Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

в диспетчере задач появились левые процессы openvg.exe и svchost.exe (заявка № 153526)

  1. #1
    Junior Member Репутация
    Регистрация
    18.01.2014
    Сообщений
    13
    Вес репутации
    38

    в диспетчере задач появились левые процессы openvg.exe и svchost.exe

    Добрый вечер.
    Несколько дней назад в диспетчере задач появились левые процессы openvg.exe и svchost.exe.
    Лежащие по адресу C:\Users\Admin\AppData\Local\Temp\. приудалении этих файлов после перезагрузки они повляются снова.
    Есть подозрение, что они как то связаны с программой tor.exe. Я это понял, пошерстив немного интернет.
    Так же появилась папка tor в C:\Program Files (x86)\(я ее удалил) и по адресу C:\Users\Admin\AppData\Roaming\tor\ внутри лежат файлы
    cached-certs
    cached-consensus
    cached-descriptors
    cached-descriptors.new
    lock
    state.
    Проверял утилитойAVPTool - ничего не нашла.
    Возможно это как то поможет.
    Помогите пожалуйста избавиться от этой заразы.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) kosblack, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    QuarantineFile('C:\Users\Admin\appdata\roaming\closer.exe','');
     QuarantineFile('C:\Users\Admin\appdata\local\temp\onion.exe','');
     QuarantineFile('C:\Users\Admin\appdata\local\temp\svchost.exe','');
     TerminateProcessByName('c:\users\admin\appdata\local\temp\openvg.exe');
     QuarantineFile('c:\users\admin\appdata\local\temp\openvg.exe','');
     DeleteFile('c:\users\admin\appdata\local\temp\openvg.exe','32');
     DeleteFile('C:\Users\Admin\appdata\local\temp\svchost.exe','32');
     DeleteFile('C:\Users\Admin\appdata\local\temp\onion.exe','32');
     DeleteFile('C:\Users\Admin\appdata\roaming\closer.exe','32');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи

    Сделайте лог полного сканирования МВАМ
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    18.01.2014
    Сообщений
    13
    Вес репутации
    38
    логи выслал. лог полного сканирования МВАМ пока в процессе

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от kosblack Посмотреть сообщение
    логи выслал
    Куда?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    18.01.2014
    Сообщений
    13
    Вес репутации
    38
    через ссылку вверху "Прислать запрошенный карантин"

    - - - Добавлено - - -

    а как выслать логи hijackthis и МВАМ?

    - - - Добавлено - - -

    заметил одну особенность. когда завершаешь процесс svchost.exe - вылетает драйвер видеокарты, но сек через 5-7 восстанавливается. где то недели 2 назад у меня так же было с процессом chrome.exe, который так же запускался из папки C:\Users\Admin\AppData\Local\Temp\

    - - - Добавлено - - -

    добавлю лог мбам к сообщению

    - - - Добавлено - - -

    вот
    Вложения Вложения

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Удалите в МВАМ только указанные ниже записи
    Код:
    Обнаруженные процессы в памяти:  2
    C:\Users\Admin\AppData\Local\Temp\svchost.exe (PUP.Optional.Cgminer) -> 5732 -> Действие не было предпринято.
    C:\Users\Admin\AppData\Local\Temp\svchost.exe (Trojan.Agent.Gen) -> 5732 -> Действие не было предпринято.
    
