Перейти к содержанию
Правила раздела

Постоянно создается файл setup в InstallShield

ruslansymb

От ruslansymb
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

ruslansymb Новичок

ruslansymb

Опубликовано
Опубликовано

Добрый день, скорее всего скрытый майнер, в диспетчере задач постоянно висит файл setup.exe расположенный C:\Windows\SysWOW64\InstallShield\x32, вешает все возможные антивирусы если не в безопасном режиме, в нем же не запускается. Virustotal по файлу ничего не говорит. При удалении сразу появляется снова. Постоянно зависает Chome/

Ссылка на комментарий
Поделиться на другие сайты
akoK Ветеран

akoK

Опубликовано
Опубликовано (изменено)
https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]- если не сработает в обычном, соберите логи в безопасном режиме. Изменено пользователем akoK
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
ruslansymb Новичок

ruslansymb

Опубликовано
  • Автор
Опубликовано (изменено)

В обычном режиме не смог собрать логи, только в безопасном. KVRT нашел вирус, но спустя время снова появился этот файл и система снова стала зависать

CollectionLog-2019.01.25-18.51.zip

Изменено пользователем ruslansymb
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DelBHO('{E81D3BD4-0E3E-4B58-BEC1-F3791DAA11A8}');
 DeleteService('AppoxinloK');
 DeleteFile('C:\ProgramData\AppoxinloK\AppoxinloK.exe','64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\1146184','x64');
 DeleteFile('C:\Users\Руслан\AppData\Roaming\ezxyepdtize\oqxw0cghag5.exe','64');
 DeleteFile('C:\Users\Руслан\AppData\Roaming\u155xlm4tlk\bsfca2xg3ht.exe','64');
 DeleteFile('C:\Users\Руслан\AppData\Roaming\1lsfxjuctqk\wqedpo1q2af.exe','64');
 DeleteFile('C:\Users\Руслан\AppData\Roaming\51uygt1oovs\f0pkfefcq4b.exe','64');
 DeleteFile('C:\Users\Руслан\AppData\Roaming\nuqf5u1xbyj\gsefa01fh50.exe','64');
 DeleteFile('C:\Users\Руслан\AppData\Roaming\dzl1dsf1blt\vtbzjwnmvxg.exe','64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\8408083','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\6017265','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\2626994','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\2426823','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\2173318','x64');
 DeleteFile('C:\Program Files\Q0C5NELH83\Q0C5NELH8.exe','64');
 DeleteFile('C:\Program Files\O5MV1LMJV4\O5MV1LMJV.exe','64');
 DeleteFile('C:\Program Files\WPJROV5TR6\WPJROV5TR.exe','64');
 DeleteFile('C:\Program Files (x86)\l0vxduh53er\6YN4G.exe','64');
 DeleteFile('C:\Program Files\B00VBR5OCT\B00VBR5OC.exe','64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VHC3RO0F9AHSACC','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TIJLK5AS21B5QWJ','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IQRBR6YFSIMNKNA','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EFT950XVBA9BJI5','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\87BMMT8JM18E450','x64');
 DeleteFile('C:\Users\Руслан\AppData\Roaming\YoutubeDownloader_upd\python\pythonw.exe','64');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','64');
 DeleteFile('C:\Program Files\Windows Photo Viewer\WGK6OPB7A127Q5NXG\YJdl3tw#4-.exe','64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YJdl3tw#4-.exe','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YoutubeDownloader_upd','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Zaxar Games Browser.lnk','x64');
 DeleteFile('C:\Program Files (x86)\eWuDAKEgxIE\kwiM6Mnlq.dll','32');
 DeleteFile('C:\Program Files (x86)\eWuDAKEgxIE\torgDxQ8.dll','64');
 DeleteFile('C:\Program Files (x86)\OKuaQUguzkJU2\nhAbdeQRcSdDL.dll','64');
 DeleteSchedulerTask('GfMAIZTzcVSvml');
 DeleteFile('C:\ProgramData\eJBlAwaaSdTwMIVB\Etfgybg.wsf','64');
 DeleteSchedulerTask('LFgOsdPPciToq2');
 DeleteSchedulerTask('PKsTXxbmnjfTBZZutgC2');
 DeleteSchedulerTask('uivBKWbDPzuGcGhdY2');
 DeleteSchedulerTask('{55A197B4-E8E4-0197-D7A8-9E4ADD551600}');
 DeleteFile('C:\Program Files (x86)\vgjjPxjnrdvSplcncAR\wCRjlcT.dll','64');
 DeleteFile('C:\Program Files (x86)\bLMoOsEEbuuGC\MTfwugQ.dll','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Пожалуйста, ЕЩЕ РАЗ запустите Autologger (попробуйте в обычном режиме, а не безопасном); прикрепите к следующему сообщению НОВЫЕ логи.
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
BHO: YoutubeAdBlock -> {E81D3BD4-0E3E-4B58-BEC1-F3791DAA11A8} -> C:\Program Files (x86)\eWuDAKEgxIE\torgDxQ8.dll => No File
2019-01-23 17:52 - 2019-01-23 18:53 - 000000004 _____ () C:\ProgramData\lock.dat
2019-01-23 17:52 - 2019-01-23 17:52 - 000000008 _____ () C:\ProgramData\ts.dat
2019-01-23 17:52 - 2019-01-23 18:53 - 000000004 _____ () C:\Users\Все пользователи\lock.dat
2019-01-23 17:52 - 2019-01-23 17:52 - 000000008 _____ () C:\Users\Все пользователи\ts.dat
2019-01-23 17:50 - 2019-01-23 17:50 - 006161408 _____ () C:\Users\Руслан\AppData\Local\dump007.dat
