Перейти к содержанию

[РЕШЕНО] Не лечится mem:trojan.win32.sepeh.gen


Рекомендуемые сообщения

Касперский периодически находит вышеупомянутый троян, предлагает вылечить с перезагрузкой. Но это не помогает и троян через некоторое время снова даёт о себе знать. Попытка вылечить другими антивирусами приводит к тому же результату.

CollectionLog-2021.06.26-19.28.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
 

P.S.  Также не рекомендуется использовать более одного антивируса в системе, так как это можнет снизить производительность и быть причиной возникновения возможных сбоев и конфликтов.

Ссылка на сообщение
Поделиться на другие сайты

сделал

1 час назад, SQ сказал:

Здравствуйте,

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
 

 

MICHICO_2021-06-26_22-43-48_v4.11.6.7z

Ссылка на сообщение
Поделиться на другие сайты

Для начала

 

1)

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

2) Оставьте только один антивирус в системе

Symantec Endpoint Protection [20191226]-->MsiExec.exe /I{F228832E-3412-476B-BF58-5C6B58013061}
Kaspersky Password Manager [2020/09/16 04:06:32]-->MsiExec.exe /I{B2F7333E-6C8D-4994-AAC4-FEC8EBBF9611} REMOVE=ALL
Kaspersky Password Manager [20210617]-->MsiExec.exe /X{B2F7333E-6C8D-4994-AAC4-FEC8EBBF9611}
Kaspersky Secure Connection [2021/03/13 16:35:44]-->MsiExec.exe /I{FF2A12B8-AEB7-48C0-95C8-E2E3D67DFCB2} REMOVE=ALL
Kaspersky Secure Connection [20210615]-->MsiExec.exe /I{FF2A12B8-AEB7-48C0-95C8-E2E3D67DFCB2}
Kaspersky Total Security [2021/03/14 15:21:02]-->MsiExec.exe /I{4FC79BE9-AD63-46C0-9626-E4F6BCE6A976} REMOVE=ALL
Kaspersky Total Security [20210615]-->MsiExec.exe /I{4FC79BE9-AD63-46C0-9626-E4F6BCE6A976}

Когда там два антивируса дерутся между собой, а не с вирусами, то там что угодно может происходить.

  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты

Уточните вы оставили в вашей системе только один антивирус?

Знаком ли Вам следующий файл, если нет могли бы его проверить на портале virustotal.com?

D:\PROGRAM FILES\ASCON\KOMPAS-3D V19 STUDY\LIBS\MATERIALS\MATERIALS.EXE



Выполните скрипт в uVS:

;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
cexec tools\CreateRestorePoint.exe BeforeCure
zoo D:\PROGRAM FILES\ASCON\KOMPAS-3D V19 STUDY\LIBS\MATERIALS\MATERIALS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.33\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.33\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.65\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.65\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.69\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.69\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.59\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.59\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.45\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.45\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.49\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.49\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.51\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.51\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.55\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.55\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.57\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.57\PSMACHINE_64.DLL
czoo
restart

Обратите внимание, что компьютер перегрузиться после выполнения скрипта.

Ссылка на сообщение
Поделиться на другие сайты
35 минут назад, SQ сказал:

Уточните вы оставили в вашей системе только один антивирус?

Знаком ли Вам следующий файл, если нет могли бы его проверить на портале virustotal.com?


D:\PROGRAM FILES\ASCON\KOMPAS-3D V19 STUDY\LIBS\MATERIALS\MATERIALS.EXE



Выполните скрипт в uVS:


;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
cexec tools\CreateRestorePoint.exe BeforeCure
zoo D:\PROGRAM FILES\ASCON\KOMPAS-3D V19 STUDY\LIBS\MATERIALS\MATERIALS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.33\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.33\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.65\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.65\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.69\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.69\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.59\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.59\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.45\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.45\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.49\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.49\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.51\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.51\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.55\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.55\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.57\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.57\PSMACHINE_64.DLL
czoo
restart

Обратите внимание, что компьютер перегрузиться после выполнения скрипта.

оставил только касперского, файл проверил - чист, скрипт выполнил

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" , "SigCheckExt" и "90 Days Files".

