Перейти к содержанию
Правила раздела

Маскировка процессов.

Виктор Волобуев

Автор Виктор Волобуев
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Виктор Волобуев

Виктор Волобуев

Опубликовано
Опубликовано

Здравствуйте. Есть такая проблема. Процессор грузится на полную постоянно, антивирус пресекает попытку доступа к сайту ublockerext.com. А в AVZ обнаруживается маскировка процессов. Я подозреваю, что на компьютере есть вирус. Помогите справиться. Система - Windows 7 Starter. Нетбук Asus Eee PC.

Виктор Волобуев

Виктор Волобуев

Опубликовано
  • Автор
Опубликовано

AutoLogger двигается по кругу. каждый раз нажимаешь ок в сообщении AVZ и каждый раз происходит перезагрузка с появлением этого сообщения. может сделать логи вручную?

thyrex

thyrex

Опубликовано
Опубликовано

Попробуйте в безопасном режиме.

thyrex

thyrex

Опубликовано
Опубликовано

Отключите ВСЕ установленные в Хроме расширения и проверьте проблему.

Виктор Волобуев

Виктор Волобуев

Опубликовано
  • Автор
Опубликовано

В хроме не установлено никаких расширений.


Забыл добавить. обновления Windows не могу скачать. Не загружаются. Обновление антивируса тоже не загружаются. проверка памяти застряла на шести процентах первой проходки.

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

regist

regist

Опубликовано
Опубликовано

 

 


AutoLogger двигается по кругу. каждый раз нажимаешь ок в сообщении AVZ и каждый раз происходит перезагрузка с появлением этого сообщения. может сделать логи вручную?
Если снова будет по кругу, то после очередного "круга" заархивируйте и прикрепите файлы report*.log в папке Автологера.
regist

regist

Опубликовано
Опубликовано

@Виктор Волобуев, из обычного режима сбор логов по прежнему не работает? Если да, то просьба прикрепите репорты после работы Автологера в обычном режиме.

Виктор Волобуев

Виктор Волобуев

Опубликовано
  • Автор
Опубликовано

выполнил


@Виктор Волобуев, из обычного режима сбор логов по прежнему не работает? Если да, то просьба прикрепите репорты после работы Автологера в обычном режиме.

из безопасного режима все работает

Addition.txt

FRST.txt

regist

regist

Опубликовано
Опубликовано

 

 


из безопасного режима все работает
Только я спрашивал

 


в обычном режиме.
если у вас есть проблемы в обычном, то надо разбираться. А если у вас всё работает в безопасном, то там смотреть нечего.
Виктор Волобуев

Виктор Волобуев

Опубликовано
  • Автор
Опубликовано

 

из безопасного режима все работает

Только я спрашивал

 

в обычном режиме.

если у вас есть проблемы в обычном, то надо разбираться. А если у вас всё работает в безопасном, то там смотреть нев 

В обычном режиме все осталось по прежнему.

thyrex

thyrex

Опубликовано
Опубликовано

Ничего вирусоподобного логи не показывают.

 

А в AVZ обнаруживается маскировка процессов

Если самостоятельно менять настройки сканирования AVZ по умолчанию, то можно еще и не то увидеть в логах.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
Task: {C7064039-1C26-4029-B682-07F75EF25438} - no filepath
Task: {DE21CB5A-B795-4790-B0B5-58FF25C1A8B5} - no filepath
Toolbar: HKU\S-1-5-21-1173143516-1245923004-699615703-1000 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -  No File
ContextMenuHandlers1: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} =>  -> No File
ContextMenuHandlers4: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} =>  -> No File
ContextMenuHandlers4: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} =>  -> No File
ContextMenuHandlers6: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} =>  -> No File
CHR HKU\S-1-5-21-1173143516-1245923004-699615703-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [cpegcopcfajiiibidlaelhjjblpefbjk] - hxxp://clients2.google.com/service/update2/crx
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Сергей100
      [РЕШЕНО] Вирус, предположительно маскировка под dwm.exe
      Автор Сергей100
      Здравствуйте. Полагаю, что вирус маскируется под dwm.exe. В диспетчере задач данных процессов два. Грузит ЦП и ПК не переходит в режим сна, только гаснет экран. При отключении одного из этих процессов ПК уходит в сон, но после скрипт вируса видимо перезагружается. Прошу помочь удалить данный вирус.
      CollectionLog-2025.03.26-03.50.zip
    • KL FC Bot
      Техника Polyglot для маскировки зловредов | Блог Касперского
      Автор KL FC Bot
      Не так давно на нашем блоге для ИБ-исследователей Securelist вышел пост об атаке на российские промышленные предприятия с использованием бэкдора PhantomPyramid, которую наши эксперты с высокой степенью уверенности атрибутируют группе Head Mare. Атака была достаточно стандартной — письмо, якобы содержащее конфиденциальную информацию плюс архив со зловредом, пароль для распаковки которого находится прямо в теле письма. Но интересен способ, при помощи которого злоумышленники прятали свой вредоносный код в, казалось бы, безобидном файле, — для этого они использовали технику polyglot.
      Что такое техника polyglot
      В матрице MITRE ATT&CK polyglot-файлы описываются как файлы, относящиеся сразу к нескольким типам и работающие по-разному в зависимости от приложения, в котором они запущены. Используются они для маскировки зловредов — для пользователя, а также для некоторых защитных механизмов они могут выглядеть как что-то совершенно безопасное, например картинка или документ. А по факту внутри находится вредоносный код. Причем код может быть написан сразу на нескольких языках программирования.
      Злоумышленники используют самое разное сочетание форматов. Компания Unit42 исследовала атаку с применением файла контекстной справки в формате Microsoft Compiled HTML Help (расширение .chm), который одновременно является HTML-приложением (файлом в формате .hta). Исследователи также описывают применение картинки в формате .jpeg, внутри которой по факту находится PHP-архив .phar. В случае с атакой, исследованной нашими экспертами, внутри архива .zip был спрятан исполняемый код.
      .
      View the full article
    • dexter
      Процессы Касперского
      Автор dexter
      Здравствуйте. Может кто-то объяснит, что это такой за "перец" висит в памяти и  кушает больше 130 Мб памяти ?
      Где хвалёная оптимизация  продукта ? И не надо говорить, чтобы добавил ещё плашек.

    • ЕвгенийA
      Непонятный процесс Code.exe
      Автор ЕвгенийA
      Здравствуйте! Играл в игру A Dance of Fire and Ice и хотел оставить в фоне Process Hacker. После игры захотел посмотреть логи и заметил непонятный мне процесс Code.exe который за несколько секунд зачем то открыл cmd, conhost и wsl. Потом создал своих копий и закрылся. Это может быть вирус или просто обычное поведение системы?

    • EpaX
      Подозрение на майнер в процессе dwm.exe
      Автор EpaX
      Пару дней назад, при открытии диспетчера задач, обратила внимание, что загруженность процессора с 99% резко падает на стандартные 3-4%. Плюс замечено откровенное торможение в ресурсоемких процессах. Так же в процессах висит три dwm.exe.
      Утилиты cureIt и касперский не помогли.
      Логи прилагаю. Очень надеюсь на помощь.

      CollectionLog-2025.03.26-21.31.zip
×
×
  • Создать...