-
Junior Member
- Вес репутации
- 35
Вирус Dwm.exe [not-a-virus:RiskTool.Win64.BitCoinMiner.ng, Trojan-PSW.Win32.Tepfer.sbez
]
Последнее время постоянно появлялось окно об ошибке dwm.exe. Сегодня дошли руки решить эту проблему, отключил эту службу в панели управления, не помогло. Прочитал что это может быть вирус, скачал Dr.Web CureIt, который обнаружил одноименный файл, но в неположенном ему месте, классифицировал как вирус, вылечил. Однако после перезагрузки вирус восстановился, повторное лечение тоже не принесло результата, пытался удалить вручную, пару раз получилось, но после перезагрузки папка появляется снова. Помогите снести его безвозвратно)
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Losos', спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
TerminateProcessByName('C:\Users\Losos' + Chr(39) + '\AppData\Local\Temp\msupdate71\dwm.exe');
QuarantineFile('C:\Users\Losos' + Chr(39) + '\AppData\Local\Temp\msupdate71\dwm.exe', '');
QuarantineFile('C:\Users\Losos' + Chr(39) + '\AppData\Local\Temp\mdi164.dll', '');
QuarantineFile('C:\Program Files (x86)\Google\chrome.bat', '');
QuarantineFile('C:\iexplore.bat', '');
QuarantineFile('C:\Windows\Temp\TS_8469.tmp', '');
QuarantineFile('C:\Windows\Temp\TS_9E51.tmp', '');
QuarantineFile('C:\Users\Losos' + Chr(39) + '\AppData\Local\Microsoft\Extensions\extsetup.exe','');
QuarantineFile('C:\Users\Losos' + Chr(39) + '\AppData\Local\Microsoft\Extensions\safebrowser.exe','');
QuarantineFile('C:\ProgramData\Microsoft\Network\Downloader\downloader.exe','');
QuarantineFile('C:\Users\Losos' + Chr(39) + '\appdata\local\temp\msupdate71\indexer.exe', '');
DeleteFile('C:\Users\Losos' + Chr(39) + '\AppData\Local\Temp\msupdate71\dwm.exe', '32');
DeleteFile('C:\Users\Losos' + Chr(39) + '\AppData\Local\Temp\mdi164.dll', '32');
DeleteFile('C:\Program Files (x86)\Google\chrome.bat', '32');
DeleteFile('C:\iexplore.bat', '32');
DeleteFile('C:\Users\Losos' + Chr(39) + '\appdata\local\temp\msupdate71\indexer.exe', '32');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'tsiVideo');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteRepair(1);
ExecuteRepair(2);
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- сделайте лог Check Browsers' LNK
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
- Прикрепите отчет к своему следующему сообщению.
Последний раз редактировалось regist; 29.11.2014 в 16:09.
-
-
Junior Member
- Вес репутации
- 35
Скрипты и логи выполнил, прикрепляю
-
- Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.
- Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
- Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
Подробнее читайте в этом руководстве.
- Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
- Распакуйте архив с утилитой в отдельную папку.
- Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
- Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
- Прикрепите этот отчет к своему следующему сообщению.
-
-
Junior Member
- Вес репутации
- 35
-
AdwCleaner[S0].txt - также прикрепите.
+
Код:
C:\Users\Losos\AppData\Local\Microsoft\Extensions\extsetup.exe
C:\Users\Losos\AppData\Local\Microsoft\Extensions\safebrowser.exe
C:\ProgramData\Microsoft\Network\Downloader\downloader.exe
Заархивируйте в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.
+ обязательно смените все пароли, по окончанию лечения смените ещё раз.
-
-
Junior Member
- Вес репутации
- 35
В карантине отсутствует последний указанный файл C:\ProgramData\Microsoft\Network\Downloader\downlo ader.exe
т.к. его там нет, он куда то исчез, остальное прикрепил
-
Losos', дайте пожалуйста архиву с карантином имя из латинских символов и загрузите снова.
- Пожалуйста, запустите adwcleaner.exe
- Нажмите Uninstall (Удалить).
- Подтвердите удаление нажав кнопку: Да.
- - - - -Добавлено - - - - -
+ выполните скрипт в AVZ
Код:
begin
ClearQuarantineEx(true);
DeleteFile('C:\Windows\system32\Tasks\extsetup','64');
DeleteFile('C:\Users\Losos\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
ExecuteSysClean;
RebootWindows(false);
end.
