Перейти к содержанию

Подозрительный system.exe


Рекомендуемые сообщения

Здраствуйте, постояно откуда то берется, процесс system.exe
Я уже прошелся Dr.Web Cureit. Но эта зараза все вылазит, приходится через диспетчер закрывать.
Она лежит в какой то папке adobe, прилаживаю скриншот:
 

CollectionLog-2018.06.18-19.31.zip

post-50137-0-56436500-1529339697_thumb.png

Ссылка на комментарий
Поделиться на другие сайты

Скачайте автлогер по ссылке из правил

 

Скачайте актуальную версию автоматического сборщика логов

и переделайте логи.

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Cracked\AppData\Local\Adobe\adobe.exe', '');
 QuarantineFileF('C:\Users\Cracked\AppData\Local\Adobe', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\Cracked\AppData\Local\Adobe\adobe.exe', '32');
 DeleteFile('C:\Users\Cracked\AppData\Local\Adobe\adobe.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'system');
ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты

Карантин: https://virusinfo.info/virusdetector/report.php?md5=18299D69FEEFB152DC9778FFB0220283

Пришел ответ с newvirus:

quarantine.zip:

 

[KLAN-8251945879]

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы и ссылки были проверены в автоматическом режиме

В следующих файлах обнаружен вредоносный код:
adobe.exe - Trojan.Win32.Miner.tzrd

В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:
system.exe - not-a-virus:HEUR:RiskTool.Win32.BitCoinMiner.gen

В антивирусных базах информация по присланным вами ссылкам отсутствует:
https://forum.kasperskyclub.ru/index.php?showtopic=59643

Файлы и ссылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700
http://www.kaspersky.comhttps://www.securelist.com"


Кстати еще в папке adobe, сидит скрытый файл system.exe

 

CollectionLog-2018.06.19-11.37.zip

Изменено пользователем Gramm
Ссылка на комментарий
Поделиться на другие сайты

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,  

(uVS)
  • Извлеките uVS из архива или из zip-папки.
  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

     

    ;uVS v4.0.5 [http://dsrt.dyndns.org]
    v400c
    
    adddir %SystemDrive%\USERSCracked\AppData\crimg
    crimg
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
  • После этого в папке с программой будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Изменено пользователем regist
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Готово


А еще, я кажется знаю(но это не точно) откуда вылезла зараза
Кому можно передать этот файл, просто я знаю автора одной утилиты для игры, просто он очень уважаемый, и тогда мы бы его разоблачили, что он таким занимается.
Просто хочу убедится на 100%

CRACKED-ПК_2018-06-19_13-16-39.7z

Изменено пользователем Gramm
Ссылка на комментарий
Поделиться на другие сайты

расширения от Mail.ru используете (сами ставили)?

нет, это наверное сделал загрузчик, типо сохранить как .zip

Залили нужный мне файл, на тупой файлообменик, который типо архив в архиве.

по типу zip.exe

Изменено пользователем Gramm
Ссылка на комментарий
Поделиться на другие сайты

86.57.168.14:20000 - сами прописывали?

 

Проверьте эти файлы на virustotal

C:\PROGRAM FILES (X86)\BITPDE\BITPDE.EXE
кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.
 

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.0.12 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    BREG
    zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ONENOTE 2016.LNK
    ;---------command-block---------
    delref HTTP://MADLEN.UCOZ.COM/
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
    delref %Sys32%\DRIVERS\ZAM64.SYS
    delref %Sys32%\DRIVERS\ZAMGUARD64.SYS
    delref %SystemDrive%\MSOIA.EXE
    delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref HTTP://GO.MAIL.RU/DISTIB/EP/?Q={SEARCHTERMS}&PRODUCT_ID=%7BD759877A-0621-45E8-8BC1-F72430CFBD68%7D&GP=811014
    delref %SystemDrive%\USERS\CRACKED\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\CCFIFBOJENKENPKMNBNNDEADPFDIFFOF\11.0.26_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
    delref %SystemDrive%\USERS\CRACKED\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\OELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ\7.1.30_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC
    delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
    delref {8DAE90AD-4583-4977-9DD4-4360F7A45C74}\[CLSID]
    delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
    delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
    delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
    delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
    delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
    delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref G:\SETUP.EXE
    apply
    
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то
    с паролем
    virus
    .

  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 


еще в папке adobe, сидит скрытый файл system.exe
в логах его не видно, так что удалите вручную.

 

Ссылка на комментарий
Поделиться на другие сайты

 

 


86.57.168.14:20000 - сами прописывали?

Где прописывали? Это похоже ip моего интернет провайдера(byfly.by), так что думаю это моё.

C:\PROGRAM FILES (X86)\BITPDE\BITPDE.EXE


Это я скачивал на польском сайте прогу для открытия .pde (он чист)
https://www.virustotal.com/#/file/7c48ca3c1d1be6ce493fba454e5c1602264bf70656421d34860be09645ecd0a0/detection

в логах его не видно, так что удалите вручную.


Удалил вручную.
И отправил на ZOO на почту
Ссылка на комментарий
Поделиться на другие сайты

 

Где прописывали?

прокси в настройках IE, но он похоже отключён.

 

 

что с проблемой?