FRST.png

  1. Нажмите кнопку Scan.
  2. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  3. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на сообщение
Поделиться на другие сайты
  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Выделите следующий код::
    Start::
    CreateRestorePoint:
    CloseProcesses:
    File: C:\WINDOWS\upwpm2.exe
    Edge Extension: (Нет имени) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [не найдено]
    Edge Extension: (Нет имени) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [не найдено]
    Edge Extension: (Нет имени) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [не найдено]
    Edge Extension: (Нет имени) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [не найдено]
    File: C:\WINDOWS\system32\Drivers\RTAIODAT.DAT
    File: C:\Users\m.dvinskih\antiword.exe
    File: C:\Users\m.dvinskih\adig.exe
    File: C:\Users\m.dvinskih\ahost.exe
    File: C:\Users\m.dvinskih\arch.exe
    File: C:\Users\m.dvinskih\xxd.exe
    Zip: C:\Users\m.dvinskih\antiword.exe;C:\Users\m.dvinskih\adig.exe;C:\Users\m.dvinskih\ahost.exe;C:\Users\m.dvinskih\arch.exe;C:\Users\m.dvinskih\Askpass.exe;C:\Users\m.dvinskih\xxd.exe
    FirewallRules: [{21E598AA-F5E2-4C0B-894E-AF6E60F38E8D}] => (Allow) C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\14.2.4814.1101.105\Bin64\snac64.exe => Нет файла
    FirewallRules: [{44091BF9-0A84-4AC1-BE8B-8DB671D02F64}] => (Allow) C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\14.2.4814.1101.105\Bin64\snac64.exe => Нет файла
    FirewallRules: [{97E8C5A4-7181-4152-84FF-ADC8D97561BB}] => (Allow) C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\14.2.4814.1101.105\Bin\ccSvcHst.exe => Нет файла
    FirewallRules: [{5F165056-D913-46AC-B086-A41424F525DC}] => (Allow) C:\Program Files (x86)\Symantec\Symantec Endpoint Protection\14.2.4814.1101.105\Bin\ccSvcHst.exe => Нет файла
    FirewallRules: [{4BCE8FDD-AAC8-472A-872C-704BB57A3DDC}] => (Allow) C:\Program Files (x86)\Autodesk\Backburner\server.exe => Нет файла
    FirewallRules: [{92807B5A-F52F-4514-B2B6-77C1922342EC}] => (Allow) C:\Program Files (x86)\Autodesk\Backburner\server.exe => Нет файла
    FirewallRules: [{2A4537D4-E5B1-4197-8BBA-0DB650D1EF3B}] => (Allow) C:\Program Files (x86)\Autodesk\Backburner\MANAGER.exe => Нет файла
    FirewallRules: [{230C0FFA-7867-4758-98CC-2FF17C07BE04}] => (Allow) C:\Program Files (x86)\Autodesk\Backburner\MANAGER.exe => Нет файла
    FirewallRules: [{CAF2CA70-5D3E-415B-9A14-A750D7110BFE}] => (Allow) C:\Program Files (x86)\Autodesk\Backburner\monitor.exe => Нет файла
    FirewallRules: [{6BF0B6C8-96FB-4B60-A92A-C67EC47AEAA7}] => (Allow) C:\Program Files (x86)\Autodesk\Backburner\monitor.exe => Нет файла
    FirewallRules: [{2FEDB728-3A4F-4D91-817D-6E20EC0C6910}] => (Allow) D:\Program Files\3d max 2014\3ds Max 2014\NVIDIA\Satellite\raysat_3dsmax2014_64.exe => Нет файла
    FirewallRules: [{68466EF8-ADD2-423B-8FC2-0E66712D5BF7}] => (Allow) D:\Program Files\3d max 2014\3ds Max 2014\NVIDIA\Satellite\raysat_3dsmax2014_64.exe => Нет файла
    FirewallRules: [{4E06FE40-8875-4560-B676-118328B1C43C}] => (Allow) D:\Program Files\3d max 2014\3ds Max 2014\NVIDIA\Satellite\raysat_3dsmax2014_64server.exe => Нет файла
    FirewallRules: [{5367BF41-27A8-4944-9163-F259D40D0A55}] => (Allow) D:\Program Files\3d max 2014\3ds Max 2014\NVIDIA\Satellite\raysat_3dsmax2014_64server.exe => Нет файла
    End::

     

  3. Скопируйте выделенный текст (правой кнопкой - Копировать).
  4. Запустите FRST/FRST64 (от имени администратора).
  5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
  6. Обратите внимание, что компьютер будет возможно перезагружен.

 

На рабочем столе образуется карантин вида <date>.zip загрузите архив через данную форму 

 

В корне каталога вашего профиля C:\Users\m.dvinskih имеются множество файлов формата .js, .dll, .exe - они вам знакомы?
Пример:

