Перейти к содержанию
Правила раздела

Постоянно создается файл setup в InstallShield

ruslansymb

От ruslansymb
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

ruslansymb Новичок

ruslansymb

Опубликовано
Опубликовано

Добрый день, скорее всего скрытый майнер, в диспетчере задач постоянно висит файл setup.exe расположенный C:\Windows\SysWOW64\InstallShield\x32, вешает все возможные антивирусы если не в безопасном режиме, в нем же не запускается. Virustotal по файлу ничего не говорит. При удалении сразу появляется снова. Постоянно зависает Chome/

Ссылка на комментарий
Поделиться на другие сайты
akoK Ветеран

akoK

Опубликовано
Опубликовано (изменено)
https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]- если не сработает в обычном, соберите логи в безопасном режиме. Изменено пользователем akoK
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
ruslansymb Новичок

ruslansymb

Опубликовано
  • Автор
Опубликовано (изменено)

В обычном режиме не смог собрать логи, только в безопасном. KVRT нашел вирус, но спустя время снова появился этот файл и система снова стала зависать

CollectionLog-2019.01.25-18.51.zip

Изменено пользователем ruslansymb
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DelBHO('{E81D3BD4-0E3E-4B58-BEC1-F3791DAA11A8}');
 DeleteService('AppoxinloK');
 DeleteFile('C:\ProgramData\AppoxinloK\AppoxinloK.exe','64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\1146184','x64');
 DeleteFile('C:\Users\Руслан\AppData\Roaming\ezxyepdtize\oqxw0cghag5.exe','64');
 DeleteFile('C:\Users\Руслан\AppData\Roaming\u155xlm4tlk\bsfca2xg3ht.exe','64');
 DeleteFile('C:\Users\Руслан\AppData\Roaming\1lsfxjuctqk\wqedpo1q2af.exe','64');
 DeleteFile('C:\Users\Руслан\AppData\Roaming\51uygt1oovs\f0pkfefcq4b.exe','64');
 DeleteFile('C:\Users\Руслан\AppData\Roaming\nuqf5u1xbyj\gsefa01fh50.exe','64');
 DeleteFile('C:\Users\Руслан\AppData\Roaming\dzl1dsf1blt\vtbzjwnmvxg.exe','64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\8408083','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\6017265','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\2626994','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\2426823','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\2173318','x64');
 DeleteFile('C:\Program Files\Q0C5NELH83\Q0C5NELH8.exe','64');
 DeleteFile('C:\Program Files\O5MV1LMJV4\O5MV1LMJV.exe','64');
 DeleteFile('C:\Program Files\WPJROV5TR6\WPJROV5TR.exe','64');
 DeleteFile('C:\Program Files (x86)\l0vxduh53er\6YN4G.exe','64');
 DeleteFile('C:\Program Files\B00VBR5OCT\B00VBR5OC.exe','64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VHC3RO0F9AHSACC','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TIJLK5AS21B5QWJ','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IQRBR6YFSIMNKNA','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EFT950XVBA9BJI5','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\87BMMT8JM18E450','x64');
 DeleteFile('C:\Users\Руслан\AppData\Roaming\YoutubeDownloader_upd\python\pythonw.exe','64');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','64');
 DeleteFile('C:\Program Files\Windows Photo Viewer\WGK6OPB7A127Q5NXG\YJdl3tw#4-.exe','64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YJdl3tw#4-.exe','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YoutubeDownloader_upd','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Zaxar Games Browser.lnk','x64');
 DeleteFile('C:\Program Files (x86)\eWuDAKEgxIE\kwiM6Mnlq.dll','32');
 DeleteFile('C:\Program Files (x86)\eWuDAKEgxIE\torgDxQ8.dll','64');
 DeleteFile('C:\Program Files (x86)\OKuaQUguzkJU2\nhAbdeQRcSdDL.dll','64');
 DeleteSchedulerTask('GfMAIZTzcVSvml');
 DeleteFile('C:\ProgramData\eJBlAwaaSdTwMIVB\Etfgybg.wsf','64');
 DeleteSchedulerTask('LFgOsdPPciToq2');
 DeleteSchedulerTask('PKsTXxbmnjfTBZZutgC2');
 DeleteSchedulerTask('uivBKWbDPzuGcGhdY2');
 DeleteSchedulerTask('{55A197B4-E8E4-0197-D7A8-9E4ADD551600}');
 DeleteFile('C:\Program Files (x86)\vgjjPxjnrdvSplcncAR\wCRjlcT.dll','64');
 DeleteFile('C:\Program Files (x86)\bLMoOsEEbuuGC\MTfwugQ.dll','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Пожалуйста, ЕЩЕ РАЗ запустите Autologger (попробуйте в обычном режиме, а не безопасном); прикрепите к следующему сообщению НОВЫЕ логи.
