe

 

CollectionLog-2018.06.19-11.37.zip

Изменено пользователем Gramm
Ссылка на сообщение
Поделиться на другие сайты

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,  

(uVS)
  • Извлеките uVS из архива или из zip-папки.
  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

     

    ;uVS v4.0.5 [http://dsrt.dyndns.org]
    v400c
    
    adddir %SystemDrive%\USERSCracked\AppData\crimg
    crimg
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
  • После этого в папке с программой будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Изменено пользователем regist
Ссылка на сообщение
Поделиться на другие сайты

Готово


А еще, я кажется знаю(но это не точно) откуда вылезла зараза
Кому можно передать этот файл, просто я знаю автора одной утилиты для игры, просто он очень уважаемый, и тогда мы бы его разоблачили, что он таким занимается.
Просто хочу убедится на 100%

CRACKED-ПК_2018-06-19_13-16-39.7z

Изменено пользователем Gramm
Ссылка на сообщение
Поделиться на другие сайты

расширения от Mail.ru используете (сами ставили)?

нет, это наверное сделал загрузчик, типо сохранить как .zip

Залили нужный мне файл, на тупой файлообменик, который типо архив в архиве.

по типу zip.exe

Изменено пользователем Gramm
Ссылка на сообщение
Поделиться на другие сайты

86.57.168.14:20000 - сами прописывали?

 

Проверьте эти файлы на virustotal

C:\PROGRAM FILES (X86)\BITPDE\BITPDE.EXE
кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.
 

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.0.12 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    BREG
    zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ONENOTE 2016.LNK
    ;---------command-block---------
    delref HTTP://MADLEN.UCOZ.COM/
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
    delref %Sys32%\DRIVERS\ZAM64.SYS
    delref %Sys32%\DRIVERS\ZAMGUARD64.SYS
    delref %SystemDrive%\MSOIA.EXE
    delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref HTTP://GO.MAIL.RU/DISTIB/EP/?Q={SEARCHTERMS}&PRODUCT_ID=%7BD759877A-0621-45E8-8BC1-F72430CFBD68%7D&GP=811014
    delref %SystemDrive%\USERS\CRACKED\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\CCFIFBOJENKENPKMNBNNDEADPFDIFFOF\11.0.26_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
    delref %SystemDrive%\USERS\CRACKED\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\OELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ\7.1.30_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC
    delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
    delref {8DAE90AD-4583-4977-9DD4-4360F7A45C74}\[CLSID]
    delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
    delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
    delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
    delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
    delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
    delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref G:\SETUP.EXE
    apply
    
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то
    с паролем
    virus
    .

  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 


еще в папке adobe, сидит скрытый файл system.exe
в логах его не видно, так что удалите вручную.

 

Ссылка на сообщение
Поделиться на другие сайты

 

 


86.57.168.14:20000 - сами прописывали?

Где прописывали? Это похоже ip моего интернет провайдера(byfly.by), так что думаю это моё.

C:\PROGRAM FILES (X86)\BITPDE\BITPDE.EXE


Это я скачивал на польском сайте прогу для открытия .pde (он чист)
https://www.virustotal.com/#/file/7c48ca3c1d1be6ce493fba454e5c1602264bf70656421d34860be09645ecd0a0/detection

в логах его не видно, так что удалите вручную.


Удалил вручную.
И отправил на ZOO на почту
Ссылка на сообщение
Поделиться на другие сайты

 

Где прописывали?

прокси в настройках IE, но он похоже отключён.

 

 

что с проблемой?

 

Вроде все нормально. Куда можно скинуть архив, я подозреваю что из-за него залезли эти adobe.exe и system.exe, хочу чтобы подтвердили

Изменено пользователем Gramm
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От SemKrill
      Здравствуйте , не могу установить антивирусы . Также заметил что помимо процесса system , грузит компьютер еще процесс securityhealthtray.exe .
      Виртуальная память постоянно забита , хотя было выделено примерно 17гб (посмотрел в mem reduct) . Проблемы начелись месяца 3 назад , скачивал много странных файлов :] . На тот момент был установлен касперский , вроде не ругался . И Потом он просто не открывался , никак . Решил переустановить и установочник не запускался . Чистил компьютер через cureit , нашел вирусы , все удалил . Но именно после этого процесс system начел грузить весь диск и всю систему . Помогите реально
      CollectionLog-2021.03.06-14.57.zip
×
×
  • Создать...