Перейти к содержанию

[РЕШЕНО] Не лечится mem:trojan.win32.sepeh.gen


Рекомендуемые сообщения

Касперский периодически находит вышеупомянутый троян, предлагает вылечить с перезагрузкой. Но это не помогает и троян через некоторое время снова даёт о себе знать. Попытка вылечить другими антивирусами приводит к тому же результату.

CollectionLog-2021.06.26-19.28.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
 

P.S.  Также не рекомендуется использовать более одного антивируса в системе, так как это можнет снизить производительность и быть причиной возникновения возможных сбоев и конфликтов.

Ссылка на сообщение
Поделиться на другие сайты

сделал

1 час назад, SQ сказал:

Здравствуйте,

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
 

 

MICHICO_2021-06-26_22-43-48_v4.11.6.7z

Ссылка на сообщение
Поделиться на другие сайты

Для начала

 

1)

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

2) Оставьте только один антивирус в системе

Symantec Endpoint Protection [20191226]-->MsiExec.exe /I{F228832E-3412-476B-BF58-5C6B58013061}
Kaspersky Password Manager [2020/09/16 04:06:32]-->MsiExec.exe /I{B2F7333E-6C8D-4994-AAC4-FEC8EBBF9611} REMOVE=ALL
Kaspersky Password Manager [20210617]-->MsiExec.exe /X{B2F7333E-6C8D-4994-AAC4-FEC8EBBF9611}
Kaspersky Secure Connection [2021/03/13 16:35:44]-->MsiExec.exe /I{FF2A12B8-AEB7-48C0-95C8-E2E3D67DFCB2} REMOVE=ALL
Kaspersky Secure Connection [20210615]-->MsiExec.exe /I{FF2A12B8-AEB7-48C0-95C8-E2E3D67DFCB2}
Kaspersky Total Security [2021/03/14 15:21:02]-->MsiExec.exe /I{4FC79BE9-AD63-46C0-9626-E4F6BCE6A976} REMOVE=ALL
Kaspersky Total Security [20210615]-->MsiExec.exe /I{4FC79BE9-AD63-46C0-9626-E4F6BCE6A976}

Когда там два антивируса дерутся между собой, а не с вирусами, то там что угодно может происходить.

  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты

Уточните вы оставили в вашей системе только один антивирус?

Знаком ли Вам следующий файл, если нет могли бы его проверить на портале virustotal.com?

D:\PROGRAM FILES\ASCON\KOMPAS-3D V19 STUDY\LIBS\MATERIALS\MATERIALS.EXE



Выполните скрипт в uVS:

;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
cexec tools\CreateRestorePoint.exe BeforeCure
zoo D:\PROGRAM FILES\ASCON\KOMPAS-3D V19 STUDY\LIBS\MATERIALS\MATERIALS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.33\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.33\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.65\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.65\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.69\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.69\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.59\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.59\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.45\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.45\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.49\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.49\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.51\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.51\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.55\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.55\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.57\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.57\PSMACHINE_64.DLL
czoo
restart

Обратите внимание, что компьютер перегрузиться после выполнения скрипта.

Ссылка на сообщение
Поделиться на другие сайты
35 минут назад, SQ сказал:

Уточните вы оставили в вашей системе только один антивирус?

Знаком ли Вам следующий файл, если нет могли бы его проверить на портале virustotal.com?


D:\PROGRAM FILES\ASCON\KOMPAS-3D V19 STUDY\LIBS\MATERIALS\MATERIALS.EXE



Выполните скрипт в uVS:


;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
cexec tools\CreateRestorePoint.exe BeforeCure
zoo D:\PROGRAM FILES\ASCON\KOMPAS-3D V19 STUDY\LIBS\MATERIALS\MATERIALS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.33\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.33\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.65\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.65\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.69\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.69\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.59\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.59\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.45\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.45\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.49\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.49\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.51\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.51\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.55\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.55\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.57\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.57\PSMACHINE_64.DLL
czoo
restart

Обратите внимание, что компьютер перегрузиться после выполнения скрипта.

оставил только касперского, файл проверил - чист, скрипт выполнил

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" , "SigCheckExt" и "90 Days Files".