    Обнаруженные ключи в реестре:  15
    HKCR\AppID\{7169BBB3-3289-4696-B35D-4A88BCF6FB12} (PUP.Optional.WebCake.A) -> Действие не было предпринято.
    HKCR\CLSID\{2A5A2A90-3B30-4E6E-A955-2F232C6EF517} (PUP.Optional.WebCake.A) -> Действие не было предпринято.
    HKCR\TypeLib\{EFDF368C-8DD9-4E05-87CD-16AA5CB03CB8} (PUP.Optional.WebCake.A) -> Действие не было предпринято.
    HKCR\Interface\{0AFD55C8-ADF8-4A33-A6E1-DEDB7A36AEB4} (PUP.Optional.WebCake.A) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2A5A2A90-3B30-4E6E-A955-2F232C6EF517} (PUP.Optional.WebCake.A) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{2A5A2A90-3B30-4E6E-A955-2F232C6EF517} (PUP.Optional.WebCake.A) -> Действие не было предпринято.
    HKCR\CLSID\{AF6B0594-6008-4327-93E5-608AD710A6FA} (PUP.Optional.WebCake.A) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{AF6B0594-6008-4327-93E5-608AD710A6FA} (PUP.Optional.WebCake.A) -> Действие не было предпринято.
    HKCR\CLSID\{BB975E58-E769-4E5A-BA12-B765BC559FF3} (PUP.Optional.WebCake.A) -> Действие не было предпринято.
    HKCR\CLSID\{DF84E609-C3A4-49CB-A160-61767DAF8899} (PUP.Optional.WebCake.A) -> Действие не было предпринято.
    HKCR\Interface\{DF84E609-C3A4-49CB-A160-61767DAF8899} (PUP.Optional.WebCake.A) -> Действие не было предпринято.
    HKCU\Software\InstallCore\1I1T1Q1S (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
    HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
    HKLM\SOFTWARE\Google\Chrome\Extensions\fjoijdanhaiflhibkljeklcghcmmfffh (PUP.Optional.WebCake.A) -> Действие не было предпринято.
    
    Обнаруженные параметры в реестре:  1
    HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Параметры: 0R1R1L0E1Q -> Действие не было предпринято.
    
    Обнаруженные папки:  2
    C:\ProgramData\Tarma Installer\{C4ED781C-7394-4906-AAFF-D6AB64FF7C38} (PUP.Optional.WebCake.A) -> Действие не было предпринято.
    C:\ProgramData\Tarma Installer\{C4ED781C-7394-4906-AAFF-D6AB64FF7C38}\Cache (PUP.Optional.WebCake.A) -> Действие не было предпринято.
    
    Обнаруженные файлы:  73
    C:\Users\Admin\AppData\Local\Temp\svchost.exe (PUP.Optional.Cgminer) -> Действие не было предпринято.
    C:\Users\Admin\AppData\Local\Temp\svchost.exe (Trojan.Agent.Gen) -> Действие не было предпринято.
    C:\ProgramData\Tarma Installer\{C4ED781C-7394-4906-AAFF-D6AB64FF7C38}\Setup.ico (PUP.Optional.WebCake.A) -> Действие не было предпринято.
    C:\ProgramData\Tarma Installer\{C4ED781C-7394-4906-AAFF-D6AB64FF7C38}\Setup.dat (PUP.Optional.WebCake.A) -> Действие не было предпринято.
    C:\ProgramData\Tarma Installer\{C4ED781C-7394-4906-AAFF-D6AB64FF7C38}\Setup.exe (PUP.Optional.WebCake.A) -> Действие не было предпринято.
    C:\ProgramData\Tarma Installer\{C4ED781C-7394-4906-AAFF-D6AB64FF7C38}\_Setup.dll (PUP.Optional.WebCake.A) -> Действие не было предпринято.
    C:\ProgramData\Tarma Installer\{C4ED781C-7394-4906-AAFF-D6AB64FF7C38}\_Setupx.dll (PUP.Optional.WebCake.A) -> Действие не было предпринято.
    C:\Users\Admin\AppData\Local\Temp\phatk121016.cl (Trojan.BitcoinMiner) -> Действие не было предпринято.
    C:\Users\Admin\AppData\Local\Temp\scrypt130511.cl (Trojan.BitcoinMiner) -> Действие не было предпринято.
    C:\Users\Admin\AppData\Local\Temp\diablo130302.cl (Trojan.BitcoinMiner) -> Действие не было предпринято.
    C:\Users\Admin\AppData\Local\Temp\poclbm130302.cl (Trojan.BitcoinMiner) -> Действие не было предпринято.
    C:\Users\Admin\AppData\Local\Temp\diakgcn121016.cl (Trojan.BitcoinMiner) -> Действие не было предпринято.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    18.01.2014
    Сообщений
    13
    Вес репутации
    38
    нужно ли делать полную проверку, если все эти записи лежат на диске С?

