Перейти к содержанию

подозрения на троян


Рекомендуемые сообщения

Здравствуйте,

HiJackThis (из каталога autologger) профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.


O18 - HKLM\Software\Classes\Protocols\Filter\application/x-mfe-ipt: [CLSID] = {3EF5086B-5478-4598-A054-786C45D75692} - (no file)

 

 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" , "SigCheckExt" и "90 Days Files".

FRST.png

  1. Нажмите кнопку Scan.
  2. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  3. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на сообщение
Поделиться на другие сайты
8 часов назад, SQ сказал:

Здравствуйте,

HiJackThis (из каталога autologger) профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.



O18 - HKLM\Software\Classes\Protocols\Filter\application/x-mfe-ipt: [CLSID] = {3EF5086B-5478-4598-A054-786C45D75692} - (no file)

 

 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" , "SigCheckExt" и "90 Days Files".

FRST.png

  1. Нажмите кнопку Scan.
  2. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  3. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Профиксил то что вы сказали, отчеты от сканирования также прилагаю.

Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты
  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Выделите следующий код::
    Start::
    CreateRestorePoint:
    File: C:\Program Files (x86)\ASUSTeK COMPUTER INC\RefreshRateService\RefreshRateService.exe
    File: C:\WINDOWS\system32\taskhostw.exe
    File: C:\WINDOWS\PidVid_List.dll
    FirewallRules: [{597E8C18-0048-4D07-9646-9122137219D5}] => (Allow) C:\Program Files (x86)\Common Files\Mcafee\MMSSHost\MMSSHost.exe => Нет файла
    FirewallRules: [{52A4D583-296F-4209-96F2-71492065BFED}] => (Allow) C:\Program Files\Common Files\McAfee\MMSSHost\MMSSHost.exe => Нет файла
    FirewallRules: [{646BEEE6-1F7D-41CC-80F4-921EF9DB60E8}] => (Allow) C:\Program Files\Common Files\McAfee\Platform\McSvcHost\McSvHost.exe => Нет файла
    FirewallRules: [{158C62E8-30D9-4F79-9AEE-667E7E027DA9}] => (Allow) C:\Program Files\WindowsApps\Microsoft.Office.Desktop.Outlook_16040.10730.20103.0_x86__8wekyb3d8bbwe\Office16\OUTLOOK.exe => Нет файла
    End::

     

  3. Скопируйте выделенный текст (правой кнопкой - Копировать).
  4. Запустите FRST/FRST64 (от имени администратора).
  5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
  6. Обратите внимание, что компьютер будет возможно перезагружен.

В логах ничего вредоносного не видно, уточните пожалуйста если проверяли ваш диск на возможные ошибки? В логах часто регистрируются ошибки к доступам файлов на диске.

 

Пример:

Не удалось получить доступ к процессу -> taskhostw.exe

Error: (06/26/2021 09:35:45 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Имя сбойного приложения: taskhostw.exe, версия: 10.0.19041.906, метка времени: 0xd1ac4c39
Имя сбойного модуля: pla.dll, версия: 10.0.19041.1, метка времени: 0xb08eebc4
Код исключения: 0xc0000005
Смещение ошибки: 0x00000000000fd9db
Идентификатор сбойного процесса: 0x994
Время запуска сбойного приложения: 0x01d76aba077ba816
Путь сбойного приложения: C:\WINDOWS\system32\taskhostw.exe
Путь сбойного модуля: C:\WINDOWS\system32\pla.dll
Идентификатор отчета: 7dd401f3-4365-4482-8fe1-df3d79287fd6
Полное имя сбойного пакета: 
Код приложения, связанного со сбойным пакетом:

 

Ссылка на сообщение
Поделиться на другие сайты
52 минуты назад, SQ сказал:
  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Выделите следующий код::
    
