Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Постоянно создается файл setup в InstallShield

ruslansymb

Автор ruslansymb
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

ruslansymb Новичок

ruslansymb

Опубликовано
Опубликовано

Добрый день, скорее всего скрытый майнер, в диспетчере задач постоянно висит файл setup.exe расположенный C:\Windows\SysWOW64\InstallShield\x32, вешает все возможные антивирусы если не в безопасном режиме, в нем же не запускается. Virustotal по файлу ничего не говорит. При удалении сразу появляется снова. Постоянно зависает Chome/

Ссылка на комментарий
Поделиться на другие сайты
akoK Ветеран

akoK

Опубликовано
Опубликовано (изменено)
https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]- если не сработает в обычном, соберите логи в безопасном режиме. Изменено пользователем akoK
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
ruslansymb Новичок

ruslansymb

Опубликовано
  • Автор
Опубликовано (изменено)

В обычном режиме не смог собрать логи, только в безопасном. KVRT нашел вирус, но спустя время снова появился этот файл и система снова стала зависать

CollectionLog-2019.01.25-18.51.zip

Изменено пользователем ruslansymb
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DelBHO('{E81D3BD4-0E3E-4B58-BEC1-F3791DAA11A8}');
 DeleteService('AppoxinloK');
 DeleteFile('C:\ProgramData\AppoxinloK\AppoxinloK.exe','64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\1146184','x64');
 DeleteFile('C:\Users\Руслан\AppData\Roaming\ezxyepdtize\oqxw0cghag5.exe','64');
 DeleteFile('C:\Users\Руслан\AppData\Roaming\u155xlm4tlk\bsfca2xg3ht.exe','64');
 DeleteFile('C:\Users\Руслан\AppData\Roaming\1lsfxjuctqk\wqedpo1q2af.exe','64');
 DeleteFile('C:\Users\Руслан\AppData\Roaming\51uygt1oovs\f0pkfefcq4b.exe','64');
 DeleteFile('C:\Users\Руслан\AppData\Roaming\nuqf5u1xbyj\gsefa01fh50.exe','64');
 DeleteFile('C:\Users\Руслан\AppData\Roaming\dzl1dsf1blt\vtbzjwnmvxg.exe','64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\8408083','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\6017265','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\2626994','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\2426823','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\2173318','x64');
 DeleteFile('C:\Program Files\Q0C5NELH83\Q0C5NELH8.exe','64');
 DeleteFile('C:\Program Files\O5MV1LMJV4\O5MV1LMJV.exe','64');
 DeleteFile('C:\Program Files\WPJROV5TR6\WPJROV5TR.exe','64');
 DeleteFile('C:\Program Files (x86)\l0vxduh53er\6YN4G.exe','64');
 DeleteFile('C:\Program Files\B00VBR5OCT\B00VBR5OC.exe','64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VHC3RO0F9AHSACC','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TIJLK5AS21B5QWJ','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IQRBR6YFSIMNKNA','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EFT950XVBA9BJI5','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\87BMMT8JM18E450','x64');
 DeleteFile('C:\Users\Руслан\AppData\Roaming\YoutubeDownloader_upd\python\pythonw.exe','64');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','64');
 DeleteFile('C:\Program Files\Windows Photo Viewer\WGK6OPB7A127Q5NXG\YJdl3tw#4-.exe','64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YJdl3tw#4-.exe','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YoutubeDownloader_upd','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Zaxar Games Browser.lnk','x64');
 DeleteFile('C:\Program Files (x86)\eWuDAKEgxIE\kwiM6Mnlq.dll','32');
 DeleteFile('C:\Program Files (x86)\eWuDAKEgxIE\torgDxQ8.dll','64');
 DeleteFile('C:\Program Files (x86)\OKuaQUguzkJU2\nhAbdeQRcSdDL.dll','64');
 DeleteSchedulerTask('GfMAIZTzcVSvml');
 DeleteFile('C:\ProgramData\eJBlAwaaSdTwMIVB\Etfgybg.wsf','64');
 DeleteSchedulerTask('LFgOsdPPciToq2');
 DeleteSchedulerTask('PKsTXxbmnjfTBZZutgC2');
 DeleteSchedulerTask('uivBKWbDPzuGcGhdY2');
 DeleteSchedulerTask('{55A197B4-E8E4-0197-D7A8-9E4ADD551600}');
 DeleteFile('C:\Program Files (x86)\vgjjPxjnrdvSplcncAR\wCRjlcT.dll','64');
 DeleteFile('C:\Program Files (x86)\bLMoOsEEbuuGC\MTfwugQ.dll','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Пожалуйста, ЕЩЕ РАЗ запустите Autologger (попробуйте в обычном режиме, а не безопасном); прикрепите к следующему сообщению НОВЫЕ логи.
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
BHO: YoutubeAdBlock -> {E81D3BD4-0E3E-4B58-BEC1-F3791DAA11A8} -> C:\Program Files (x86)\eWuDAKEgxIE\torgDxQ8.dll => No File
2019-01-23 17:52 - 2019-01-23 18:53 - 000000004 _____ () C:\ProgramData\lock.dat
2019-01-23 17:52 - 2019-01-23 17:52 - 000000008 _____ () C:\ProgramData\ts.dat
2019-01-23 17:52 - 2019-01-23 18:53 - 000000004 _____ () C:\Users\Все пользователи\lock.dat
2019-01-23 17:52 - 2019-01-23 17:52 - 000000008 _____ () C:\Users\Все пользователи\ts.dat
2019-01-23 17:50 - 2019-01-23 17:50 - 006161408 _____ () C:\Users\Руслан\AppData\Local\dump007.dat
2019-01-23 17:45 - 2019-01-23 17:45 - 000140800 _____ () C:\Users\Руслан\AppData\Local\installer.dat
2019-01-23 17:45 - 2019-01-23 17:45 - 000000003 _____ () C:\Users\Руслан\AppData\Local\wbem.ini
2019-01-25 10:55 - 2019-01-25 17:25 - 000000000 ____D () C:\Users\Руслан\AppData\Local\Temp\IE8Shims.dll
FirewallRules: [{42E57FCC-9552-4B1A-B311-78CAD504D181}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe No File
FirewallRules: [{BE1E6986-3A6E-44A1-A679-3944700D71BF}] => (Allow) C:\Users\Руслан\AppData\Local\Temp\ZaxarSetup.4.001.1961.exe\zaxarloader.exe No File
FirewallRules: [{80967ED2-A4AD-4FB4-BD2B-5281870CBBE4}] => (Allow) C:\Users\Руслан\AppData\Roaming\SchedTaskSetup\sched.exe No File
FirewallRules: [{08A3CD6A-04CD-497E-AAC6-73FD67110AE9}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe No File
FirewallRules: [{250D1BB7-143C-4849-8441-6F4584945C61}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe No File
FirewallRules: [{8C57DBDD-0499-46BD-9342-14C3BBAA627F}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe No File
FirewallRules: [{0F45385B-0A44-4A84-9E21-1612024F6DB2}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe No File
FirewallRules: [{79EE5EEB-F12A-4533-9418-883D374721EB}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe No File
FirewallRules: [{9E346488-BF25-4BC7-AE85-027AA2FFCC7A}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe No File
FirewallRules: [{EC290FA8-47DD-41A3-BBAE-32683CC0CFAF}] => (Allow) C:\Windows\SysWOW64\InstallShield\setup.exe No File
FirewallRules: [{712D8386-84A3-4B63-81D1-4331F5CE7018}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{647F4080-39DA-49C1-96BA-2ECF36CA2B24}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{23423339-DB54-4DD0-90B2-773846D20DDD}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{5B598E97-3ABD-494F-94C1-6C63A7D15811}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{09F72A19-42BC-4DB8-8281-3169CA9B3F4F}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{9BAB7C7D-EB02-4A44-869C-14FDB568AD32}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{67E513E5-064E-4769-9E7D-278D65102B39}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{509AFD7E-4FDF-4FB3-84BA-D92D2DE894EA}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{21BC29FF-C86B-442F-97EE-3CF38AFB3FD2}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{17DE5D47-F02F-4929-B69C-9D33FCB756D4}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{EB9B013B-6FBE-4063-8690-3DBAE33FF4D6}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{C6B20CEE-C51D-4019-A400-AF7834FF7831}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{6EE2D468-9AF3-44D3-B2A7-0BA3BD1BFAF0}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
FirewallRules: [{26AA1C97-83E5-4EEF-A8F3-45EB7B30FE25}] => (Allow) C:\Windows\SysWOW64\InstallShield\x32\setup.exe ()
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KitKat
      [РЕШЕНО] Постоянно возвращается MEM:Trojan.Win32.SEPEH.gen
      Автор KitKat
      CollectionLog-2025.06.29-18.57.zip
      Снова и снова возвращается вирус MEM:Trojan.Win32.SEPEH.gen . При работе с одной программой антивирус Касперский начинает сигнализировать об активности вируса. Удаляет. Некоторое время тихо, Потом опять возвращается. С середины мая воюю. Утилита доктора Вэба вообще ничего не находит. 
    • Andrei93
      the application needs to be restored. run the setup wizard to restore
      Автор Andrei93
      Здравствуйте. У одного пользователя ошибка(Скрин)
       