FRST.png

  1. Нажмите кнопку Scan.
  2. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  3. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на сообщение
Поделиться на другие сайты
  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Выделите следующий код::
    Start::
    CreateRestorePoint:
    CloseProcesses:
    File: C:\WINDOWS\upwpm2.exe
    Edge Extension: (Нет имени) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [не найдено]
    Edge Extension: (Нет имени) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [не найдено]
    Edge Extension: (Нет имени) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [не найдено]
    Edge Extension: (Нет имени) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [не найдено]
    File: C:\WINDOWS\system32\Drivers\RTAIODAT.DAT
    File: C:\Users\m.dvinskih\antiword.exe
    File: C:\Users\m.dvinskih\adig.exe
    File: C:\Users\m.dvinskih\ahost.exe
    File: C:\Users\m.dvinskih\arch.exe
    File: C:\Users\m.dvinskih\xxd.exe
    Zip: C:\Users\m.dvinskih\antiword.exe;C:\Users\m.dvinskih\adig.exe;C:\Users\m.dvinskih\ahost.exe;C:\Users\m.dvinskih\arch.exe;C:\Users\m.dvinskih\Askpass.exe;C:\Users\m.dvinskih\xxd.exe
    FirewallRules: [{21E598AA-F5E2-4C0B-894E-AF6E60F38E8D}] => (Allow) C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\14.2.4814.1101.105\Bin64\snac64.exe => Нет файла
    FirewallRules: [{44091BF9-0A84-4AC1-BE8B-8DB671D02F64}] => (Allow) C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\14.2.4814.1101.105\Bin64\snac64.exe => Нет файла
    FirewallRules: [{97E8C5A4-7181-4152-84FF-ADC8D97561BB}] => (Allow) C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\14.2.4814.1101.105\Bin\ccSvcHst.exe => Нет файла
    FirewallRules: [{5F165056-D913-46AC-B086-A41424F525DC}] => (Allow) C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\14.2.4814.1101.105\Bin\ccSvcHst.exe => Нет файла
    FirewallRules: [{4BCE8FDD-AAC8-472A-872C-704BB57A3DDC}] => (Allow) C:\Program Files (x86)\Autodesk\Backburner\server.exe => Нет файла
    FirewallRules: [{92807B5A-F52F-4514-B2B6-77C1922342EC}] => (Allow) C:\Program Files (x86)\Autodesk\Backburner\server.exe => Нет файла
    FirewallRules: [{2A4537D4-E5B1-4197-8BBA-0DB650D1EF3B}] => (Allow) C:\Program Files (x86)\Autodesk\Backburner\MANAGER.exe => Нет файла
    FirewallRules: [{230C0FFA-7867-4758-98CC-2FF17C07BE04}] => (Allow) C:\Program Files (x86)\Autodesk\Backburner\MANAGER.exe => Нет файла
    FirewallRules: [{CAF2CA70-5D3E-415B-9A14-A750D7110BFE}] => (Allow) C:\Program Files (x86)\Autodesk\Backburner\monitor.exe => Нет файла
    FirewallRules: [{6BF0B6C8-96FB-4B60-A92A-C67EC47AEAA7}] => (Allow) C:\Program Files (x86)\Autodesk\Backburner\monitor.exe => Нет файла
    FirewallRules: [{2FEDB728-3A4F-4D91-817D-6E20EC0C6910}] => (Allow) D:\Program Files\3d max 2014\3ds Max 2014\NVIDIA\Satellite\raysat_3dsmax2014_64.exe => Нет файла
    FirewallRules: [{68466EF8-ADD2-423B-8FC2-0E66712D5BF7}] => (Allow) D:\Program Files\3d max 2014\3ds Max 2014\NVIDIA\Satellite\raysat_3dsmax2014_64.exe => Нет файла
    FirewallRules: [{4E06FE40-8875-4560-B676-118328B1C43C}] => (Allow) D:\Program Files\3d max 2014\3ds Max 2014\NVIDIA\Satellite\raysat_3dsmax2014_64server.exe => Нет файла
    FirewallRules: [{5367BF41-27A8-4944-9163-F259D40D0A55}] => (Allow) D:\Program Files\3d max 2014\3ds Max 2014\NVIDIA\Satellite\raysat_3dsmax2014_64server.exe => Нет файла
    End::

     

  3. Скопируйте выделенный текст (правой кнопкой - Копировать).
  4. Запустите FRST/FRST64 (от имени администратора).
  5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
  6. Обратите внимание, что компьютер будет возможно перезагружен.