компьютер перезагрузится.
-
-
Junior Member
- Вес репутации
- 35
Перезалил карантин, удалил adwcleaner.exe, выполнил скрипт
P.S. Я конечно не особо разбираюсь но судя по коду файл extsetup.exe после перезагрузки должен быть удален? Если так, то это не помогло, он по прежнему там(
-
Сообщение от
Losos'
файл extsetup.exe после перезагрузки должен быть удален? Если так, то это не помогло, он по прежнему там(
ок, попробуем по другому.
Сделайте полный образ автозапуска uVS только программу скачайте отсюда
а в остальном проблема решена?
-
-
Junior Member
- Вес репутации
- 35
Сообщение от
regist
а в остальном проблема решена?
Если просканировать Dr.Web-ом, он ничего опасного не находит, тот файл который вызывал ошибку удален, и больше не появляется, как и окно об ошибке Dwm.exe
Подозрение что сам вирус просто где то затаился есть, но это уже моя паранойя скорее всего, просто иногда вылазит реклама в браузере, а когда скачиваю adblock то он сам удаляется при каждом закрытии хрома. С чем это связано не знаю
- - - - -Добавлено - - - - -
Вот
-
ClickMeR 1.1.2 - эта программа знакома? Если нет деинсталируйте.
Выполните скрипт в uVS и пришлите карантин
Код:
;uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
BREG
delref %SystemDrive%\USERS\LOSOS'\APPDATA\LOCAL\TEMP\RAR$EXA0.333\FARCRY~1.EXE
dirzooex %SystemDrive%\USERS\LOSOS'\APPDATA\LOCAL\MICROSOFT\EXTENSIONS
zoo %SystemDrive%\USERS\LOSOS'\APPDATA\LOCAL\MICROSOFT\EXTENSIONS\SAFEBROWSER.EXE
bl 532C36028A94D694EFEE51D224D74C58 180693
delall %SystemDrive%\USERS\LOSOS'\APPDATA\LOCAL\MICROSOFT\EXTENSIONS\SAFEBROWSER.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\I LIKE IT EXTENSION\BASEMENT\EXTENSIONUPDATERSERVICE.EXE
deldir %SystemDrive%\USERS\LOSOS'\APPDATA\ROAMING\ETRANSLATOR
deldir %SystemDrive%\PROGRAM FILES (X86)\I LIKE IT EXTENSION\
czoo
restart
-
-
Junior Member
- Вес репутации
- 35
ClickMeR мини игра для развития реакции На всякий случай удалил с помощью Total Uninstall. Скрипт выполнил. Карантин выслал
-
- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
Сообщение от
Losos'
по коду файл extsetup.exe после перезагрузки должен быть удален? Если так, то это не помогло, он по прежнему там(
удалился он?
+ Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
Советы и рекомендации после лечения компьютера
-
-
Junior Member
- Вес репутации
- 35
Сообщение от
regist
удалился он?
Нет, более того во время выполнения скрипта я заметил что avz нашел файл C:\ProgramData\Microsoft\Network\Downloader\downlo ader.exe который я считал уже удаленным. При всем при этом когда я захожу в эту папку там 2 файла qmgr0 и qmgr1 в формате .dat а самого downloader.exe там нет, в свойствах папок галочка стоит показывать скрытые файлы и папки, но файл все равно не вижу. И еще эти 2 файла удалить не могу, пишет что они открыты в "информация о совместимости приложений", как и саму папку
- - - - -Добавлено - - - - -
http://virusinfo.info/virusdetector/...2BABDF712936BD
-
- Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
- Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
- Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
Код:
;uVS v3.82 script [http://dsrt.dyndns.org]
deldir %SystemDrive%\USERS\LOSOS'\APPDATA\LOCAL\MICROSOFT\EXTENSIONS\
adddir %SystemDrive%\USERS\LOSOS'\APPDATA\ROAMING
crimg
- В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
- Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
- После этого в папке с программой будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
-
-
Junior Member
- Вес репутации
- 35
Скрипт выполнил но архив загрузить не могу пишет что слишком большой размер
-
загрузите сюда http://rghost.ru/ и оставьте ссылку на скачивание.
-
-
Junior Member
- Вес репутации
- 35