Перейти к содержанию

[РЕШЕНО] Не лечится mem:trojan.win32.sepeh.gen


Рекомендуемые сообщения

Касперский периодически находит вышеупомянутый троян, предлагает вылечить с перезагрузкой. Но это не помогает и троян через некоторое время снова даёт о себе знать. Попытка вылечить другими антивирусами приводит к тому же результату.

CollectionLog-2021.06.26-19.28.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
 

P.S.  Также не рекомендуется использовать более одного антивируса в системе, так как это можнет снизить производительность и быть причиной возникновения возможных сбоев и конфликтов.

Ссылка на сообщение
Поделиться на другие сайты

сделал

1 час назад, SQ сказал:

Здравствуйте,

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
 

 

MICHICO_2021-06-26_22-43-48_v4.11.6.7z

Ссылка на сообщение
Поделиться на другие сайты

Для начала

 

1)

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

2) Оставьте только один антивирус в системе

Symantec Endpoint Protection [20191226]-->MsiExec.exe /I{F228832E-3412-476B-BF58-5C6B58013061}
Kaspersky Password Manager [2020/09/16 04:06:32]-->MsiExec.exe /I{B2F7333E-6C8D-4994-AAC4-FEC8EBBF9611} REMOVE=ALL
Kaspersky Password Manager [20210617]-->MsiExec.exe /X{B2F7333E-6C8D-4994-AAC4-FEC8EBBF9611}
Kaspersky Secure Connection [2021/03/13 16:35:44]-->MsiExec.exe /I{FF2A12B8-AEB7-48C0-95C8-E2E3D67DFCB2} REMOVE=ALL
Kaspersky Secure Connection [20210615]-->MsiExec.exe /I{FF2A12B8-AEB7-48C0-95C8-E2E3D67DFCB2}
Kaspersky Total Security [2021/03/14 15:21:02]-->MsiExec.exe /I{4FC79BE9-AD63-46C0-9626-E4F6BCE6A976} REMOVE=ALL
Kaspersky Total Security [20210615]-->MsiExec.exe /I{4FC79BE9-AD63-46C0-9626-E4F6BCE6A976}

Когда там два антивируса дерутся между собой, а не с вирусами, то там что угодно может происходить.

  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты

Уточните вы оставили в вашей системе только один антивирус?

Знаком ли Вам следующий файл, если нет могли бы его проверить на портале virustotal.com?

D:\PROGRAM FILES\ASCON\KOMPAS-3D V19 STUDY\LIBS\MATERIALS\MATERIALS.EXE



Выполните скрипт в uVS:

;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
cexec tools\CreateRestorePoint.exe BeforeCure
zoo D:\PROGRAM FILES\ASCON\KOMPAS-3D V19 STUDY\LIBS\MATERIALS\MATERIALS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.33\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.33\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.65\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.65\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.69\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.69\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.59\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.59\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.45\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.45\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.49\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.49\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.51\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.51\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.55\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.55\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.57\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.57\PSMACHINE_64.DLL
czoo
restart

Обратите внимание, что компьютер перегрузиться после выполнения скрипта.

Ссылка на сообщение
Поделиться на другие сайты
35 минут назад, SQ сказал:

Уточните вы оставили в вашей системе только один антивирус?

Знаком ли Вам следующий файл, если нет могли бы его проверить на портале virustotal.com?


D:\PROGRAM FILES\ASCON\KOMPAS-3D V19 STUDY\LIBS\MATERIALS\MATERIALS.EXE



Выполните скрипт в uVS:


;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
cexec tools\CreateRestorePoint.exe BeforeCure
zoo D:\PROGRAM FILES\ASCON\KOMPAS-3D V19 STUDY\LIBS\MATERIALS\MATERIALS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.33\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.33\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.65\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.65\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.69\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.69\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.59\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.59\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.45\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.45\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.49\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.49\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.51\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.51\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.55\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.55\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.57\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.57\PSMACHINE_64.DLL
czoo
restart

Обратите внимание, что компьютер перегрузиться после выполнения скрипта.