 

На рабочем столе образуется карантин вида <date>.zip загрузите архив через данную форму 

 

В корне каталога вашего профиля C:\Users\m.dvinskih имеются множество файлов формата .js, .dll, .exe - они вам знакомы?
Пример:

2020-06-22 08:32 - 2020-06-22 08:32 - 000000226 _____ () C:\Users\m.dvinskih\8CgcSSLayxEVUBf0swP_bQGMId8.br[1].js
2020-06-22 08:19 - 2020-06-22 08:19 - 000002492 _____ () C:\Users\m.dvinskih\9c53b460-d634-4756-b40e-d03f1508a38f[1].js
2020-06-22 08:21 - 2020-06-22 08:21 - 000050575 _____ () C:\Users\m.dvinskih\accountcorepackage_Ir2_sBf66kLD-QwnzSY0gA2[1].js
2020-06-22 13:36 - 2020-06-22 13:36 - 000050575 _____ () C:\Users\m.dvinskih\accountcorepackage_Ir2_sBf66kLD-QwnzSY0gA2[1]_1.js
2020-06-17 19:52 - 2020-04-20 06:09 - 000027150 _____ () C:\Users\m.dvinskih\acountry.exe
2020-06-17 19:52 - 2020-04-20 06:09 - 000026126 _____ () C:\Users\m.dvinskih\adig.exe
2020-06-17 19:52 - 2020-04-20 06:09 - 000020494 _____ () C:\Users\m.dvinskih\ahost.exe
2020-06-22 10:40 - 2020-04-03 06:35 - 000001326 _____ () C:\Users\m.dvinskih\api_injection.js
2020-06-22 15:05 - 2020-04-03 06:35 - 000001326 _____ () C:\Users\m.dvinskih\api_injection_1.js
2020-06-22 08:30 - 2020-06-22 08:30 - 000434690 _____ () C:\Users\m.dvinskih\application[1].js
2020-06-22 08:30 - 2020-06-22 08:30 - 000812623 _____ () C:\Users\m.dvinskih\application[1]_1.js
2020-06-22 10:40 - 2020-04-03 06:35 - 000000797 _____ () C:\Users\m.dvinskih\fakes.js
2020-06-22 10:40 - 2020-04-03 06:35 - 000000046 _____ () C:\Users\m.dvinskih\fakes_1.js
2020-06-22 15:05 - 2020-04-03 06:35 - 000000797 _____ () C:\Users\m.dvinskih\fakes_2.js
2020-06-22 15:05 - 2020-04-03 06:35 - 000000046 _____ () C:\Users\m.dvinskih\fakes_3.js


 

Ссылка на сообщение
Поделиться на другие сайты

Результат загрузки

Файл сохранён как 210627_215512_28.06.2021_00.49.52_60d8f3c0244ef.zip
Размер файла 146234
MD5 9c136cb564e9e0fd3da4b4519d46ca71

Файл закачан, спасибо!

Сделал всё по инструкции. Понятия не имею что это за файлы и что за формат такой. Возможно какие-то временные. Там вообще очень много неупорядоченного мусора в той папке, как выяснилось... Сто лет туда не заглядывал. Может их с другого компа через облако все забросило

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Проверил случайно выбраные файлы без цифровой подписи, в них угрозы не замечено.
 

File: C:\Users\m.dvinskih\antiword.exe
File: C:\Users\m.dvinskih\adig.exe
File: C:\Users\m.dvinskih\ahost.exe
File: C:\Users\m.dvinskih\arch.exe
File: C:\Users\m.dvinskih\xxd.exe



Уточните пожалуйста в какой момент проявляется указанная вами проблема?

Ссылка на сообщение
Поделиться на другие сайты

Да как-то не замечал никаких закономерностей. просто рандомно возникало оповещение об обнаруженной угрозе. При чём даже в частоте появления никакой закономерности нет. То несколько раз в день выскакивает, то несколько дней ничего. Сейчас вот вроде тихо, пока мы пытаемся эту проблему решить. Обычно у меня открыты браузер гугл и фотошоп, слак, дискорд...

Ссылка на сообщение
Поделиться на другие сайты

На данный момент пока не ясно что вызвало такое поведение. могли бы пожалуйста собрать новый лог FRST на момент возникновение проблемы? 

P.S. В случае если она возникнет еще раз.
 

Уточните пожалуйста, перед возникновением проблемы использовали ли вы какие-то активаторы?
 