2020-06-22 08:32 - 2020-06-22 08:32 - 000000226 _____ () C:\Users\m.dvinskih\8CgcSSLayxEVUBf0swP_bQGMId8.br[1].js
2020-06-22 08:19 - 2020-06-22 08:19 - 000002492 _____ () C:\Users\m.dvinskih\9c53b460-d634-4756-b40e-d03f1508a38f[1].js
2020-06-22 08:21 - 2020-06-22 08:21 - 000050575 _____ () C:\Users\m.dvinskih\accountcorepackage_Ir2_sBf66kLD-QwnzSY0gA2[1].js
2020-06-22 13:36 - 2020-06-22 13:36 - 000050575 _____ () C:\Users\m.dvinskih\accountcorepackage_Ir2_sBf66kLD-QwnzSY0gA2[1]_1.js
2020-06-17 19:52 - 2020-04-20 06:09 - 000027150 _____ () C:\Users\m.dvinskih\acountry.exe
2020-06-17 19:52 - 2020-04-20 06:09 - 000026126 _____ () C:\Users\m.dvinskih\adig.exe
2020-06-17 19:52 - 2020-04-20 06:09 - 000020494 _____ () C:\Users\m.dvinskih\ahost.exe
2020-06-22 10:40 - 2020-04-03 06:35 - 000001326 _____ () C:\Users\m.dvinskih\api_injection.js
2020-06-22 15:05 - 2020-04-03 06:35 - 000001326 _____ () C:\Users\m.dvinskih\api_injection_1.js
2020-06-22 08:30 - 2020-06-22 08:30 - 000434690 _____ () C:\Users\m.dvinskih\application[1].js
2020-06-22 08:30 - 2020-06-22 08:30 - 000812623 _____ () C:\Users\m.dvinskih\application[1]_1.js
2020-06-22 10:40 - 2020-04-03 06:35 - 000000797 _____ () C:\Users\m.dvinskih\fakes.js
2020-06-22 10:40 - 2020-04-03 06:35 - 000000046 _____ () C:\Users\m.dvinskih\fakes_1.js
2020-06-22 15:05 - 2020-04-03 06:35 - 000000797 _____ () C:\Users\m.dvinskih\fakes_2.js
2020-06-22 15:05 - 2020-04-03 06:35 - 000000046 _____ () C:\Users\m.dvinskih\fakes_3.js


 

Ссылка на сообщение
Поделиться на другие сайты

Результат загрузки

Файл сохранён как 210627_215512_28.06.2021_00.49.52_60d8f3c0244ef.zip
Размер файла 146234
MD5 9c136cb564e9e0fd3da4b4519d46ca71

Файл закачан, спасибо!

Сделал всё по инструкции. Понятия не имею что это за файлы и что за формат такой. Возможно какие-то временные. Там вообще очень много неупорядоченного мусора в той папке, как выяснилось... Сто лет туда не заглядывал. Может их с другого компа через облако все забросило

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Проверил случайно выбраные файлы без цифровой подписи, в них угрозы не замечено.
 

File: C:\Users\m.dvinskih\antiword.exe
File: C:\Users\m.dvinskih\adig.exe
File: C:\Users\m.dvinskih\ahost.exe
File: C:\Users\m.dvinskih\arch.exe
File: C:\Users\m.dvinskih\xxd.exe



Уточните пожалуйста в какой момент проявляется указанная вами проблема?

Ссылка на сообщение
Поделиться на другие сайты

Да как-то не замечал никаких закономерностей. просто рандомно возникало оповещение об обнаруженной угрозе. При чём даже в частоте появления никакой закономерности нет. То несколько раз в день выскакивает, то несколько дней ничего. Сейчас вот вроде тихо, пока мы пытаемся эту проблему решить. Обычно у меня открыты браузер гугл и фотошоп, слак, дискорд...

Ссылка на сообщение
Поделиться на другие сайты

На данный момент пока не ясно что вызвало такое поведение. могли бы пожалуйста собрать новый лог FRST на момент возникновение проблемы? 

P.S. В случае если она возникнет еще раз.
 

Уточните пожалуйста, перед возникновением проблемы использовали ли вы какие-то активаторы?
 

Ссылка на сообщение
Поделиться на другие сайты

Этой проблеме больше года, я вряд ли вспомню. О каких активаторах идёт речь? Что это?

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Yonavi
      От Yonavi
      Сообщение от модератора Mark D. Pearlstone Внимательно читайте правила раздела! Евгений Касперский не помогает вылечиться от вирусов и не оказывает помощь по продуктам.
    • Xsiw
      От Xsiw
      Здравствуйте
      При проверке компьютера, KVRT ругается на mem:trojan.win64.generic.mem. Расположение: системная память. Лечение с перезагрузкой, либо без нее, вирус удаляет, но через какое то время всё возвращается, и при новой проверке снова ругается на этот же троян.
      CollectionLog-2021.11.26-11.49.zip
    • vetal747
      От vetal747
      Добрый день!
      Kaspersky регулярно обнаруживает вредоносный обьект, полная проверка не помогает:
      Описание результата: Обнаружено
      Тип: Троянская программа
      Название: HEUR:Trojan.Script.Generic
      Объект: http://pgold.pro/code\1054.js
      Причина: Экспертный анализ
       
      CollectionLog-2021.11.26-09.55.zip
    • Lesikma
      От Lesikma
      Доброго времени суток!
       
      Скачивала игры с непроверенных источников и поймала букет вирусов. Перечитала предыдущие темы, вижу что набор стандартный)
      Вирусы находятся в списке разрешенных угроз и конечно же - не удаляются оттуда. Стоит доктор веб и периодически ругается на них.
      Хотелось бы распрощаться с этими вирусами, буду благодарна за помощь 🙏


      CollectionLog-2021.11.25-20.16.zip
    • Larsvontrier
      От Larsvontrier
      Как я понял, это уже классика целого раздела
      Скачал файл, словил вирус, из антивирусов стоял только защитник винды 
      Журнал защиты стал чист, после скачивания dr.web (до этого висел троян)  
       

      FRST.txt Addition.txt
×
×
  • Создать...