Перейти к содержанию
Правила раздела

Постоянно создается файл setup в InstallShield

ruslansymb

Автор ruslansymb
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

ruslansymb

ruslansymb

Опубликовано
Опубликовано

Добрый день, скорее всего скрытый майнер, в диспетчере задач постоянно висит файл setup.exe расположенный C:\Windows\SysWOW64\InstallShield\x32, вешает все возможные антивирусы если не в безопасном режиме, в нем же не запускается. Virustotal по файлу ничего не говорит. При удалении сразу появляется снова. Постоянно зависает Chome/

Ссылка на комментарий
Поделиться на другие сайты
akoK

akoK

Опубликовано
Опубликовано (изменено)
https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]- если не сработает в обычном, соберите логи в безопасном режиме. Изменено пользователем akoK
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
ruslansymb

ruslansymb

Опубликовано
  • Автор
Опубликовано (изменено)

В обычном режиме не смог собрать логи, только в безопасном. KVRT нашел вирус, но спустя время снова появился этот файл и система снова стала зависать

CollectionLog-2019.01.25-18.51.zip

Изменено пользователем ruslansymb
Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DelBHO('{E81D3BD4-0E3E-4B58-BEC1-F3791DAA11A8}');
 DeleteService('AppoxinloK');
 DeleteFile('C:\ProgramData\AppoxinloK\AppoxinloK.exe','64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\1146184','x64');
 DeleteFile('C:\Users\Руслан\AppData\Roaming\ezxyepdtize\oqxw0cghag5.exe','64');
 DeleteFile('C:\Users\Руслан\AppData\Roaming\u155xlm4tlk\bsfca2xg3ht.exe','64');
 DeleteFile('C:\Users\Руслан\AppData\Roaming\1lsfxjuctqk\wqedpo1q2af.exe','64');
 DeleteFile('C:\Users\Руслан\AppData\Roaming\51uygt1oovs\f0pkfefcq4b.exe','64');
 DeleteFile('C:\Users\Руслан\AppData\Roaming\nuqf5u1xbyj\gsefa01fh50.exe','64');
 DeleteFile('C:\Users\Руслан\AppData\Roaming\dzl1dsf1blt\vtbzjwnmvxg.exe','64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\8408083','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\6017265','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\2626994','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\2426823','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\2173318','x64');
 DeleteFile('C:\Program Files\Q0C5NELH83\Q0C5NELH8.exe','64');
 DeleteFile('C:\Program Files\O5MV1LMJV4\O5MV1LMJV.exe','64');
 DeleteFile('C:\Program Files\WPJROV5TR6\WPJROV5TR.exe','64');
 DeleteFile('C:\Program Files (x86)\l0vxduh53er\6YN4G.exe','64');
 DeleteFile('C:\Program Files\B00VBR5OCT\B00VBR5OC.exe','64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VHC3RO0F9AHSACC','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TIJLK5AS21B5QWJ','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IQRBR6YFSIMNKNA','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EFT950XVBA9BJI5','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\87BMMT8JM18E450','x64');
 DeleteFile('C:\Users\Руслан\AppData\Roaming\YoutubeDownloader_upd\python\pythonw.exe','64');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','64');
 DeleteFile('C:\Program Files\Windows Photo Viewer\WGK6OPB7A127Q5NXG\YJdl3tw#4-.exe','64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YJdl3tw#4-.exe','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YoutubeDownloader_upd','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Zaxar Games Browser.lnk','x64');
 DeleteFile('C:\Program Files (x86)\eWuDAKEgxIE\kwiM6Mnlq.dll','32');
 DeleteFile('C:\Program Files (x86)\eWuDAKEgxIE\torgDxQ8.dll','64');
 DeleteFile('C:\Program Files (x86)\OKuaQUguzkJU2\nhAbdeQRcSdDL.dll','64');
 DeleteSchedulerTask('GfMAIZTzcVSvml');
 DeleteFile('C:\ProgramData\eJBlAwaaSdTwMIVB\Etfgybg.wsf','64');
 DeleteSchedulerTask('LFgOsdPPciToq2');
 DeleteSchedulerTask('PKsTXxbmnjfTBZZutgC2');
 DeleteSchedulerTask('uivBKWbDPzuGcGhdY2');
 DeleteSchedulerTask('{55A197B4-E8E4-0197-D7A8-9E4ADD551600}');
 DeleteFile('C:\Program Files (x86)\vgjjPxjnrdvSplcncAR\wCRjlcT.dll','64');
 DeleteFile('C:\Program Files (x86)\bLMoOsEEbuuGC\MTfwugQ.dll','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Пожалуйста, ЕЩЕ РАЗ запустите Autologger (попробуйте в обычном режиме, а не безопасном); прикрепите к следующему сообщению НОВЫЕ логи.
Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
BHO: YoutubeAdBlock -> {E81D3BD4-0E3E-4B58-BEC1-F3791DAA11A8} -> C:\Program Files (x86)\eWuDAKEgxIE\torgDxQ8.dll => No File
2019-01-23 17:52 - 2019-01-23 18:53 - 000000004 _____ () C:\ProgramData\lock.dat
2019-01-23 17:52 - 2019-01-23 17:52 - 000000008 _____ () C:\ProgramData\ts.dat
2019-01-23 17:52 - 2019-01-23 18:53 - 000000004 _____ () C:\Users\Все пользователи\lock.dat
2019-01-23 17:52 - 2019-01-23 17:52 - 000000008 _____ () C:\Users\Все пользователи\ts.dat
2019-01-23 17:50 - 2019-01-23 17:50 - 006161408 _____ () C:\Users\Руслан\AppData\Local\dump007.dat
2019-01-23 17:45 - 2019-01-23 17:45 - 000140800 _____ () C:\Users\Руслан\AppData\Local\installer.dat
2019-01-23 17:45 - 2019-01-23 17:45 - 000000003 _____ () C:\Users\Руслан\AppData\Local\wbem.ini
2019-01-25 10:55 - 2019-01-25 17:25 - 000000000 ____D () C:\Users\Руслан\AppData\Local\Temp\IE8Shims.dll
FirewallRules: [{42E57FCC-9552-4B1A-B311-78CAD504D181}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe No File
FirewallRules: [{BE1E6986-3A6E-44A1-A679-3944700D71BF}] => (Allow) C:\Users\Руслан\AppData\Local\Temp\ZaxarSetup.4.001.1961.exe\zaxarloader.exe No File
FirewallRules: [{80967ED2-A4AD-4FB4-BD2B-5281870CBBE4}] => (Allow) C:\Users\Руслан\AppData\Roaming\SchedTaskSetup\sched.exe No File
FirewallRules: [{08A3CD6A-04CD-497E-AAC6-73FD67110AE9}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe No File
FirewallRules: [{250D1BB7-143C-4849-8441-6F4584945C61}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe No File
FirewallRules: [{8C57DBDD-0499-46BD-9342-14C3BBAA627F}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe No File
FirewallRules: [{0F45385B-0A44-4A84-9E21-1612024F6DB2}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe No File
FirewallRules: [{79EE5EEB-F12A-4533-9418-883D374721EB}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe No File
FirewallRules: [{9E346488-BF25-4BC7-AE85-027AA2FFCC7A}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe No File
FirewallRules: [{EC290FA8-47DD-41A3-BBAE-32683CC0CFAF}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe No File
FirewallRules: [{712D8386-84A3-4B63-81D1-4331F5CE7018}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{647F4080-39DA-49C1-96BA-2ECF36CA2B24}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{23423339-DB54-4DD0-90B2-773846D20DDD}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{5B598E97-3ABD-494F-94C1-6C63A7D15811}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{09F72A19-42BC-4DB8-8281-3169CA9B3F4F}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{9BAB7C7D-EB02-4A44-869C-14FDB568AD32}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{67E513E5-064E-4769-9E7D-278D65102B39}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{509AFD7E-4FDF-4FB3-84BA-D92D2DE894EA}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{21BC29FF-C86B-442F-97EE-3CF38AFB3FD2}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{17DE5D47-F02F-4929-B69C-9D33FCB756D4}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{EB9B013B-6FBE-4063-8690-3DBAE33FF4D6}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{C6B20CEE-C51D-4019-A400-AF7834FF7831}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{6EE2D468-9AF3-44D3-B2A7-0BA3BD1BFAF0}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{26AA1C97-83E5-4EEF-A8F3-45EB7B30FE25}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KitKat
      [РЕШЕНО] Постоянно возвращается MEM:Trojan.Win32.SEPEH.gen
      Автор KitKat
      CollectionLog-2025.06.29-18.57.zip
      Снова и снова возвращается вирус MEM:Trojan.Win32.SEPEH.gen . При работе с одной программой антивирус Касперский начинает сигнализировать об активности вируса. Удаляет. Некоторое время тихо, Потом опять возвращается. С середины мая воюю. Утилита доктора Вэба вообще ничего не находит. 
    • Quattro
      [РЕШЕНО] При каждой загрузке системы постоянно загружается фейковый AdBlock
      Автор Quattro
      Поймал откуда то фейковый Adblock, он установился во все браузеры. Самостоятельно удалил все расширения, вроде кое как почистил реестр, удалил из планировщика заданий, проверил несколькими программами и бестолку. Все равно при каждом запуске системы создаются вот такие файлы как на скрине. Каждый раз разное название, лежат одинаково в одном и том же месте для каждого браузера. Пользователи - Юзернейм - Appdata - Local - yandex - Default - extensions. Помогите удалить, уже всю голову изломал себе

