Странная активность

**cepikx** · 17.08.2019, 14:55

В каждой папке на дисках созданы одной датой (19.07.2019) файлы типа 499fd8c7.ini или 3a307df5.log

Имена файлов всегда разные.

Содержимое тоже по шаблону типа:

VWTTUS SWVT QU RPWPR^

Кодировка файла не определяется, в разных редакторах выглядит по разному.

В свойствах файлов на вкладке безопасность числится помимо стандарта "Неизвестная учетная запись" с непонятным номером. Таких пользователей в системе нет.

Папка Windows.old от 07.07.2019. Систему я не переустанавливал, думал осталась после обновления.

Антивирус ничего не видит, drweb cureit ничего не находит.

Что это и опасно ли это?

p.s. Кодировка в теме и тексте похоже багнула потому, что я вставил текст из файлов. Текст исправил, тему не могу

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 17.08.2019, 14:57

Уважаемый(ая) cepikx, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

SQ · 18.08.2019, 01:04

Здравстуйте,

Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

**cepikx** · 18.08.2019, 09:26

Сделал

SQ · 19.08.2019, 01:30

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

Код:

O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: (disabled) \Microsoft\Windows\Shell\FamilySafetyMonitorToastTask - {D2CBF5F7-5702-440B-8D8F-8203034A6B82},$(Arg0) - (no file)

- Подготовьте лог AdwCleaner и приложите его в теме.

**cepikx** · 19.08.2019, 18:55

Добавил и более ранний лог, AdwCleaner я уже запускал. Что это такое?

SQ · 20.08.2019, 05:14

Сообщение от cepikx

Что это такое?

О чем речь?

- Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**cepikx** · 20.08.2019, 18:45

Сделано

SQ · 20.08.2019, 20:41

Необходим также FRST.txt

**cepikx** · 20.08.2019, 21:56

Вот

SQ · 21.08.2019, 04:56

в логах указанных файлов не увидел, вы и все удалили?

Закройте и сохраните все открытые приложения.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

Start::
CreateRestorePoint:
File: C:\Windows\Syswow64\cmicnfgp.dll 
File: C:\Windows\SysWow64\drivers\AsIO.sys
File: C:\WINDOWS\Activator.exe
File: C:\WINDOWS\system32\Cmeauoxy.exe
File: C:\WINDOWS\system32\outsys.dll
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [125]
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [129]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [125]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [129]
FirewallRules: [TCP Query User{10748C5C-7735-463B-AF4C-850C3932517B}C:\programdata\wargaming.net\gamecenter\wgc.exe] => (Allow) C:\programdata\wargaming.net\gamecenter\wgc.exe No File
FirewallRules: [UDP Query User{1D97FE86-7E83-47C0-AC91-3430E151B1B8}C:\programdata\wargaming.net\gamecenter\wgc.exe] => (Allow) C:\programdata\wargaming.net\gamecenter\wgc.exe No File
FirewallRules: [TCP Query User{83F6AD15-4CC9-40E3-86E9-BF2D1E97ABF1}F:\games\world_of_tanks_ru\worldoftanks.exe] => (Allow) F:\games\world_of_tanks_ru\worldoftanks.exe No File
FirewallRules: [UDP Query User{55F794CA-D762-4E57-A973-EDFCDEE34217}F:\games\world_of_tanks_ru\worldoftanks.exe] => (Allow) F:\games\world_of_tanks_ru\worldoftanks.exe No File
End::

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

**cepikx** · 21.08.2019, 18:37

Извините за криворукость, 1Fixlog.txt - это первый запуск без Unicode

Fixlog.txt уже с юникодом после запуска без Unicode кодировки.Почему не нашлись файлы за 90 дней я не знаю, вот скриншот для примера, сделал только что. Я их не удалял, пру штук снес просто для теста.

2019.08.21 file.png

Приложение Варгейминга тоже удалил, но по другой причине.

SQ · 21.08.2019, 21:59

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

P.S. возможно до 25 августа буду недоступен.

**cepikx** · 21.08.2019, 22:44

Сделал, но загрузить не могу, превысил предел. Куда кинуть?

SQ · 25.08.2019, 05:05

Удалите старые вложения Мой кабинет => Вложения

Если места не будет достаточно, то закачайте на какое-то файловое хранилище (например яндекс-диск).

P.S. Убедитесь, чтобы в настройках роутера не присутствовали неизвестные компьютеры в списке подключенных устройств.

**cepikx** · 25.08.2019, 07:26

Загрузил

https://send.firefox.com/download/0c...UjZz1d10Y51hqw

SQ · 25.08.2019, 14:06

Выполните скрипт в uVS:

Код:

;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
cexec tools\CreateRestorePoint.exe BeforeCure
delref %SystemDrive%\USERS\CEPIK\APPDATA\ROAMING\UTORRENT WEB\UTWEB.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\GOOGLEUPDATEBROKER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL
delref HTTP://SECUREDSEARCH.LAVASOFT.COM/?PR=VMN&ID=WEBCOMPA&ENT=HP_WCYID10420__190224
delref HTTP://WWW.DAEMON-SEARCH.COM/STARTPAGE
delref %SystemDrive%\USERS\CEPIK\APPDATA\LOCAL\TEMP\WCT46A7.TMP
restart

Странная активность (заявка № 223431)

Опции темы