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
BHO: YoutubeAdBlock -> {E81D3BD4-0E3E-4B58-BEC1-F3791DAA11A8} -> C:\Program Files (x86)\eWuDAKEgxIE\torgDxQ8.dll => No File
2019-01-23 17:52 - 2019-01-23 18:53 - 000000004 _____ () C:\ProgramData\lock.dat
2019-01-23 17:52 - 2019-01-23 17:52 - 000000008 _____ () C:\ProgramData\ts.dat
2019-01-23 17:52 - 2019-01-23 18:53 - 000000004 _____ () C:\Users\Все пользователи\lock.dat
2019-01-23 17:52 - 2019-01-23 17:52 - 000000008 _____ () C:\Users\Все пользователи\ts.dat
2019-01-23 17:50 - 2019-01-23 17:50 - 006161408 _____ () C:\Users\Руслан\AppData\Local\dump007.dat
2019-01-23 17:45 - 2019-01-23 17:45 - 000140800 _____ () C:\Users\Руслан\AppData\Local\installer.dat
2019-01-23 17:45 - 2019-01-23 17:45 - 000000003 _____ () C:\Users\Руслан\AppData\Local\wbem.ini
2019-01-25 10:55 - 2019-01-25 17:25 - 000000000 ____D () C:\Users\Руслан\AppData\Local\Temp\IE8Shims.dll
FirewallRules: [{42E57FCC-9552-4B1A-B311-78CAD504D181}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe No File
FirewallRules: [{BE1E6986-3A6E-44A1-A679-3944700D71BF}] => (Allow) C:\Users\Руслан\AppData\Local\Temp\ZaxarSetup.4.001.1961.exe\zaxarloader.exe No File
FirewallRules: [{80967ED2-A4AD-4FB4-BD2B-5281870CBBE4}] => (Allow) C:\Users\Руслан\AppData\Roaming\SchedTaskSetup\sched.exe No File
FirewallRules: [{08A3CD6A-04CD-497E-AAC6-73FD67110AE9}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe No File
FirewallRules: [{250D1BB7-143C-4849-8441-6F4584945C61}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe No File
FirewallRules: [{8C57DBDD-0499-46BD-9342-14C3BBAA627F}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe No File
FirewallRules: [{0F45385B-0A44-4A84-9E21-1612024F6DB2}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe No File
FirewallRules: [{79EE5EEB-F12A-4533-9418-883D374721EB}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe No File
FirewallRules: [{9E346488-BF25-4BC7-AE85-027AA2FFCC7A}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe No File
FirewallRules: [{EC290FA8-47DD-41A3-BBAE-32683CC0CFAF}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe No File
FirewallRules: [{712D8386-84A3-4B63-81D1-4331F5CE7018}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{647F4080-39DA-49C1-96BA-2ECF36CA2B24}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{23423339-DB54-4DD0-90B2-773846D20DDD}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{5B598E97-3ABD-494F-94C1-6C63A7D15811}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{09F72A19-42BC-4DB8-8281-3169CA9B3F4F}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{9BAB7C7D-EB02-4A44-869C-14FDB568AD32}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{67E513E5-064E-4769-9E7D-278D65102B39}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{509AFD7E-4FDF-4FB3-84BA-D92D2DE894EA}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{21BC29FF-C86B-442F-97EE-3CF38AFB3FD2}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{17DE5D47-F02F-4929-B69C-9D33FCB756D4}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{EB9B013B-6FBE-4063-8690-3DBAE33FF4D6}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{C6B20CEE-C51D-4019-A400-AF7834FF7831}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{6EE2D468-9AF3-44D3-B2A7-0BA3BD1BFAF0}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{26AA1C97-83E5-4EEF-A8F3-45EB7B30FE25}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • nDaDe
      Постоянно крашится explorer.exe
      От nDaDe
      При загрузке в обычном режиме крашится explorer.exe (крашится, запускается и т.д.)
      До этого друг проверял с помощью dr.web cure it и KVRT, но логов не сохранилось. После этого недели 2 работало нормально, сейчас ситуация повторилась.
      Сейчас проверка ничего не находит.
      Можно глянуть логи, может остались еще следы, раз ситуация повторилась.
      CollectionLog-2025.01.05-16.46.zip
    • Ammorf
      Kaspersky Security Center: Не создается файл отчета в PDF
      От Ammorf
      OS - Windows Server 2012, установлены .NET Framework 3.5 и 4.8
      KSC - 14.2.0.26967