      CollectionLog-2025.07.24-20.21.zip
    • Andrei93
      the application needs to be restored. run the setup wizard to restore
      Автор Andrei93
      Здравствуйте. У одного пользователя ошибка(Скрин)
       
      KES 12.3.0.493
       
      - Переустановка не помогает.
       
      Что можно придумать или какие логи могут помочь ?

    • Evgeniy Alekseevich
      Файлы зашифрованы, расширение файлов helpo2, как расшифровать ?
      Автор Evgeniy Alekseevich
      05 августа , судя по датам файлов, на нашем сервере был запущен шифровальщик, кем и как пока выясняем, но сегодня утром я обнаружил зашифрованы практически все файлы.
      Файлы имеют расширение helpo2.
      Может кто сталкивался и сможет помочь ?
      Связались с вымогателями, они для примера расшифровали два файла, я вложил в архив два зашифрованных и они же расшифрованные . Там же письмо, которое они оставили.
      Также прикладываю файлы от  Farbar Recovery Scan Tool.
      Может кто сможет помочь....
      С Уважением, Евгений.
       
       
      Addition.txt FRST.txt НаборФайлов5шт.zip
    • Денис А
      Все файлы зашифрованы шифровальщиком
      Автор Денис А
      Добрый день.
      Помогите, пожалуйста, расшифровать файлы на ПК.
      Приложил файлы зашифрованные. лог FRST и текстовый файл с требованием выкупа.
       
      Заранее спасибо.
      AeyLALoFF.README.txt зашифрованные файлы.rar Addition.txt
      FRST.txt
×
×
  • Создать...