 

Вроде все нормально. Куда можно скинуть архив, я подозреваю что из-за него залезли эти adobe.exe и system.exe, хочу чтобы подтвердили

Изменено пользователем Gramm
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Snak3EyeS92
      Автор Snak3EyeS92
      Некоторое время назад стал наблюдать исходящее сетевое соединение от проводника на мониторе сетевой активности Kaspersky Internet Security. Раньше подобного не замечал. Появляется оно после перезагрузки системы. Проверял внешние IP, на которые идет соединение в Virus Total. Выдавалось вот такое: AS 8075 MICROSOFT-CORP-MSN-AS-BLOCK. К одному из этих IP были комментарии "Malware" и "Bot". Естественно возникли подозрения на вирус или взлом. Проверял компьютер как KIS, так и другими антивирусами, отправлял логи в поддержку Касперского и в соседний форум по помощи с удалением вирусов. В итоге почистил систему от мусора, а подозрений на заражение не было обнаружено. Но проблема остается. Посоветовали обратиться сюда. Остались опасения, что это может быть или глубоко спрятавшийся вирус/шпион/малварь/бот, или следы взлома. Хочу обновиться до Windows 10 с полным удалением данных старой системы, но сперва хочется понять что это вообще за соединение, и чем вызвано такое поведение проводника, если это не вирус. Ну и убедиться, что могу безопасно сохранить некоторые нужные данные на внешние носители или хотя бы в облако перед обновлением системы.
      Ссылка на предыдущую тему:
       
    • KL FC Bot
      Автор KL FC Bot
      В официальном магазине Chrome Web Store исследователи кибербезопасности обнаружили 57 подозрительных расширений более чем с 6 000 000 пользователей. Эти плагины привлекли внимание исследователей из-за того, что разрешения, которые они запрашивают, не соответствуют заявленным функциям.
      К тому же эти расширения скрыты от индексирования — они не отображаются в результатах поиска в Chrome Web Store и их не находят поисковые системы. Для установки такого плагина необходимо иметь прямую ссылку на него в магазине Chrome. В нашем посте расскажем подробно, почему расширения могут быть опасным инструментом в руках киберпреступников, в чем состоит угроза непосредственно от недавно обнаруженных подозрительных плагинов и как не стать жертвой их создателей.
      Чем опасны расширения и как удобство ставит под угрозу безопасность
      Мы уже не раз рассказывали о том, почему к установке браузерных расширений не стоит относиться легкомысленно. Плагины для браузеров часто помогают пользователям ускорить рутинные задачи — например, перевод информации на посещаемых сайтах или же проверку грамотности написанного текста. Однако за сэкономленные минуты нередко приходится платить собственной приватностью и безопасностью.
      Дело в том, что для эффективной работы расширениям, как правило, необходимо иметь широкий доступ ко всему, что делает пользователь в браузере. Например, даже «Google Переводчик» для своей работы просит доступ к «Просмотру и изменению данных на всех сайтах» — то есть он может не только наблюдать за всем, что делает пользователь в Интернете, но и изменять любую отображаемую на странице информацию. Например, в случае переводчика, подставлять переведенный текст вместо оригинального. А теперь представьте, что может сделать вредоносное расширение с таким уровнем доступа!
      Проблема еще и в том, что большинство пользователей не особенно задумывается о потенциальной опасности плагинов. Если исполняемых файлов из непроверенных источников многие уже привыкли опасаться, то от браузерных расширений, да к тому же загруженных из официального магазина, обычно никто не ждет подвоха.
       
      View the full article
    • Gennadiy
      Автор Gennadiy
      Здравствуйте!
       
      Вчера устанавливал приложения для прокси Cloudflare Warp и WireGuard (потом их удалил) и смотрел в YouTube инструкцию как всё это сделать. И при открытом YouTube (больше я ничего не делал и никуда не заходил) выскочило вдруг окно Касперского со следующей информацией:
      Событие: Остановлен переход на сайт
      Пользователь: NEOS\Пользовательдва
      Тип пользователя: Инициатор
      Имя приложения: firefox.exe
      Путь к приложению: C:\Program Files\Mozilla Firefox
      Компонент: Интернет-защита
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: bro.kosmohubeq.space/code/mizweojtg45ha3ddf42dsnbx
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: mizweojtg45ha3ddf42dsnbx
      Путь к объекту: bro.kosmohubeq.space/code
      Причина: Облачная защита
       
      Посмотрите, пожалуйста, нет ли никакого вируса.
      CollectionLog-2024.07.29-18.33.zip
    • singularpurplecloud
      Автор singularpurplecloud
      Событие: Мы нашли приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или вашим данным.
      Пользователь: RATINDISGUISE\user
      Тип пользователя: Активный пользователь
      Компонент: Антивирусная проверка
      Результат: Обнаружено
      Описание результата: Обнаружено
      Тип: Уязвимость
      Название: 68203
      Точность: Точно
      Степень угрозы: Низкая
      Тип объекта: Файл
      Имя объекта: $RU8ZV5V.exe
      Путь к объекту: C:\$Recycle.Bin\S-1-5-21-2739154480-802394143-3964783320-1001
      MD5 объекта: B2325881235719EC1F79F87AB9E63C09
      Причина: Базы
      Дата выпуска баз: Сегодня, 01/06/2024
    • Myllin
      Автор Myllin
      Всем привет. Имею 14 андроид и недавно проверял свой андроид свободным ПО Hypatia. Так вот она обнаружила неприятный результат. В телефоне покопался не нашел подобных файлов, что порекомендуете сделать? Может ли быть это ложным срабатыванием?

      Сообщение от модератора kmscom Тема перемещена из раздела Помощь в удалении вирусов  
×
×
  • Создать...