2019-01-23 17:45 - 2019-01-23 17:45 - 000140800 _____ () C:\Users\Руслан\AppData\Local\installer.dat
2019-01-23 17:45 - 2019-01-23 17:45 - 000000003 _____ () C:\Users\Руслан\AppData\Local\wbem.ini
2019-01-25 10:55 - 2019-01-25 17:25 - 000000000 ____D () C:\Users\Руслан\AppData\Local\Temp\IE8Shims.dll
FirewallRules: [{42E57FCC-9552-4B1A-B311-78CAD504D181}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe No File
FirewallRules: [{BE1E6986-3A6E-44A1-A679-3944700D71BF}] => (Allow) C:\Users\Руслан\AppData\Local\Temp\ZaxarSetup.4.001.1961.exe\zaxarloader.exe No File
FirewallRules: [{80967ED2-A4AD-4FB4-BD2B-5281870CBBE4}] => (Allow) C:\Users\Руслан\AppData\Roaming\SchedTaskSetup\sched.exe No File
FirewallRules: [{08A3CD6A-04CD-497E-AAC6-73FD67110AE9}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe No File
FirewallRules: [{250D1BB7-143C-4849-8441-6F4584945C61}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe No File
FirewallRules: [{8C57DBDD-0499-46BD-9342-14C3BBAA627F}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe No File
FirewallRules: [{0F45385B-0A44-4A84-9E21-1612024F6DB2}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe No File
FirewallRules: [{79EE5EEB-F12A-4533-9418-883D374721EB}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe No File
FirewallRules: [{9E346488-BF25-4BC7-AE85-027AA2FFCC7A}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe No File
FirewallRules: [{EC290FA8-47DD-41A3-BBAE-32683CC0CFAF}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe No File
FirewallRules: [{712D8386-84A3-4B63-81D1-4331F5CE7018}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{647F4080-39DA-49C1-96BA-2ECF36CA2B24}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{23423339-DB54-4DD0-90B2-773846D20DDD}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{5B598E97-3ABD-494F-94C1-6C63A7D15811}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{09F72A19-42BC-4DB8-8281-3169CA9B3F4F}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{9BAB7C7D-EB02-4A44-869C-14FDB568AD32}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{67E513E5-064E-4769-9E7D-278D65102B39}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{509AFD7E-4FDF-4FB3-84BA-D92D2DE894EA}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{21BC29FF-C86B-442F-97EE-3CF38AFB3FD2}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{17DE5D47-F02F-4929-B69C-9D33FCB756D4}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{EB9B013B-6FBE-4063-8690-3DBAE33FF4D6}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{C6B20CEE-C51D-4019-A400-AF7834FF7831}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{6EE2D468-9AF3-44D3-B2A7-0BA3BD1BFAF0}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{26AA1C97-83E5-4EEF-A8F3-45EB7B30FE25}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • nDaDe
      Постоянно крашится explorer.exe
      От nDaDe
      При загрузке в обычном режиме крашится explorer.exe (крашится, запускается и т.д.)
      До этого друг проверял с помощью dr.web cure it и KVRT, но логов не сохранилось. После этого недели 2 работало нормально, сейчас ситуация повторилась.
      Сейчас проверка ничего не находит.
      Можно глянуть логи, может остались еще следы, раз ситуация повторилась.
      CollectionLog-2025.01.05-16.46.zip
    • artem12
      dr web постоянно находит вирус chromium:page.malware.url
      От artem12
      C:\Users\sevak\AppData\Local\Google\Chrome\User Data\Default\File System\007\p\00\00000000 показывает что на этом пути вирус, я нажимаю вылечить, но вирус всё равно не пропадает. При повторном сканировании снова показывается. Я поочищал расширения гугла, сделал восстановление системы но он всё равно показывается и просканировал пк ращличными антивирусоми; kaspersky, malware и т.д.
    • Mrak
      Как удалить ненужные ленты и создать одну правильную?
      От Mrak
      Всем привет.
       
      На форуме постоянно слетают настройки лент. Образуются новые. Подскажите, как удалить лишние и сохранить одну "нормальную", чтобы туда попадали ВСЕ сообщения, КРОМЕ сообщений в разделе "уничтожение вирусов"?

      Вон сколько непрочитанного контента, а где кнопка "удалить"?
    • Evgeny16
      Могу создать только папку от имени админа, Crash Dump в папке AutoLogger
      От Evgeny16
      Здравствуйте, я конечно понимаю что это не совсем вирус, но у меня только остался один шанс на вас, данная ошибка появилась после введения скрипта в AutoLogger, после это могу создать только папку от имени админа, файлы приклепляю ниже


      CollectionLog-2025.02.18-19.24.zip
    • Leo_Pahomov
      расшифровка файлов
      От Leo_Pahomov
      Все файлы зашифрованы типом файла YAKRDXSNS
      DESKTOP-5B9SCJG_2025-02-21_17-43-06_v4.99.9v x64.7z
      Сообщение от модератора thyrex Темы объединены
×
×
  • Создать...