Перейти к содержанию
Правила раздела

подозрения на троян

JohnF.

Автор JohnF.
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Здравствуйте,

HiJackThis (из каталога autologger) профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже. 


O18 - HKLM\Software\Classes\Protocols\Filter\application/x-mfe-ipt: [CLSID] = {3EF5086B-5478-4598-A054-786C45D75692} - (no file)

 

 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" , "SigCheckExt" и "90 Days Files".

FRST.png

  1. Нажмите кнопку Scan.
  2. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  3. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты
JohnF. Новичок

JohnF.

Опубликовано
  • Автор
Опубликовано
8 часов назад, SQ сказал:

Здравствуйте,

HiJackThis (из каталога autologger) профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже. 



O18 - HKLM\Software\Classes\Protocols\Filter\application/x-mfe-ipt: [CLSID] = {3EF5086B-5478-4598-A054-786C45D75692} - (no file)

 

 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" , "SigCheckExt" и "90 Days Files".

FRST.png

  1. Нажмите кнопку Scan.
  2. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  3. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Профиксил то что вы сказали, отчеты от сканирования также прилагаю.

Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано
  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Выделите следующий код:: 
    Start::
CreateRestorePoint:
File: C:\Program Files (x86)\ASUSTeK COMPUTER INC\RefreshRateService\RefreshRateService.exe
File: C:\WINDOWS\system32\taskhostw.exe
File: C:\WINDOWS\PidVid_List.dll
FirewallRules: [{597E8C18-0048-4D07-9646-9122137219D5}] => (Allow) C:\Program Files (x86)\Common Files\Mcafee\MMSSHost\MMSSHost.exe => Нет файла
FirewallRules: [{52A4D583-296F-4209-96F2-71492065BFED}] => (Allow) C:\Program Files\Common Files\McAfee\MMSSHost\MMSSHost.exe => Нет файла
FirewallRules: [{646BEEE6-1F7D-41CC-80F4-921EF9DB60E8}] => (Allow) C:\Program Files\Common Files\McAfee\Platform\McSvcHost\McSvHost.exe => Нет файла
FirewallRules: [{158C62E8-30D9-4F79-9AEE-667E7E027DA9}] => (Allow) C:\Program Files\WindowsApps\Microsoft.Office.Desktop.Outlook_16040.10730.20103.0_x86__8wekyb3d8bbwe\Office16\OUTLOOK.exe => Нет файла
End::

     

  3. Скопируйте выделенный текст (правой кнопкой - Копировать).
  4. Запустите FRST/FRST64 (от имени администратора).
  5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
  6. Обратите внимание, что компьютер будет возможно перезагружен.

В логах ничего вредоносного не видно, уточните пожалуйста если проверяли ваш диск на возможные ошибки? В логах часто регистрируются ошибки к доступам файлов на диске.

 

Пример: 

Не удалось получить доступ к процессу -> taskhostw.exe

Error: (06/26/2021 09:35:45 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Имя сбойного приложения: taskhostw.exe, версия: 10.0.19041.906, метка времени: 0xd1ac4c39
Имя сбойного модуля: pla.dll, версия: 10.0.19041.1, метка времени: 0xb08eebc4
Код исключения: 0xc0000005
Смещение ошибки: 0x00000000000fd9db
Идентификатор сбойного процесса: 0x994
Время запуска сбойного приложения: 0x01d76aba077ba816
Путь сбойного приложения: C:\WINDOWS\system32\taskhostw.exe
Путь сбойного модуля: C:\WINDOWS\system32\pla.dll
Идентификатор отчета: 7dd401f3-4365-4482-8fe1-df3d79287fd6
Полное имя сбойного пакета: 
Код приложения, связанного со сбойным пакетом:

 

Ссылка на комментарий
Поделиться на другие сайты
JohnF. Новичок

JohnF.

Опубликовано
  • Автор
Опубликовано
52 минуты назад, SQ сказал:
  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Выделите следующий код:: 
    
Start::
CreateRestorePoint:
File: C:\Program Files (x86)\ASUSTeK COMPUTER INC\RefreshRateService\RefreshRateService.exe
File: C:\WINDOWS\system32\taskhostw.exe
File: C:\WINDOWS\PidVid_List.dll
FirewallRules: [{597E8C18-0048-4D07-9646-9122137219D5}] => (Allow) C:\Program Files (x86)\Common Files\Mcafee\MMSSHost\MMSSHost.exe => Нет файла
FirewallRules: [{52A4D583-296F-4209-96F2-71492065BFED}] => (Allow) C:\Program Files\Common Files\McAfee\MMSSHost\MMSSHost.exe => Нет файла
FirewallRules: [{646BEEE6-1F7D-41CC-80F4-921EF9DB60E8}] => (Allow) C:\Program Files\Common Files\McAfee\Platform\McSvcHost\McSvHost.exe => Нет файла
FirewallRules: [{158C62E8-30D9-4F79-9AEE-667E7E027DA9}] => (Allow) C:\Program Files\WindowsApps\Microsoft.Office.Desktop.Outlook_16040.10730.20103.0_x86__8wekyb3d8bbwe\Office16\OUTLOOK.exe => Нет файла
End::

