Странная активность

Printable View

17.08.2019, 14:55
cepikx

Странная активность

В каждой папке на дисках созданы одной датой (19.07.2019) файлы типа 499fd8c7.ini или 3a307df5.log

Имена файлов всегда разные.

Содержимое тоже по шаблону типа:

VWTTUS SWVT QU RPWPR^

Кодировка файла не определяется, в разных редакторах выглядит по разному.

В свойствах файлов на вкладке безопасность числится помимо стандарта "Неизвестная учетная запись" с непонятным номером. Таких пользователей в системе нет.

Папка Windows.old от 07.07.2019. Систему я не переустанавливал, думал осталась после обновления.

Антивирус ничего не видит, drweb cureit ничего не находит.

Что это и опасно ли это?

p.s. Кодировка в теме и тексте похоже багнула потому, что я вставил текст из файлов. Текст исправил, тему не могу
17.08.2019, 14:57
Info_bot

Уважаемый(ая) [B]cepikx[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
18.08.2019, 01:04
SQ

Здравстуйте,

Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
18.08.2019, 09:26
cepikx

Вложений: 1

Сделал
19.08.2019, 01:30
SQ

HiJackThis (из каталога [B]autologger[/B])[URL=http://virusinfo.info/showthread.php?t=4491&p=64376&viewfull=1#post64376]профиксить[/URL]
[B]Важно[/B]: необходимо отметить и профиксить [B]только[/B] то, что указано ниже.
[CODE]
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: (disabled) \Microsoft\Windows\Shell\FamilySafetyMonitorToastTask - {D2CBF5F7-5702-440B-8D8F-8203034A6B82},$(Arg0) - (no file)
[/CODE]

- Подготовьте лог [URL="https://virusinfo.info/showthread.php?t=218752&p=1480546&viewfull=1#post1480546"]AdwCleaner[/URL] и приложите его в теме.
19.08.2019, 18:55
cepikx

Вложений: 3

Добавил и более ранний лог, AdwCleaner я уже запускал. Что это такое?
20.08.2019, 05:14
SQ

[QUOTE=cepikx;1503569] Что это такое?[/QUOTE]

О чем речь?

- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://i.corovin.info/FRST_Icon.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"SigCheckExt"[/i].
[img]https://i.corovin.info/FRST.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
20.08.2019, 18:45
cepikx

Вложений: 1

Сделано
20.08.2019, 20:41
SQ

Необходим также FRST.txt
20.08.2019, 21:56
cepikx

Вложений: 1

Вот
21.08.2019, 04:56
SQ

в логах указанных файлов не увидел, вы и все удалили?

[LIST][*] Закройте и сохраните все открытые приложения.[*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] с поддержкой [B]Unicode[/B] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
Start::
CreateRestorePoint:
File: C:\Windows\Syswow64\cmicnfgp.dll
File: C:\Windows\SysWow64\drivers\AsIO.sys
File: C:\WINDOWS\Activator.exe
File: C:\WINDOWS\system32\Cmeauoxy.exe
File: C:\WINDOWS\system32\outsys.dll
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [125]
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [129]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [125]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [129]
FirewallRules: [TCP Query User{10748C5C-7735-463B-AF4C-850C3932517B}C:\programdata\wargaming.net\gamecenter\wgc.exe] => (Allow) C:\programdata\wargaming.net\gamecenter\wgc.exe No File
FirewallRules: [UDP Query User{1D97FE86-7E83-47C0-AC91-3430E151B1B8}C:\programdata\wargaming.net\gamecenter\wgc.exe] => (Allow) C:\programdata\wargaming.net\gamecenter\wgc.exe No File
FirewallRules: [TCP Query User{83F6AD15-4CC9-40E3-86E9-BF2D1E97ABF1}F:\games\world_of_tanks_ru\worldoftanks.exe] => (Allow) F:\games\world_of_tanks_ru\worldoftanks.exe No File
FirewallRules: [UDP Query User{55F794CA-D762-4E57-A973-EDFCDEE34217}F:\games\world_of_tanks_ru\worldoftanks.exe] => (Allow) F:\games\world_of_tanks_ru\worldoftanks.exe No File
End::
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![/LIST]
21.08.2019, 18:37
cepikx

Вложений: 3

Извините за криворукость, 1Fixlog.txt - это первый запуск без [B]Unicode

Fixlog.txt [/B]уже с юникодом после запуска без [B]Unicode [/B]кодировки.Почему не нашлись файлы за 90 дней я не знаю, вот скриншот для примера, сделал только что. Я их не удалял, пру штук снес просто для теста.[B]

[ATTACH=CONFIG]678989[/ATTACH]

[/B]

Приложение Варгейминга тоже удалил, но по другой причине.
21.08.2019, 21:59
SQ

Скачайте программу [url="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/url] и [url="http://virusinfo.info/showthread.php?t=121767"]сделайте полный образ автозапуска uVS[/url].

P.S. возможно до 25 августа буду недоступен.
21.08.2019, 22:44
cepikx

Сделал, но загрузить не могу, превысил предел. Куда кинуть?
25.08.2019, 05:05
SQ

Удалите старые вложения Мой кабинет => Вложения

Если места не будет достаточно, то закачайте на какое-то файловое хранилище (например яндекс-диск).

P.S. Убедитесь, чтобы в настройках роутера не присутствовали неизвестные компьютеры в списке подключенных устройств.
25.08.2019, 07:26
cepikx

Загрузил

[url]https://send.firefox.com/download/0c3a4319a0fe2ded/#VByb9G6bUjZz1d10Y51hqw[/url]
25.08.2019, 14:06
SQ

[URL="https://virusinfo.info/showthread.php?t=121767&p=897827&viewfull=1#post897827"]Выполните скрипт в uVS:[/URL]
[CODE];uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
cexec tools\CreateRestorePoint.exe BeforeCure
delref %SystemDrive%\USERS\CEPIK\APPDATA\ROAMING\UTORRENT WEB\UTWEB.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\GOOGLEUPDATEBROKER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL
delref HTTP://SECUREDSEARCH.LAVASOFT.COM/?PR=VMN&ID=WEBCOMPA&ENT=HP_WCYID10420__190224
delref HTTP://WWW.DAEMON-SEARCH.COM/STARTPAGE
delref %SystemDrive%\USERS\CEPIK\APPDATA\LOCAL\TEMP\WCT46A7.TMP
restart[/CODE]