оставил только касперского, файл проверил - чист, скрипт выполнил

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" , "SigCheckExt" и "90 Days Files".

FRST.png

  1. Нажмите кнопку Scan.
  2. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  3. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на сообщение
Поделиться на другие сайты
  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Выделите следующий код::
    Start::
    CreateRestorePoint:
    CloseProcesses:
    File: C:\WINDOWS\upwpm2.exe
    Edge Extension: (Нет имени) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [не найдено]
    Edge Extension: (Нет имени) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [не найдено]
    Edge Extension: (Нет имени) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [не найдено]
    Edge Extension: (Нет имени) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [не найдено]
    File: C:\WINDOWS\system32\Drivers\RTAIODAT.DAT
    File: C:\Users\m.dvinskih\antiword.exe
    File: C:\Users\m.dvinskih\adig.exe
    File: C:\Users\m.dvinskih\ahost.exe
    File: C:\Users\m.dvinskih\arch.exe
    File: C:\Users\m.dvinskih\xxd.exe
    Zip: C:\Users\m.dvinskih\antiword.exe;C:\Users\m.dvinskih\adig.exe;C:\Users\m.dvinskih\ahost.exe;C:\Users\m.dvinskih\arch.exe;C:\Users\m.dvinskih\Askpass.exe;C:\Users\m.dvinskih\xxd.exe
    FirewallRules: [{21E598AA-F5E2-4C0B-894E-AF6E60F38E8D}] => (Allow) C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\14.2.4814.1101.105\Bin64\snac64.exe => Нет файла
    FirewallRules: [{44091BF9-0A84-4AC1-BE8B-8DB671D02F64}] => (Allow) C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\14.2.4814.1101.105\Bin64\snac64.exe => Нет файла
    FirewallRules: [{97E8C5A4-7181-4152-84FF-ADC8D97561BB}] => (Allow) C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\14.2.4814.1101.105\Bin\ccSvcHst.exe => Нет файла
    FirewallRules: [{5F165056-D913-46AC-B086-A41424F525DC}] => (Allow) C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\14.2.4814.1101.105\Bin\ccSvcHst.exe => Нет файла
    FirewallRules: [{4BCE8FDD-AAC8-472A-872C-704BB57A3DDC}] => (Allow) C:\Program Files (x86)\Autodesk\Backburner\server.exe => Нет файла
    FirewallRules: [{92807B5A-F52F-4514-B2B6-77C1922342EC}] => (Allow) C:\Program Files (x86)\Autodesk\Backburner\server.exe => Нет файла
    FirewallRules: [{2A4537D4-E5B1-4197-8BBA-0DB650D1EF3B}] => (Allow) C:\Program Files (x86)\Autodesk\Backburner\MANAGER.exe => Нет файла
    FirewallRules: [{230C0FFA-7867-4758-98CC-2FF17C07BE04}] => (Allow) C:\Program Files (x86)\Autodesk\Backburner\MANAGER.exe => Нет файла
    FirewallRules: [{CAF2CA70-5D3E-415B-9A14-A750D7110BFE}] => (Allow) C:\Program Files (x86)\Autodesk\Backburner\monitor.exe => Нет файла
    FirewallRules: [{6BF0B6C8-96FB-4B60-A92A-C67EC47AEAA7}] => (Allow) C:\Program Files (x86)\Autodesk\Backburner\monitor.exe => Нет файла
    FirewallRules: [{2FEDB728-3A4F-4D91-817D-6E20EC0C6910}] => (Allow) D:\Program Files\3d max 2014\3ds Max 2014\NVIDIA\Satellite\raysat_3dsmax2014_64.exe => Нет файла
    FirewallRules: [{68466EF8-ADD2-423B-8FC2-0E66712D5BF7}] => (Allow) D:\Program Files\3d max 2014\3ds Max 2014\NVIDIA\Satellite\raysat_3dsmax2014_64.exe => Нет файла
    FirewallRules: [{4E06FE40-8875-4560-B676-118328B1C43C}] => (Allow) D:\Program Files\3d max 2014\3ds Max 2014\NVIDIA\Satellite\raysat_3dsmax2014_64server.exe => Нет файла
    FirewallRules: [{5367BF41-27A8-4944-9163-F259D40D0A55}] => (Allow) D:\Program Files\3d max 2014\3ds Max 2014\NVIDIA\Satellite\raysat_3dsmax2014_64server.exe => Нет файла
    End::

