Перейти к содержанию

[РЕШЕНО] Не лечится mem:trojan.win32.sepeh.gen


Рекомендуемые сообщения

Касперский периодически находит вышеупомянутый троян, предлагает вылечить с перезагрузкой. Но это не помогает и троян через некоторое время снова даёт о себе знать. Попытка вылечить другими антивирусами приводит к тому же результату.

CollectionLog-2021.06.26-19.28.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
 

P.S.  Также не рекомендуется использовать более одного антивируса в системе, так как это можнет снизить производительность и быть причиной возникновения возможных сбоев и конфликтов.

Ссылка на сообщение
Поделиться на другие сайты

сделал

1 час назад, SQ сказал:

Здравствуйте,

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
 

 

MICHICO_2021-06-26_22-43-48_v4.11.6.7z

Ссылка на сообщение
Поделиться на другие сайты

Для начала

 

1)

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

2) Оставьте только один антивирус в системе

Symantec Endpoint Protection [20191226]-->MsiExec.exe /I{F228832E-3412-476B-BF58-5C6B58013061}
Kaspersky Password Manager [2020/09/16 04:06:32]-->MsiExec.exe /I{B2F7333E-6C8D-4994-AAC4-FEC8EBBF9611} REMOVE=ALL
Kaspersky Password Manager [20210617]-->MsiExec.exe /X{B2F7333E-6C8D-4994-AAC4-FEC8EBBF9611}
Kaspersky Secure Connection [2021/03/13 16:35:44]-->MsiExec.exe /I{FF2A12B8-AEB7-48C0-95C8-E2E3D67DFCB2} REMOVE=ALL
Kaspersky Secure Connection [20210615]-->MsiExec.exe /I{FF2A12B8-AEB7-48C0-95C8-E2E3D67DFCB2}
Kaspersky Total Security [2021/03/14 15:21:02]-->MsiExec.exe /I{4FC79BE9-AD63-46C0-9626-E4F6BCE6A976} REMOVE=ALL
Kaspersky Total Security [20210615]-->MsiExec.exe /I{4FC79BE9-AD63-46C0-9626-E4F6BCE6A976}

Когда там два антивируса дерутся между собой, а не с вирусами, то там что угодно может происходить.

  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты

Уточните вы оставили в вашей системе только один антивирус?

Знаком ли Вам следующий файл, если нет могли бы его проверить на портале virustotal.com?

D:\PROGRAM FILES\ASCON\KOMPAS-3D V19 STUDY\LIBS\MATERIALS\MATERIALS.EXE



Выполните скрипт в uVS:

;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
cexec tools\CreateRestorePoint.exe BeforeCure
zoo D:\PROGRAM FILES\ASCON\KOMPAS-3D V19 STUDY\LIBS\MATERIALS\MATERIALS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.33\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.33\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.65\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.65\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.69\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.69\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.59\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.59\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.45\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.45\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.49\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.49\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.51\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.51\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.55\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.55\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.57\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.57\PSMACHINE_64.DLL
czoo
restart

Обратите внимание, что компьютер перегрузиться после выполнения скрипта.

Ссылка на сообщение
Поделиться на другие сайты
35 минут назад, SQ сказал:

Уточните вы оставили в вашей системе только один антивирус?

Знаком ли Вам следующий файл, если нет могли бы его проверить на портале virustotal.com?


D:\PROGRAM FILES\ASCON\KOMPAS-3D V19 STUDY\LIBS\MATERIALS\MATERIALS.EXE



Выполните скрипт в uVS:


;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
cexec tools\CreateRestorePoint.exe BeforeCure
zoo D:\PROGRAM FILES\ASCON\KOMPAS-3D V19 STUDY\LIBS\MATERIALS\MATERIALS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.33\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.33\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.65\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.65\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.69\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.69\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.59\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.59\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.45\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.45\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.49\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.49\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.51\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.51\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.55\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.55\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.57\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.57\PSMACHINE_64.DLL
czoo
restart

Обратите внимание, что компьютер перегрузиться после выполнения скрипта.

оставил только касперского, файл проверил - чист, скрипт выполнил

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" , "SigCheckExt" и "90 Days Files".