      При попытке выгрузки отчета в формате pdf возникает ошибка "Не удалось создать отчет. Unspecified error".
      Ошибка возникает только при попытке выгрузки на самом сервере, если делать через консоль на обычной win 10 машине - все ок.
      Однако из-за того, что он не может делать это на сервере - он так же не может их отправлять по почте или класть в папку в соответствии с расписанием. 
      В логах "Kaspersky Event log", "Kaspersky Security" и системных логах не создается ничего при воспроизведении такой ошибки.
      Правка реестра (HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Nls\CodePage) со сменой локализации не помогает, к тому же изначально была установлена правильная  1251.
      .NET Framework 3.5 и 4.8 - установлен

    • Klomdeo
      Постоянно находит HEUR:Trojan.Multi.GenBadur.genw
      От Klomdeo
      Постоянно после перезагрузки компьютера находит эту программу. Раньше не обращал внимания, но вчера сам оп себе завершил работу компьютер. Уже второй день сношу эту программу через несколько этапов очистки Касперского, ничего не помогает. Из пиратского на компе была игра Content Warning, файлы которой я удалил в самом начале борьбы и OverWolf с Thunderstore mod manager для модов на игру Lethal Company. Помогите разобраться с данной проблемой, пожалуйста.

    • Vinchi
      На пк "Nanominer", если сношу самостоятельно - постоянно восстанавливается, через касперский такая же ситуация.
      От Vinchi
      Решил я скачать фикс для дс. Зашёл на ютуб и вбил, нашел вроде нормального ютубера, видео хорошее, лайков много и комментарии все хорошие. Ну скачал я через некоторое время моему пк стало очень плохо, начал сильно лагать и т.д. Пытался найти проблему - не смог. Решил переустановить винду. Переустановил я винду и снова те же симптомы. Думал, что что-то не так с технической стороны пк, сдал его в сервис там сидели и думали на протяжении 4 дней - ничего не нашли. Потом я решил сам покопаться в системе и нашел тот самый - nanominer. Пытался его удалить через касперский - когда его удаляешь он восстанавливается, вручную удаляешь - итог тот же. Очистил все бек апы, удаляю - восстанавливается. Так же когда открыт диспетчер задач - нагрузка на пк 8%-10% ЦП, когда закрыт - 100% ЦП. Так же AutoLogger не работает, когда диспетчер задач закрыт, говорит, что нет доступа к AV
      CollectionLog-2024.12.23-19.43.zip
    • Gistap
      Два файла Dwm.exe
      От Gistap
      Когда я включаю пк у меня он начинает сильно шуметь и проц грузиться очень сильно, и грееться до 70 градусов на рабочем столе. Когда я открываю диспетчер задач до 2 dwm.exe который походу майнер снижает моментально нагрузку с цп, но его задачу можно снять и он не будет грузить систему будет только 1 dwm.exe файл. И ещё у того dwm exe который грузит цп путь такой же как и у оригинального, что мне в этом случае делать я уже всё антивирусы перепробовал и в безопасном режиме их прогонял что только я не делал, не должен же себя так вести себя dwm exe почему когда я открываю диспетчер задач нагрузка моментально падает это же не нормально. Я думал что это майнер, антивирусы находили трояны я их удалял в безопасном режиме. Почему их воопще 2 может эта ошибка системы?

×
×
  • Создать...