     

  3. Скопируйте выделенный текст (правой кнопкой - Копировать).
  4. Запустите FRST/FRST64 (от имени администратора).
  5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
  6. Обратите внимание, что компьютер будет возможно перезагружен.

В логах ничего вредоносного не видно, уточните пожалуйста если проверяли ваш диск на возможные ошибки? В логах часто регистрируются ошибки к доступам файлов на диске.

 

Пример: 


Не удалось получить доступ к процессу -> taskhostw.exe

Error: (06/26/2021 09:35:45 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Имя сбойного приложения: taskhostw.exe, версия: 10.0.19041.906, метка времени: 0xd1ac4c39
Имя сбойного модуля: pla.dll, версия: 10.0.19041.1, метка времени: 0xb08eebc4
Код исключения: 0xc0000005
Смещение ошибки: 0x00000000000fd9db
Идентификатор сбойного процесса: 0x994
Время запуска сбойного приложения: 0x01d76aba077ba816
Путь сбойного приложения: C:\WINDOWS\system32\taskhostw.exe
Путь сбойного модуля: C:\WINDOWS\system32\pla.dll
Идентификатор отчета: 7dd401f3-4365-4482-8fe1-df3d79287fd6
Полное имя сбойного пакета: 
Код приложения, связанного со сбойным пакетом:

 

Диск не проверял, лог приложил

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • DonorRaboti
      [РЕШЕНО] Подозрение на троян Trojan:Win32/Wacatac.B!ml
      Автор DonorRaboti
      Добрый день, по своей глупости скачал файл exe и запустил его после чего на компьютере появились рекламные ярлыки на рабочем столе и как будто часть сайтов с антивирусным по затормозились. Сканировал Dr.Web CureIt и KVRT, но ничего не было найдено того, что ранее не видел. Возможно, видел новый созданный профиль в Windows, подписанный как неизвестный или что-то такое и удалил его. Проверки Антивирусами ничего не выявляли, кроме пары файлов в корзине. Сам компьютер, как мне показалось, иногда подвисал, словно был загружен, но в диспетчере задач, как и в resmon ничего не выявил. На VirusTotal при проверке файла указывало на вредоносное ПО, содержащее Trojan:Win32/Wacatac.B!ml. Также заметил, что не могу попасть на сайт safezone.cc, скачивал автологер через 2 зеркало
      CollectionLog-2025.06.19-02.13.zip
    • searing
      [РЕШЕНО] Подозрение на майнер
      Автор searing
      скачал игру с торрента, после чего в браузере Chrome после каждого перезапуска пк начало устанавливаться левое расширение якобы Adblock, с обфусцированным js кодом. Так же в temp появляется папка 2xzjMMUGjeobOYtjoc0gOuMKKHC. Пробовал чистить антивирусами doctor web cureit и malwarebytes - не помогло. CollectionLog-2025.07.04-05.50.zip
    • ShadowIce449
      Подозрение на майнер
      Автор ShadowIce449
      игры упали в производ, вертушки начали шуметь просто так, испол drweb ничего не обнаружил, а также запустил avz. Cкачивал игры с торрент игрухе и т.д
       
      CollectionLog-2025.06.12-21.38.zip
    • Ilyambuss
      [РЕШЕНО] Подозрение на майнер
      Автор Ilyambuss
      Скачал левак с торрента, после чего в диспетчере задач появились каких-то два процесса "setup", которых раньше не было. Думаю, майнер. После снятия задачи и перезагрузки компьютера они вновь появляются. Проверка касперским удалила каких-то три рекламных объекта.
      CollectionLog-2025.06.15-00.21.zip
    • GlibZabiv
      Подозрение на майнер
      Автор GlibZabiv
      Здравствуйте, ЦП AMD Ryzen 5 3600 в простое греется до 65-75 градусов, ГП AMD Radeon RX 570 Series до 48-50 градусов. Насколько я знаю, в простое такая температура ненормальна. По диспетчеру задач нагрузка небольшая. Kaspersky Internet Security, Dr.Web CurIt! майнера не видят. Прошу вас сказать, заражен ли мой компьютер (данные брал из программы AIDA 64).
      CollectionLog-2025.05.31-12.01.zip
×
×
  • Создать...