     

  3. Скопируйте выделенный текст (правой кнопкой - Копировать).
  4. Запустите FRST/FRST64 (от имени администратора).
  5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
  6. Обратите внимание, что компьютер будет возможно перезагружен.

 

На рабочем столе образуется карантин вида <date>.zip загрузите архив через данную форму 

 

В корне каталога вашего профиля C:\Users\m.dvinskih имеются множество файлов формата .js, .dll, .exe - они вам знакомы?
Пример:

2020-06-22 08:32 - 2020-06-22 08:32 - 000000226 _____ () C:\Users\m.dvinskih\8CgcSSLayxEVUBf0swP_bQGMId8.br[1].js
2020-06-22 08:19 - 2020-06-22 08:19 - 000002492 _____ () C:\Users\m.dvinskih\9c53b460-d634-4756-b40e-d03f1508a38f[1].js
2020-06-22 08:21 - 2020-06-22 08:21 - 000050575 _____ () C:\Users\m.dvinskih\accountcorepackage_Ir2_sBf66kLD-QwnzSY0gA2[1].js
2020-06-22 13:36 - 2020-06-22 13:36 - 000050575 _____ () C:\Users\m.dvinskih\accountcorepackage_Ir2_sBf66kLD-QwnzSY0gA2[1]_1.js
2020-06-17 19:52 - 2020-04-20 06:09 - 000027150 _____ () C:\Users\m.dvinskih\acountry.exe
2020-06-17 19:52 - 2020-04-20 06:09 - 000026126 _____ () C:\Users\m.dvinskih\adig.exe
2020-06-17 19:52 - 2020-04-20 06:09 - 000020494 _____ () C:\Users\m.dvinskih\ahost.exe
2020-06-22 10:40 - 2020-04-03 06:35 - 000001326 _____ () C:\Users\m.dvinskih\api_injection.js
2020-06-22 15:05 - 2020-04-03 06:35 - 000001326 _____ () C:\Users\m.dvinskih\api_injection_1.js
2020-06-22 08:30 - 2020-06-22 08:30 - 000434690 _____ () C:\Users\m.dvinskih\application[1].js
2020-06-22 08:30 - 2020-06-22 08:30 - 000812623 _____ () C:\Users\m.dvinskih\application[1]_1.js
2020-06-22 10:40 - 2020-04-03 06:35 - 000000797 _____ () C:\Users\m.dvinskih\fakes.js
2020-06-22 10:40 - 2020-04-03 06:35 - 000000046 _____ () C:\Users\m.dvinskih\fakes_1.js
2020-06-22 15:05 - 2020-04-03 06:35 - 000000797 _____ () C:\Users\m.dvinskih\fakes_2.js
2020-06-22 15:05 - 2020-04-03 06:35 - 000000046 _____ () C:\Users\m.dvinskih\fakes_3.js


 

Ссылка на сообщение
Поделиться на другие сайты

Результат загрузки

Файл сохранён как 210627_215512_28.06.2021_00.49.52_60d8f3c0244ef.zip
Размер файла 146234
MD5 9c136cb564e9e0fd3da4b4519d46ca71

Файл закачан, спасибо!