    - - - Добавлено - - -

    полная проверка займет примерно полтора-два часа...

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Делайте быструю проверку
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    18.01.2014
    Сообщений
    13
    Вес репутации
    38
    удалил. что дальше?

    - - - Добавлено - - -

    выслал на всякий случай новый лог авз

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Что с проблемой?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Junior Member Репутация
    Регистрация
    18.01.2014
    Сообщений
    13
    Вес репутации
    38
    svchost пропал, но процессы openvg.exe и onion.exe все еще есть.
    и Malwarebytes каждый раз ругается, что пресекает попытку процесса onion.exe выйти в интернет на определенный IP.
    Кстати, почему то после перезагрузки windows запустился процесс восстановления системы и минут 10 что то восстанавливал. но в итоге все запустилось нормально.
    попробую руками удалить процессы в диспетчере и потом удалить их руками из папки темп. проверю после перезагрузки и отпишусь.

    - - - Добавлено - - -

    не помогло. и svchost снова появился.
    только я удалил их в диспетчере и из папки темп, как они через 15 сек снова появились - все 3 файла, и соответственно все 3 процесса в диспетчере

    - - - Добавлено - - -

    еще 1 наблюдение. эти процессы действительно связаны с папкой C:\Users\Admin\AppData\Roaming\tor\.
    файлы из темпа можно удалить только если удалить папку тор. но как только запускаю браузер мозила - файлы и папка появляются снова.

  14. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Новый лог МВАМ предоставьте
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. #14
    Junior Member Репутация
    Регистрация
    18.01.2014
    Сообщений
    13
    Вес репутации
    38

    новый мбам

    приложил
    Вложения Вложения

  16. #15
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Удалите в МВАМ все, кроме
    Код:
    HKCU\SOFTWARE\HiSoft\CrackDownloader (CrackTool.Agent) -> Действие не было предпринято.
    
    C:\Users\Admin\Downloads\Unlocker1.9.2.exe (PUP.Optional.Babylon.A) -> Действие не было предпринято.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  17. #16
    Junior Member Репутация
    Регистрация
    18.01.2014
    Сообщений
    13
    Вес репутации
    38

    не помогло

    удалил. проблема осталась.
    подключаю лог мбам, в кором он блокирует выход процесса onion.exe в интернет. может поможет.protection-log-2014-01-19.txt

    - - - Добавлено - - -

    и снова есть наблюдение. процессы openvg.exe и onion.exe появляются снова в диспетчере (если сначала их завершить) при вызове контекстного меню, т.е. при нажатии правой кнопкой на любом из файлов в папке темп или папке тор

  18. #17
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Сделайте лог ComboFix
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  19. Это понравилось:


  20. #18
    Junior Member Репутация
    Регистрация
    18.01.2014
    Сообщений
    13
    Вес репутации
    38

    combofix

    готовоComboFix.txt

  21. #19
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Что с проблемой?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  22. Это понравилось:


  23. #20
    Junior Member Репутация
    Регистрация
    18.01.2014
    Сообщений
    13
    Вес репутации
    38
    проблема решена.
    спасибо огромное. файлы пропали. процессы тоже. папку тор удалил вручную-больше не появилась после перезагрузки.
    посмотрю еще завтра, если что - отпишусь.
    а что это было и как защититься в будущем от такой гадости?

  • Уважаемый(ая) kosblack, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Процессы rundll32.exe в диспетчере задач
      От Alihan в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 15.02.2012, 16:41
    2. Процессы iexplorer в диспетчере задач.
      От karavai в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 25.01.2011, 10:18
    3. Ответов: 15
      Последнее сообщение: 07.01.2011, 15:52
    4. Ответов: 4
      Последнее сообщение: 04.04.2010, 11:05
    5. Ответов: 28
      Последнее сообщение: 05.02.2009, 21:41

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00433 seconds with 20 queries