FRST.png

  1. Нажмите кнопку Scan.
  2. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  3. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на сообщение
Поделиться на другие сайты
  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Выделите следующий код::
    Start::
    CreateRestorePoint:
    CloseProcesses:
    File: C:\WINDOWS\upwpm2.exe
    Edge Extension: (Нет имени) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [не найдено]
    Edge Extension: (Нет имени) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [не найдено]
    Edge Extension: (Нет имени) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [не найдено]
    Edge Extension: (Нет имени) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [не найдено]
    File: C:\WINDOWS\system32\Drivers\RTAIODAT.DAT
    File: C:\Users\m.dvinskih\antiword.exe
    File: C:\Users\m.dvinskih\adig.exe
    File: C:\Users\m.dvinskih\ahost.exe
    File: C:\Users\m.dvinskih\arch.exe
    File: C:\Users\m.dvinskih\xxd.exe
    Zip: C:\Users\m.dvinskih\antiword.exe;C:\Users\m.dvinskih\adig.exe;C:\Users\m.dvinskih\ahost.exe;C:\Users\m.dvinskih\arch.exe;C:\Users\m.dvinskih\Askpass.exe;C:\Users\m.dvinskih\xxd.exe
    FirewallRules: [{21E598AA-F5E2-4C0B-894E-AF6E60F38E8D}] => (Allow) C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\14.2.4814.1101.105\Bin64\snac64.exe => Нет файла
    FirewallRules: [{44091BF9-0A84-4AC1-BE8B-8DB671D02F64}] => (Allow) C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\14.2.4814.1101.105\Bin64\snac64.exe => Нет файла
    FirewallRules: [{97E8C5A4-7181-4152-84FF-ADC8D97561BB}] => (Allow) C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\14.2.4814.1101.105\Bin\ccSvcHst.exe => Нет файла
    FirewallRules: [{5F165056-D913-46AC-B086-A41424F525DC}] => (Allow) C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\14.2.4814.1101.105\Bin\ccSvcHst.exe => Нет файла
    FirewallRules: [{4BCE8FDD-AAC8-472A-872C-704BB57A3DDC}] => (Allow) C:\Program Files (x86)\Autodesk\Backburner\server.exe => Нет файла
    FirewallRules: [{92807B5A-F52F-4514-B2B6-77C1922342EC}] => (Allow) C:\Program Files (x86)\Autodesk\Backburner\server.exe => Нет файла
    FirewallRules: [{2A4537D4-E5B1-4197-8BBA-0DB650D1EF3B}] => (Allow) C:\Program Files (x86)\Autodesk\Backburner\MANAGER.exe => Нет файла
    FirewallRules: [{230C0FFA-7867-4758-98CC-2FF17C07BE04}] => (Allow) C:\Program Files (x86)\Autodesk\Backburner\MANAGER.exe => Нет файла
    FirewallRules: [{CAF2CA70-5D3E-415B-9A14-A750D7110BFE}] => (Allow) C:\Program Files (x86)\Autodesk\Backburner\monitor.exe => Нет файла
    FirewallRules: [{6BF0B6C8-96FB-4B60-A92A-C67EC47AEAA7}] => (Allow) C:\Program Files (x86)\Autodesk\Backburner\monitor.exe => Нет файла
    FirewallRules: [{2FEDB728-3A4F-4D91-817D-6E20EC0C6910}] => (Allow) D:\Program Files\3d max 2014\3ds Max 2014\NVIDIA\Satellite\raysat_3dsmax2014_64.exe => Нет файла
    FirewallRules: [{68466EF8-ADD2-423B-8FC2-0E66712D5BF7}] => (Allow) D:\Program Files\3d max 2014\3ds Max 2014\NVIDIA\Satellite\raysat_3dsmax2014_64.exe => Нет файла
    FirewallRules: [{4E06FE40-8875-4560-B676-118328B1C43C}] => (Allow) D:\Program Files\3d max 2014\3ds Max 2014\NVIDIA\Satellite\raysat_3dsmax2014_64server.exe => Нет файла
    FirewallRules: [{5367BF41-27A8-4944-9163-F259D40D0A55}] => (Allow) D:\Program Files\3d max 2014\3ds Max 2014\NVIDIA\Satellite\raysat_3dsmax2014_64server.exe => Нет файла
    End::

     

  3. Скопируйте выделенный текст (правой кнопкой - Копировать).
  4. Запустите FRST/FRST64 (от имени администратора).
  5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
  6. Обратите внимание, что компьютер будет возможно перезагружен.

 

На рабочем столе образуется карантин вида <date>.zip загрузите архив через данную форму 

 

В корне каталога вашего профиля C:\Users\m.dvinskih имеются множество файлов формата .js, .dll, .exe - они вам знакомы?
Пример:

2020-06-22 08:32 - 2020-06-22 08:32 - 000000226 _____ () C:\Users\m.dvinskih\8CgcSSLayxEVUBf0swP_bQGMId8.br[1].js
2020-06-22 08:19 - 2020-06-22 08:19 - 000002492 _____ () C:\Users\m.dvinskih\9c53b460-d634-4756-b40e-d03f1508a38f[1].js
2020-06-22 08:21 - 2020-06-22 08:21 - 000050575 _____ () C:\Users\m.dvinskih\accountcorepackage_Ir2_sBf66kLD-QwnzSY0gA2[1].js
2020-06-22 13:36 - 2020-06-22 13:36 - 000050575 _____ () C:\Users\m.dvinskih\accountcorepackage_Ir2_sBf66kLD-QwnzSY0gA2[1]_1.js
2020-06-17 19:52 - 2020-04-20 06:09 - 000027150 _____ () C:\Users\m.dvinskih\acountry.exe
2020-06-17 19:52 - 2020-04-20 06:09 - 000026126 _____ () C:\Users\m.dvinskih\adig.exe
2020-06-17 19:52 - 2020-04-20 06:09 - 000020494 _____ () C:\Users\m.dvinskih\ahost.exe
2020-06-22 10:40 - 2020-04-03 06:35 - 000001326 _____ () C:\Users\m.dvinskih\api_injection.js
2020-06-22 15:05 - 2020-04-03 06:35 - 000001326 _____ () C:\Users\m.dvinskih\api_injection_1.js
2020-06-22 08:30 - 2020-06-22 08:30 - 000434690 _____ () C:\Users\m.dvinskih\application[1].js
2020-06-22 08:30 - 2020-06-22 08:30 - 000812623 _____ () C:\Users\m.dvinskih\application[1]_1.js
2020-06-22 10:40 - 2020-04-03 06:35 - 000000797 _____ () C:\Users\m.dvinskih\fakes.js
2020-06-22 10:40 - 2020-04-03 06:35 - 000000046 _____ () C:\Users\m.dvinskih\fakes_1.js
2020-06-22 15:05 - 2020-04-03 06:35 - 000000797 _____ () C:\Users\m.dvinskih\fakes_2.js
2020-06-22 15:05 - 2020-04-03 06:35 - 000000046 _____ () C:\Users\m.dvinskih\fakes_3.js