      KES 12.3.0.493
       
      - Переустановка не помогает.
       
      Что можно придумать или какие логи могут помочь ?

    • gexxxagon
      Ошибка 0xc000017 постоянно выходит
      Автор gexxxagon
      При любой работе с пк (при работе с дисками, некоторыми командами в строке и тд) выходит эта ошибка.
      В Dr.Web CureIt чисто, все что было исправлено.
      Вручную через регистр пытались исправить некоторые ошибки, что-то исправилось, а что-то нет.
       
      Предполагаю, что возникло после установки обхода ограничений ютуба и дискорда, как многие говорят.
       
      Прилагаю файл, который обычно просят.
      FRST.txt
    • Alexxxxx
      У меня РАТ файл
      Автор Alexxxxx
      Я установил РАТ файл случайно 
      По ту сторону вируса со мной связался человек он говорит что у меня установлен dropper и bootkit вместе с rat вирусом он пытался получить доступ к аккаунтам , у некоторых я поменял пароль и отключил интернет кабель, что мне делать
    • Serhio0606
      Проверка файла
      Автор Serhio0606
      Здравствуйте, хотел скачать игру, но «Касперский» посчитал, что в файле-установщике есть вирус ( UDS:DangerousObject.Multi.Generic ). Я почитал про это в интернете и узнал, что он не всегда бывает вирусом, и чтобы проверить, можно отправить файл на форум, где специалисты вручную проверят его на наличие вирусов. Помогите, пожалуйста!
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь".
       
      Строгое предупреждение от модератора Mark D. Pearlstone На форуме запрещено размещать вредоносные и потенциально вредоносные файлы и ссылки на них.
       
×
×
  • Создать...