Перейти к содержанию

Подозрение на маскировку процесса hasplms.exe сканировал avz


Рекомендуемые сообщения

У меня периодически вылетает окно не хватает памяти озу и грузится процессор, хотя ни какие  игры и высоконагруженные процессы не были запущены, антивирус установлен kaspersky endpoint security. 

При сканировании avz  выдал "Подозрение на маскировку процесса hasplms.exe".

CollectionLog-2022.05.08-17.34.zip

Сведения о системе.zip

Изменено пользователем Andreyuser
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Деинсталлируйте более не поддерживаемый Adobe Flash Player 25 ActiveX.

 

Затем:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Сделал указанные рекомендации. Только сначала когда первый раз запустил от имени администратора adwcleaner эта утилита зависла с ошибкой. Вот лог в журнале событий:

Имя журнала:   Application
Источник:      Application Error
Дата:          10.05.2022 13:38:57
Код события:   1000
Категория задачи:(100)
Уровень:       Ошибка
Ключевые слова:Классический
Пользователь:  Н/Д
Компьютер:     Andreyhomepc
Описание:
Имя сбойного приложения: adwcleaner.exe, версия: 8.3.2.0, отметка времени: 0x623ba5cf
Имя сбойного модуля: KERNELBASE.dll, версия: 6.1.7601.25895, отметка времени 0x62156906
Код исключения: 0xc0000005
Смещение ошибки: 0x00036153
Идентификатор сбойного процесса: 0x1b48
Время запуска сбойного приложения: 0x01d8645a1cb82fc8
Путь сбойного приложения: C:\Users\Andreyhomepc\Desktop\adwcleaner.exe
Путь сбойного модуля: C:\Windows\syswow64\KERNELBASE.dll
Код отчета: 64f08ae3-d04d-11ec-a9ce-94de80dbbf59
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Application Error" />
    <EventID Qualifiers="0">1000</EventID>
    <Level>2</Level>
    <Task>100</Task>
    <Keywords>0x80000000000000</Keywords>
    <TimeCreated SystemTime="2022-05-10T10:38:57.000000000Z" />
    <EventRecordID>171903</EventRecordID>
    <Channel>Application</Channel>
    <Computer>Andreyhomepc</Computer>
    <Security />
  </System>
  <EventData>
    <Data>adwcleaner.exe</Data>
    <Data>8.3.2.0</Data>
    <Data>623ba5cf</Data>
    <Data>KERNELBASE.dll</Data>
    <Data>6.1.7601.25895</Data>
    <Data>62156906</Data>
    <Data>c0000005</Data>
    <Data>00036153</Data>
    <Data>1b48</Data>
    <Data>01d8645a1cb82fc8</Data>
    <Data>C:\Users\Andreyhomepc\Desktop\adwcleaner.exe</Data>
    <Data>C:\Windows\syswow64\KERNELBASE.dll</Data>
    <Data>64f08ae3-d04d-11ec-a9ce-94de80dbbf59</Data>
  </EventData>
</Event>

AdwCleaner[S00].txt

 

Когда делал исследование системы через avz, то в карантин  были отправлены следующие файлы(в архиве virus.zip).  Прикрепил также отчет исследования системы avz_sysinfo.zip

virus.zip avz_sysinfo.zip

Ссылка на сообщение
Поделиться на другие сайты

Вы пользуетесь устаревшей версией AVZ, не нужно.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Task: {64C18624-C728-48F7-A20E-96B742C50EC3} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Нет файла <==== ВНИМАНИЕ
    Task: {72F28C2A-FBF8-49B3-988A-65ED2BEE59A7} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Нет файла <==== ВНИМАНИЕ
    Task: {815C4E0F-0665-4436-8F93-4840C6EB7C81} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Нет файла <==== ВНИМАНИЕ
    Task: {9951A284-E56F-4BBC-9683-CEEFA651C632} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Нет файла <==== ВНИМАНИЕ
    Task: {EFF87BE7-E564-4A31-8AC1-4E524355264B} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Нет файла <==== ВНИМАНИЕ
    C:\Users\Andreyhomepc\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\mfhcmdonhekjhfbjmeacdjbhlfgpjabp
    CHR HKLM-x32\...\Chrome\Extension: [mfhcmdonhekjhfbjmeacdjbhlfgpjabp]
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
    WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
    WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
08.05.2022 в 17:56, Andreyuser сказал:

периодически вылетает окно не хватает памяти озу

Это ещё продолжается?

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Malwarebytes v.4. Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Сделал. Заметил еще в папке Windows/Temp  скрытую папку sdsffdsgdgd11000@!@@@@@@@@$$$%%%^%%^^2-__225555500@@%YY00000

 

Ещё очень часто при  переходе на яндекс появляются предупреждения - с вашего ip адреса поступило слишком много запросов.  

scanmbam.txt

Изменено пользователем Andreyuser
Ссылка на сообщение
Поделиться на другие сайты

Удалять в MBAM ничего не нужно (BitTorrent, как понимаю, ставили самостоятельно).

 

6 минут назад, Andreyuser сказал:

Заметил еще в папке Windows/Temp  скрытую папку

Если бы такая папка появилась в профиле или в корне диска, было бы подозрительно. А во временной папке - не страшно. Можно просто удалить.

 

3 часа назад, Andreyuser сказал:

продолжатеся загрузка памяти на 100%

Загрузите систему в безопасном режиме и проверьте, будет ли подобное.

Результат сообщите.

Ссылка на сообщение
Поделиться на другие сайты

Понял, спасибо сейчас попробую в безопасном режиме. 

BitTorrent  установил сам, но если этот торрент клиент  имеет вредоносный код и потенциально опасен, тогда наверное лучше его удалить и поставить другой?