Сделал всё по инструкции. Понятия не имею что это за файлы и что за формат такой. Возможно какие-то временные. Там вообще очень много неупорядоченного мусора в той папке, как выяснилось... Сто лет туда не заглядывал. Может их с другого компа через облако все забросило

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Проверил случайно выбраные файлы без цифровой подписи, в них угрозы не замечено.
 

File: C:\Users\m.dvinskih\antiword.exe
File: C:\Users\m.dvinskih\adig.exe
File: C:\Users\m.dvinskih\ahost.exe
File: C:\Users\m.dvinskih\arch.exe
File: C:\Users\m.dvinskih\xxd.exe



Уточните пожалуйста в какой момент проявляется указанная вами проблема?

Ссылка на сообщение
Поделиться на другие сайты

Да как-то не замечал никаких закономерностей. просто рандомно возникало оповещение об обнаруженной угрозе. При чём даже в частоте появления никакой закономерности нет. То несколько раз в день выскакивает, то несколько дней ничего. Сейчас вот вроде тихо, пока мы пытаемся эту проблему решить. Обычно у меня открыты браузер гугл и фотошоп, слак, дискорд...

Ссылка на сообщение
Поделиться на другие сайты

На данный момент пока не ясно что вызвало такое поведение. могли бы пожалуйста собрать новый лог FRST на момент возникновение проблемы? 

P.S. В случае если она возникнет еще раз.
 

Уточните пожалуйста, перед возникновением проблемы использовали ли вы какие-то активаторы?
 

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Rey_fw
      От Rey_fw
      Добрый день!
      Каким то образом словил вирус/возможно майнер который не могу найти и 100% определить. Не дает запустить установочные файлы антивируса, ранее блокировал сайты антивирусов (решилось исправлением файла хостс). на диске С появились папки антивирусов (скрытые, без возможности зайти и удалить их)
      Попытался сканировать разными антивирусами Dr.Web CureIt! зависает вместе с пк и не сканирует дальше (пк стоял сутки на проверке)
      Аваст пишет что все отлично, вирусов нет. Встроенный антивирус виндовса тоже не выявляет проблему
       
      На форуме нашел крайне похожую ситуацию
      Можно ли помочь решить данный вопрос? Заранее очень и очень благодарен!
      Addition.zip
    • Matvey
      От Matvey
      Здравствуйте. Обнаружил у себя на компьютере майнер, находится по пути C:\ProgramData\RealtekHD и WindowsTask. Прошу помощи с удалением, спасибо.
      CollectionLog-2023.01.06-20.38.zip
    • Данил322
      От Данил322
      Здравствуйте, прошу вас о помощи, недавно заметил подозрительную активность на пк, процессор сильно грузится в простое, залез в диспетчер и увидел что повершелл грузит его на 30-40% а после включения диспетчера загрузка уходит, прошу пожалуйста если можно подетально обьяснить шаги действий, я чайник, архив скана из программы  Farbar Recovery Scan Tool прилагаю
      Архив WinRAR.rar
    • KlausHammer
      От KlausHammer
      Знакомый поимал Trojan.Encrypted. Точно не известно после каких действий это произошло, но зашифровало почти все. Говорит был запущен exel, приложение от MSI, браузер и музыка. После того как перезагруился ноутбук, он заметил, что документы не открываются.
      Addition.txt FRST.txt Neuer Ordner.zip
    • Матвей Аксенов
      От Матвей Аксенов
      Защитник виндовс обнуражил файл под именем cryptinject mtb, попытался через него удалить, но не удалось, также в исключении проверки безопасности виндус, обнаружил системные файлы которые находятся под исключением и удалить их из списка не могу, пытался, подозреваю что мешает вирус. Скачал Касперски ремувал тул, пока результат никакой, пытался скачать др веб курейт, но сайт на пк блокирует вирус, как и этот форум, поэтому пишу с телефона и не могу дать логи. Помогите, что следует делать, и как избавляться от этой заразы. Стоит ли вообще переустанавливать виндус? Никогда этим не занимался, поэтому стремаюсь
×
×
  • Создать...