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Pupsik228
      От Pupsik228
      Здравствуйте.
      Недавно столкнулся с проблемой. После перезагрузки компьютера касперский жалуется на файл, файл находится в папке ProgramData там он не отображается(но если ввести в поиск название вируса то он виден) я пробовал удалить его антивирусом. и удалить саму папку с вирусом. и в обоих случаях это помогает, но после перезагрузки компьютера вирус восстанавливается, и антивирус снова жалуется на него.
      это будет видно на скриншотах. Надеюсь на вашу помощь)
      P.S. Я смотрел и вроде вирус не нагружает видеокарту и компьютер работает быстро, но все равно волнуюсь.


      CollectionLog-2024.03.25-15.50.zip
    • ryckovry
      От ryckovry
      Здравствуйте!

      Вчера заразила ноут троянами. Просканировала его утилитой Касперского, было найдено 13 вирусов, нажала «Лечить с перезагрузкой». Сканирование после лечения нашло ещё 3 трояна, которых до этого не было в отчёте, и 2 других опасных файла (на фото). Но ноут хотя бы перестал греться и шуметь как сумасшедший, и проц не разгоняется больше до 100. 

      Сегодня просканировала второй раз, Касперский ничего не нашёл. Но я сомневаюсь, что все трояны удалены и обезврежены. Хочу убедиться в этом, но сама не понимаю, как. Скажите, пожалуйста, что нужно сделать?

      Точку восстановления ОС пока не создавала.

      CollectionLog-2024.03.22-12.58.zip
    • grafbender
      От grafbender
      Доброго времени суток. Мой пк тормозит уже продолжительное время. Какого-либо внимания я этому не уделял, так как пользуюсь им редко. Однако, пару дней назад я совершая пробную операцию по покупке крипты, скопировал номер своего кошелька и направил на него деньги. Как оказалось каким то неведомым образом номер кошелька менялся прямо при копировании. Тут я и начал что то подозревать. Просканировав пк утилитой от Dr.Web, мне выдало целый список вирусов среди которых были трояны и btcmine. Только после удаления всех этих файлов, я решился посмотреть в интернете как с этим бороться, и понял что не все так просто. При повторном сканировании как Dr.Web так и Касперским более никаких вирусов не обнаруживается, однако полной уверенности от избавления у меня нету. Подсобите пожалуйста, какие шаги мне необходимо проделать  еще
      P.S. Нельзя назвать меня осторожным пользователем пользователем интернета, поэтому пиратского контента употребляется и употреблялось очень много, то есть торренты в моей жизни присутствуют.
      AV_block_remove_2024.03.12-20.03.log
    • Камиль Махмутянов
      От Камиль Махмутянов
      Доброго дня, антивирус обнаружил вирус HEUR:Trojan.Win64.Miner.gen. несколько раз удалял, но вирус каждый раз восстанавливается, а антивирус его удалить не может. Подскажите пожалуйста как можно решить эту проблему? Большо спасибо!!
      CollectionLog-2024.03.09-00.19.zip
    • Borova
      От Borova
      Прошу помощи , на виндовс 7 пк заразился трояном RenderCraft а также неправильно ведет себя утилита fc.exe , оба процесса запускаются после 30 секунд от включения пк и начинают грузить систему ( и ОЗУ и ЦП )  , RenderCraft работает пару десятков секунд ( примерно 40) и исчезает из процессов ,  а fc.exe стабильно грузит систему никуда не уходит. изначально попробовал решить проблему самостоятельно с помощью KVRT и AV BR ,  но ничего не помогло , в итоге начал искать решение в интернете , нашел только один сайт на этом же форуме где было предоставлено решение от господина Sandor . Начал делать все как в случае с Дамир 95 . 
      Но к сожелению ничего не помогло , (  строго додерживался всех инструкций  ) но без положительного результата. Ни один процес не ушел . ПРОШУ ПОМОГИТЕ !
      Все максимально подробно описать не могу ( имеется в виду мое полное исполнение действий и рекомендаций от Sandor  , не все получалось так как в писал Sandor , к примеру так не вышло если в Farbar Recovery Scan Tool я нажал кнопку исправить и в человека вышло все нормально а в меня выдало ошибку " не удается найти файл fixlist.txt " а автоматически у меня ничего не создало . если сам создам текстовый файл напишу то понятно , что там начнет исправлять и исправит пустоту , ведь там в списке ничего нет , а я не знаю что туда вводить , в итоге исправить ничего не вышло . помогите пожалуйста . 
×
×
  • Создать...