 

Ссылка на сообщение
Поделиться на другие сайты

В безопасном режиме нагрузка на ОЗУ была максимум 20-25%.  

Просканировал sfc /scannow в безопасном режиме - ошибок системных файлов не найдено.

Сейчас загрузка ОЗУ пока 53% - работает браузер chrome и adobe reader.

 Ещё в MBAM при сканировании автоматически заблокировал и удалил BitTorrent - теперь эта программа не запускается. 

 

 

 

Ссылка на сообщение
Поделиться на другие сайты

Если в безопасном режиме проблема не наблюдается, причина кроется в сторонней службе или программе. В этом случае выполните следующие действия.
Пуск - Поиск / Выполнить - msconfig - ОК и перейдите на вкладку Службы. Установите флажок Не отображать службы Microsoft.
Отключите все отображенные службы (имеются в виду только не принадлежащие Microsoft) и перезагрузитесь. Если проблема не появляется, причина в одной из этих служб.

Далее действуйте методом "половинного деления". Включите половину служб и снова перезагрузитесь. Если проблема не появляется, причина в оставшихся отключенных службах. Если проблема воспроизводится, причина во включенных службах - отключите половину из них и снова перезагрузитесь. Действуя таким образом, вы сможете выявить службу, являющуюся причиной проблемы, и определить программу, которой она принадлежит.
Аналогичным образом можно поступить на вкладке Автозагрузка.
Здесь тоже не следует отключать пункты, производителем которых является Microsoft. Отключение программ других производителей может привести к неправильной работе устройств в том случае, если вы отключите их драйверы. Поэтому программы производителей вашего аппаратного обеспечения (например, Intel) лучше не отключать, либо отключать в самую последнюю очередь.

Далее можно порекомендовать лишь обновление программы до последней версии или ее удаление.

Подробнее об этой диагностике читайте здесь.
 

 

7 часов назад, Andreyuser сказал:

MBAM при сканировании автоматически заблокировал и удалил BitTorrent - теперь эта программа не запускается

Если она вам нужна, переустановите.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Anton70
      От Anton70
      Добрый день!
       
      Словил шифровальщик.
      Похоже что зашли на сервер по RDP.
      Зашифровано всё, в том числе и бэкапы. 
      Файлы имеют вид - [WinLock@keemail.me][код]имя файла.Loki
       
      Есть способ расшифровать такие файлы ?
       
      [mod]Не надо выкладывать вирусы на форуме[/mod] 
      FRST.zip files.zip
    • loppener
      От loppener
      случилось это примерно 2 недели назад, я что-то скачал, не помню что и началось это. у меня не устанавливался ни один антивирус, вирус их закрывал. файл хостс тоже был переполнен блокировками против сайтов. я еле-еле установил антивирус Malwarebytes и drweb и вроде почистил все, но с каждым запуском компа файлы вируса появляются, а удалить я их не могу, тк восстанавливаются при перезапуска. автозагрузка в диспетчере задач тоже не работает, пишет что нет элементов. сегодня хотел переустановить виндоус, но файл просто закрывается и ничего не происходит. не знаю что делать. при том заметил что криптокошельки которые скопировал меняются на неизвестный мне кошелек, я понял что у меня в компе сидит куча троянов которые мешают жить и скорее всего воруют мои денные. помогите пожалуйста! 
    • Predator21
      От Predator21
      Скрытно нагружает видеокарту на 100%, это наблюдается в MSI Afterburner, но не наблюдается в диспетчере задач. Пытался почистить при помощи UnHackMe, помогает только до первой перезагрузки, после майнер устанавливается заново.
      CollectionLog-2022.05.01-01.22 (1).zip
    • autobriz
      От autobriz
      Здравствуйте.
       
      Пользуюсь Яндекс браузером. При входе на сайт stoloto.ru,  один раз обнаружилось вот это:
       
      Событие: Загрузка остановлена
      Пользователь: asus\A
      Тип пользователя: Активный пользователь
      Имя программы: browser.exe
      Путь к программе: C:\Users\A\AppData\Local\Yandex\YandexBrowser\Application
      Компонент: Веб-Антивирус
      Описание результата: Запрещено
      Тип: Троянская программа
      Название: HEUR:Trojan.Multi.Preqw.gen
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Файл
      Имя объекта: analize.js
      Путь к объекту: https://sonar.semantiqo.com/4e3ll
      MD5: B250C91E8BA793C565004E1F8783E03C
      Причина: Экспертный анализ
      Дата выпуска баз: 25.04.2022 4:41:00
       
      Потом, постоянно стало выскакивать вот это:
       
      Событие: Переход остановлен
      Пользователь: NT AUTHORITY\СИСТЕМА
      Тип пользователя: Системный пользователь
      Имя программы: browser.exe
      Путь к программе: C:\Users\A\AppData\Local\Yandex\YandexBrowser\Application
      Компонент: Веб-Антивирус
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: https://sonar.semantiqo.com/4e3ll/analize.js
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: analize.js
      Путь к объекту: https://sonar.semantiqo.com/4e3ll
      Причина: Базы
      Дата выпуска баз: Сегодня, 27.04.2022 8:59:00
       
      Что за беда приключилась, чего делать-то...?
      На вирусы проверял, ничего не нашлось.
       
       
    • Анатолий Т
      От Анатолий Т
      День добрый.
      10 апреля пошли спать. 11 утром обнаружили, что все файлы зашифрованы.
      С Вашей помощью получилось восстановить файлы. Но вот сегодня обнаружил, что по RDP, с ноутбука который был вылечен, подключились к рабочему серверу и зашифровали там файлы тоже.
      Помогите пожалуйста отчистить комп от заразы.
      Addition.txt FRST.txt
×
×
  • Создать...