Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

Вирус Dwm.exe [not-a-virus:RiskTool.Win64.BitCoinMiner.ng, Trojan-PSW.Win32.Tepfer.sbez ] (заявка № 171926)

  1. #1
    Junior Member Репутация
    Регистрация
    29.11.2014
    Сообщений
    66
    Вес репутации
    8

    Вирус Dwm.exe [not-a-virus:RiskTool.Win64.BitCoinMiner.ng, Trojan-PSW.Win32.Tepfer.sbez ]

    Последнее время постоянно появлялось окно об ошибке dwm.exe. Сегодня дошли руки решить эту проблему, отключил эту службу в панели управления, не помогло. Прочитал что это может быть вирус, скачал Dr.Web CureIt, который обнаружил одноименный файл, но в неположенном ему месте, классифицировал как вирус, вылечил. Однако после перезагрузки вирус восстановился, повторное лечение тоже не принесло результата, пытался удалить вручную, пару раз получилось, но после перезагрузки папка появляется снова. Помогите снести его безвозвратно)

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,267
    Вес репутации
    326
    Уважаемый(ая) Losos', спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,560
    Вес репутации
    708
    Здравствуйте!

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол

    Выполните скрипт в АВЗ -

    Код:
    begin
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ClearQuarantineEx(true);
     TerminateProcessByName('C:\Users\Losos' + Chr(39) + '\AppData\Local\Temp\msupdate71\dwm.exe');
     QuarantineFile('C:\Users\Losos' + Chr(39) + '\AppData\Local\Temp\msupdate71\dwm.exe', '');
     QuarantineFile('C:\Users\Losos' + Chr(39) + '\AppData\Local\Temp\mdi164.dll', '');
     QuarantineFile('C:\Program Files (x86)\Google\chrome.bat', '');
     QuarantineFile('C:\iexplore.bat', '');
     QuarantineFile('C:\Windows\Temp\TS_8469.tmp', '');
     QuarantineFile('C:\Windows\Temp\TS_9E51.tmp', '');
     QuarantineFile('C:\Users\Losos' + Chr(39) + '\AppData\Local\Microsoft\Extensions\extsetup.exe','');
     QuarantineFile('C:\Users\Losos' + Chr(39) + '\AppData\Local\Microsoft\Extensions\safebrowser.exe','');
     QuarantineFile('C:\ProgramData\Microsoft\Network\Downloader\downloader.exe','');
     QuarantineFile('C:\Users\Losos' + Chr(39) + '\appdata\local\temp\msupdate71\indexer.exe', '');
     DeleteFile('C:\Users\Losos' + Chr(39) + '\AppData\Local\Temp\msupdate71\dwm.exe', '32');
     DeleteFile('C:\Users\Losos' + Chr(39) + '\AppData\Local\Temp\mdi164.dll', '32');
     DeleteFile('C:\Program Files (x86)\Google\chrome.bat', '32');
     DeleteFile('C:\iexplore.bat', '32');
     DeleteFile('C:\Users\Losos' + Chr(39) + '\appdata\local\temp\msupdate71\indexer.exe', '32');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'tsiVideo');
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
     ExecuteRepair(1);
     ExecuteRepair(2);
     ExecuteWizard('SCU', 2, 3, true);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.


    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    - сделайте лог Check Browsers' LNK


    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.

  5. regist получил(а) благодарность за это сообщение от


  6. #4
    Junior Member Репутация
    Регистрация
    29.11.2014
    Сообщений
    66
    Вес репутации
    8
    Скрипты и логи выполнил, прикрепляю

  7. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,230
    Вес репутации
    1022
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
    • Прикрепите отчет к своему следующему сообщению

    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

    Подробнее читайте в этом руководстве.

    • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
    • Распакуйте архив с утилитой в отдельную папку.
    • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке


    • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
    • Прикрепите этот отчет к своему следующему сообщению.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  8. mike 1 получил(а) благодарность за это сообщение от


  9. #6
    Junior Member Репутация
    Регистрация
    29.11.2014
    Сообщений
    66
    Вес репутации
    8
    Вот

  10. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,560
    Вес репутации
    708
    AdwCleaner[S0].txt - также прикрепите.

    +
    Код:
    C:\Users\Losos\AppData\Local\Microsoft\Extensions\extsetup.exe
    C:\Users\Losos\AppData\Local\Microsoft\Extensions\safebrowser.exe
    C:\ProgramData\Microsoft\Network\Downloader\downloader.exe
    Заархивируйте в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.

    + обязательно смените все пароли, по окончанию лечения смените ещё раз.

  11. regist получил(а) благодарность за это сообщение от


  12. #8
    Junior Member Репутация
    Регистрация
    29.11.2014
    Сообщений
    66
    Вес репутации
    8
    В карантине отсутствует последний указанный файл C:\ProgramData\Microsoft\Network\Downloader\downlo ader.exe
    т.к. его там нет, он куда то исчез, остальное прикрепил

  13. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,560
    Вес репутации
    708
    Losos', дайте пожалуйста архиву с карантином имя из латинских символов и загрузите снова.

    • Пожалуйста, запустите adwcleaner.exe
    • Нажмите Uninstall (Удалить).
    • Подтвердите удаление нажав кнопку: Да.


    - - - - -Добавлено - - - - -

    + выполните скрипт в AVZ

    Код:
    begin
     ClearQuarantineEx(true); 
     DeleteFile('C:\Windows\system32\Tasks\extsetup','64');
     DeleteFile('C:\Users\Losos\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
    ExecuteSysClean;
    RebootWindows(false);
    end.
    компьютер перезагрузится.