    Start::
    CreateRestorePoint:
    File: C:\Program Files (x86)\ASUSTeK COMPUTER INC\RefreshRateService\RefreshRateService.exe
    File: C:\WINDOWS\system32\taskhostw.exe
    File: C:\WINDOWS\PidVid_List.dll
    FirewallRules: [{597E8C18-0048-4D07-9646-9122137219D5}] => (Allow) C:\Program Files (x86)\Common Files\Mcafee\MMSSHost\MMSSHost.exe => Нет файла
    FirewallRules: [{52A4D583-296F-4209-96F2-71492065BFED}] => (Allow) C:\Program Files\Common Files\McAfee\MMSSHost\MMSSHost.exe => Нет файла
    FirewallRules: [{646BEEE6-1F7D-41CC-80F4-921EF9DB60E8}] => (Allow) C:\Program Files\Common Files\McAfee\Platform\McSvcHost\McSvHost.exe => Нет файла
    FirewallRules: [{158C62E8-30D9-4F79-9AEE-667E7E027DA9}] => (Allow) C:\Program Files\WindowsApps\Microsoft.Office.Desktop.Outlook_16040.10730.20103.0_x86__8wekyb3d8bbwe\Office16\OUTLOOK.exe => Нет файла
    End::

     

  3. Скопируйте выделенный текст (правой кнопкой - Копировать).
  4. Запустите FRST/FRST64 (от имени администратора).
  5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
  6. Обратите внимание, что компьютер будет возможно перезагружен.

В логах ничего вредоносного не видно, уточните пожалуйста если проверяли ваш диск на возможные ошибки? В логах часто регистрируются ошибки к доступам файлов на диске.

 

Пример:


Не удалось получить доступ к процессу -> taskhostw.exe

Error: (06/26/2021 09:35:45 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Имя сбойного приложения: taskhostw.exe, версия: 10.0.19041.906, метка времени: 0xd1ac4c39
Имя сбойного модуля: pla.dll, версия: 10.0.19041.1, метка времени: 0xb08eebc4
Код исключения: 0xc0000005
Смещение ошибки: 0x00000000000fd9db
Идентификатор сбойного процесса: 0x994
Время запуска сбойного приложения: 0x01d76aba077ba816
Путь сбойного приложения: C:\WINDOWS\system32\taskhostw.exe
Путь сбойного модуля: C:\WINDOWS\system32\pla.dll
Идентификатор отчета: 7dd401f3-4365-4482-8fe1-df3d79287fd6
Полное имя сбойного пакета: 
Код приложения, связанного со сбойным пакетом:

 

Диск не проверял, лог приложил

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • KZMZ
      От KZMZ
      Зависает местами прошу проверить логи на подозрительное
      CollectionLog-2022.01.18-11.05.zip
    • Константин141414
      От Константин141414
      CollectionLog-2022.01.10-13.18.zipВирусы появились после установки на ПК стороннего софта. Ранее защитник Windows находил и не мог удалить данные файлы. Сейчас после того как я почистил папки Temp, защитник не находит их, но все же я не могу быть уверен что проблема решена, поэтому надеюсь что мне кто-нибудь подскажет решение.
    • ignatknyazzef
      От ignatknyazzef
      Здравствуйте. Мой антивирус Kaspersky Free находит вирус, или же троян MEM:Trojan.Win32.SEPEH.gen. После лечения с перезагрузкой антивирус находит его вновь. 
      CollectionLog-2022.01.09-14.00.zip
    • harp1xd
      От harp1xd
      Я обнаружил у себя на пк файл sppextcomobjhook.dll и патчер этого же файла. Пробовал удалять через DR web qureit, kasperskiy так же ничего не обнаружил. Вручную файл не удаляется из-за прав. Устал уже от этого майнера, прошу вашей помощи!

    • mxrph
      От mxrph
      Заметил, что при открытии диспетчера задач, система "Системные прерывания" имеет нагрузку на ЦП в 99.5%(приложил скрин), но после 1-2 сек. открытия диспетчера, тот резко пропадает, и остальные процессы порой неадекватн о начинают нагружать ЦП, хотя не должны. Проверял с помощь DrWeb CureIt MalwareBytes и AVZ, проблема после сканирований так и не решилась.  Подозрение на майнер. CollectionLog-2021.12.13-21.00.zip

×
×
  • Создать...