Перестали работать встроенные в ОС приложения. Подозрительные файлы в MicrosoftHelp. [UDS:DangerousObject.Multi.Generic, HEUR:Trojan.BAT.Miner.gen]

Printable View

19.11.2018, 15:11
kenclav

Вложений: 1

Перестали работать встроенные в ОС приложения. Подозрительные файлы в MicrosoftHelp. [UDS:DangerousObject.Multi.Generic, HEUR:Trojan.BAT.Miner.gen]

Здравствуйте.
Захотелось по локалке поиграть в кс, установил сборку, хранящуюся на пк лет 8. После этого начали происходить странные вещи.
При открытии файлов формата jpg png и т.д. (картинки) вылазило окошко с ошибкой открытия приложения "фотографии (Windows)". Встроенное в винду приложение. Фиг бы с ним. Так же, в пуске, "посерели" и перестали открываться (не пользуюсь, просто проверил) OneNote, Skype, Видеоредактор, Камера. Вчера вечером перестал открываться Microsoft Store (без каких-либо ошибок), сегодня в обед заметил отсутствие защитника windows.
После установки кс защитник несколько раз помаячил тем, что обнаружена угроза. В итоге кс я удалил, а бяка осталась. (обидно, вроде взрослый мальчик, а попался на детскую уловку).
ПК пользуюсь только я, до позавчерашнего вечера было все нормально.
Гляньте, может увидите что-то подозрительное.
П.С. до того, как мне пришла умная мысль написать вам, я прогнал 1 раз AVZ, ничего "кричащего" не выскакивало (кроме непонятной "маскировки процесса", такого раньше не видел :?).
Заранее спасибо :)

Правила читал, но раньше было как-то по-другому. Надеюсь, что ничего не упустил.

п.с.2 еще пару дней назад заметил, что в "пуске" перестали обновляться плитки с новостями и погодой. как то не пользовался ими, просто глаз радовали, а сейчас связываю все в кучу (Microsoft news, Weather, Money). При клике на плитку открывается пустое окошко приложения и через секунду гаснет.
19.11.2018, 15:12
Info_bot

Уважаемый(ая) [B]kenclav[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
19.11.2018, 16:29
Vvvyg

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('C:\ProgramData\Microsoft Help\dwn.exe');
QuarantineFile('C:\ProgramData\Microsoft Help\dwn.exe', '');
QuarantineFileF('c:\programdata\microsoft help', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
DeleteFile('C:\ProgramData\Microsoft Help\dwn.exe', '');
DeleteFileMask('c:\programdata\microsoft help', '*.exe', true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте новый лог такой версией [URL="https://yadi.sk/d/7dgjMleO3E3E9b"]Autologger[/URL].
19.11.2018, 19:45
kenclav

Вложений: 1

Лог другой версией сделал.
Карантин прикрепил.
19.11.2018, 20:09
Vvvyg

Скачайте, распакуйте и запустите [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Скопируйте текст ниже в окно утилиты и нажмите "[B]Лечить[/B]".[CODE]>>> "C:\Users\ZALMAN\Desktop\A\X-Fiels\2013\декабрь 27\Игровой центр@Mail.Ru.lnk" -> ["C:\Users\ZALMAN\AppData\Local\Mail.Ru\GameCenter\[email protected]"]
>>> "C:\Users\ZALMAN\Desktop\A\X-Fiels\2013\декабрь 7\Игровой центр@Mail.Ru.lnk" -> ["C:\Users\ZALMAN\AppData\Local\Mail.Ru\GameCenter\[email protected]"]
>>> "C:\Users\ZALMAN\Desktop\A\X-Fiels\2013\октябрь 15\Игровой центр@Mail.Ru.lnk" -> ["C:\Users\ZALMAN\AppData\Local\Mail.Ru\GameCenter\[email protected]"]
>>> "C:\Users\ZALMAN\Desktop\A\X-Fiels\2014\23 b.yz\Игровой центр@Mail.Ru.lnk" -> ["C:\Users\ZALMAN\AppData\Local\Mail.Ru\GameCenter\[email protected]"]
>>> "C:\Users\ZALMAN\Desktop\A\X-Fiels\2015\13 июня. приехала 970\Игровой центр@Mail.Ru.lnk" -> ["C:\Users\ZALMAN\AppData\Local\Mail.Ru\GameCenter\[email protected]"]
- "C:\Users\ZALMAN\Desktop\G\Battlefield 1.lnk" (содержит только знаки NUL)
- "C:\Users\ZALMAN\Desktop\G\Beholder.lnk" (содержит только знаки NUL)
[/CODE]Отчёт о работе прикрепите.

Что с проблемой?
19.11.2018, 20:23
kenclav

Вложений: 1

Утилиту скачал, пролечил по инструкции.
Проблема осталась. Примерно 2-3 секунды после перезагрузки windows defender в трее маячит, плитки успевают 1 раз обновиться и останавливается их работа.

вот минуту назад защитник дал о себе знать. выскакивает уведомление в трее "обнаружены угрозы", но при клике на него - ничего не происходит:?
20.11.2018, 00:43
Vvvyg

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
20.11.2018, 21:16
kenclav

Вложений: 1

Включил пк и заметил, что плитки обновляются, приложения новости, погода открываются нормально. Магазин не работает, однако кликнув в пуске по "фотографии", приложение скачалось и установилось. Хотя вчера перезагружался после всей проверки 2 раза.
Архив с файлами приложил на всякий случай.
Спасибо вам большое :)
20.11.2018, 23:44
Vvvyg

Для восстановления магазина попробуйте: [URL="http://www.tweaking.com/files/setups/tweaking.com_windows_repair_aio.zip"]Windows Repair (All In One)[/URL], распакуйте, запустите, "Jump To Repairs", "Open Repairs" и твик "Repair Windows 8/10 App Store".

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
20.11.2018, 23:54
CyberHelper

=C8=F2=EE=E3 =EB=E5=F7=E5=ED=E8=FF

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
[LIST][*]=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: [B]1[/B][*]=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: [B]5[/B][*]=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
[LIST=3D1][*] c:\programdata\microsoft help\dwn.exe - [B]UDS:DangerousObject.=
Multi.Generic[/B][*] c:\programdata\microsoft help\start1.bat - [B]HEUR:Trojan.BAT.M=
iner.gen[/B][*] c:\programdata\microsoft help\start2.bat - [B]HEUR:Trojan.BAT.M=
iner.gen[/B][/LIST][/LIST]