 

Ссылка на сообщение
Поделиться на другие сайты

Результат загрузки

Файл сохранён как 210627_215512_28.06.2021_00.49.52_60d8f3c0244ef.zip
Размер файла 146234
MD5 9c136cb564e9e0fd3da4b4519d46ca71

Файл закачан, спасибо!

Сделал всё по инструкции. Понятия не имею что это за файлы и что за формат такой. Возможно какие-то временные. Там вообще очень много неупорядоченного мусора в той папке, как выяснилось... Сто лет туда не заглядывал. Может их с другого компа через облако все забросило

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Проверил случайно выбраные файлы без цифровой подписи, в них угрозы не замечено.
 

File: C:\Users\m.dvinskih\antiword.exe
File: C:\Users\m.dvinskih\adig.exe
File: C:\Users\m.dvinskih\ahost.exe
File: C:\Users\m.dvinskih\arch.exe
File: C:\Users\m.dvinskih\xxd.exe



Уточните пожалуйста в какой момент проявляется указанная вами проблема?

Ссылка на сообщение
Поделиться на другие сайты

Да как-то не замечал никаких закономерностей. просто рандомно возникало оповещение об обнаруженной угрозе. При чём даже в частоте появления никакой закономерности нет. То несколько раз в день выскакивает, то несколько дней ничего. Сейчас вот вроде тихо, пока мы пытаемся эту проблему решить. Обычно у меня открыты браузер гугл и фотошоп, слак, дискорд...

Ссылка на сообщение
Поделиться на другие сайты

На данный момент пока не ясно что вызвало такое поведение. могли бы пожалуйста собрать новый лог FRST на момент возникновение проблемы? 

P.S. В случае если она возникнет еще раз.
 

Уточните пожалуйста, перед возникновением проблемы использовали ли вы какие-то активаторы?
 

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Ivan5
      От Ivan5
      Добрый день!
      одним снежным ноябрьским днем обнаружили, что все файлы в общей папке успешно зашифрованы. файлы не архиважные, но неприятно)
      что этому предшествовало особо неясно
      вот такая картинка показывается (id замазал на всякий случай)
       

      CollectionLog-2022.11.18-16.37.zip
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Помощь в удалении вирусов".
    • XanderUnder
      От XanderUnder
      Здравствуйте, скачал файл, при установке обнаружил троян script/wacatac.h!ml, при сканировании через Win Defender обнаруживается этот троян, Статус: восстановление не завершено. При открытии диспетчера задач нагрузка цп резко пада ет с приблизительно 90-100% до 2-10%, похоже на майнер. При сканировании с помощью Kaspersky VRT угроза не обнаруживается

      CollectionLog-2022.11.19-16.00.zip
    • Ильмир
      От Ильмир
      установил kms office, после этого, что бы очистить систему решил установить Касперский, но получается установленный вирус блокирует его. как теперь удалить этот вирус?
    • dverutin
      От dverutin
      Добрый день!
      Сегодня мой Kaspersky Free 21.3.10.391(j) обнаружил нечто под названием Trojan.Multi.GenAutorunProc.a в системной памяти и предложил лечить. Я выбрал лечение с перезагрузкой компьютера, однако по его завершению Касперский снова обнаружил ту же самую программу. Проблема появилась после обновления браузеров Chrome и Firefox и перехода на сайт https://ccsb.scripps.edu/mgltools/, который почему-то крайне плохо прогружался. Как мне удалить троян?
      CollectionLog-2022.11.17-17.48.zip
    • yaroslav32133
      От yaroslav32133
      Добрый день! Не могу понять, почему антивирусник жалуется на Trojan:Win32/Wacatac.B!ml ?! Уже проверял через все возможные утилиты (включая Kaspersky), но ничего не нашло. Жалуется только антивирусник от Windows. Пытался удалить троян по тем путям, которые он затронул. Но бесполезно. Также пытался удалить через сам этот защитник. Но при нажатии на кнопку "Удалить" или "Поместить в карантин", ничего не меняется. Что делать? Помогите, пожалуйста, буду признателен!

×
×
  • Создать...