  14. regist получил(а) благодарность за это сообщение от


  15. #10
    Junior Member Репутация
    Регистрация
    29.11.2014
    Сообщений
    66
    Вес репутации
    8
    Перезалил карантин, удалил adwcleaner.exe, выполнил скрипт
    P.S. Я конечно не особо разбираюсь но судя по коду файл extsetup.exe после перезагрузки должен быть удален? Если так, то это не помогло, он по прежнему там(

  16. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,560
    Вес репутации
    708
    Цитата Сообщение от Losos' Посмотреть сообщение
    файл extsetup.exe после перезагрузки должен быть удален? Если так, то это не помогло, он по прежнему там(
    ок, попробуем по другому.

    Сделайте полный образ автозапуска uVS только программу скачайте отсюда


    а в остальном проблема решена?

  17. regist получил(а) благодарность за это сообщение от


  18. #12
    Junior Member Репутация
    Регистрация
    29.11.2014
    Сообщений
    66
    Вес репутации
    8
    Цитата Сообщение от regist Посмотреть сообщение

    а в остальном проблема решена?
    Если просканировать Dr.Web-ом, он ничего опасного не находит, тот файл который вызывал ошибку удален, и больше не появляется, как и окно об ошибке Dwm.exe
    Подозрение что сам вирус просто где то затаился есть, но это уже моя паранойя скорее всего, просто иногда вылазит реклама в браузере, а когда скачиваю adblock то он сам удаляется при каждом закрытии хрома. С чем это связано не знаю

    - - - - -Добавлено - - - - -

    Вот

  19. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,560
    Вес репутации
    708
    ClickMeR 1.1.2 - эта программа знакома? Если нет деинсталируйте.

    Выполните скрипт в uVS и пришлите карантин

    Код:
    ;uVS v3.85.3 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    BREG
    delref %SystemDrive%\USERS\LOSOS'\APPDATA\LOCAL\TEMP\RAR$EXA0.333\FARCRY~1.EXE
    dirzooex %SystemDrive%\USERS\LOSOS'\APPDATA\LOCAL\MICROSOFT\EXTENSIONS
    zoo %SystemDrive%\USERS\LOSOS'\APPDATA\LOCAL\MICROSOFT\EXTENSIONS\SAFEBROWSER.EXE
    bl 532C36028A94D694EFEE51D224D74C58 180693
    delall %SystemDrive%\USERS\LOSOS'\APPDATA\LOCAL\MICROSOFT\EXTENSIONS\SAFEBROWSER.EXE
    delall %SystemDrive%\PROGRAM FILES (X86)\I LIKE IT EXTENSION\BASEMENT\EXTENSIONUPDATERSERVICE.EXE
    deldir %SystemDrive%\USERS\LOSOS'\APPDATA\ROAMING\ETRANSLATOR
    deldir %SystemDrive%\PROGRAM FILES (X86)\I LIKE IT EXTENSION\
    czoo
    restart

  20. regist получил(а) благодарность за это сообщение от


  21. #14
    Junior Member Репутация
    Регистрация
    29.11.2014
    Сообщений
    66
    Вес репутации
    8
    ClickMeR мини игра для развития реакции На всякий случай удалил с помощью Total Uninstall. Скрипт выполнил. Карантин выслал

  22. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,560
    Вес репутации
    708
    - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.


    Цитата Сообщение от Losos' Посмотреть сообщение
    по коду файл extsetup.exe после перезагрузки должен быть удален? Если так, то это не помогло, он по прежнему там(
    удалился он?


    + Выполните скрипт в AVZ при наличии доступа в интернет:

    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    Советы и рекомендации после лечения компьютера

  23. regist получил(а) благодарность за это сообщение от


  24. #16
    Junior Member Репутация
    Регистрация
    29.11.2014
    Сообщений
    66
    Вес репутации
    8
    Цитата Сообщение от regist Посмотреть сообщение


    удалился он?


    Нет, более того во время выполнения скрипта я заметил что avz нашел файл C:\ProgramData\Microsoft\Network\Downloader\downlo ader.exe который я считал уже удаленным. При всем при этом когда я захожу в эту папку там 2 файла qmgr0 и qmgr1 в формате .dat а самого downloader.exe там нет, в свойствах папок галочка стоит показывать скрытые файлы и папки, но файл все равно не вижу. И еще эти 2 файла удалить не могу, пишет что они открыты в "информация о совместимости приложений", как и саму папку

    - - - - -Добавлено - - - - -

    http://virusinfo.info/virusdetector/...2BABDF712936BD

  25. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,560
    Вес репутации
    708
    1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
    2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
      Код:
      ;uVS v3.82 script [http://dsrt.dyndns.org]
      deldir %SystemDrive%\USERS\LOSOS'\APPDATA\LOCAL\MICROSOFT\EXTENSIONS\
      adddir %SystemDrive%\USERS\LOSOS'\APPDATA\ROAMING
      crimg
    4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
    5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
    6. После этого в папке с программой будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению
    7. !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

  26. regist получил(а) благодарность за это сообщение от


  27. #18
    Junior Member Репутация
    Регистрация
    29.11.2014
    Сообщений
    66
    Вес репутации
    8
    Скрипт выполнил но архив загрузить не могу пишет что слишком большой размер

  28. #19

  29. #20
    Junior Member Репутация
    Регистрация
    29.11.2014
    Сообщений
    66
    Вес репутации
    8

  • Уважаемый(ая) Losos', наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01182 seconds with 20 queries