Обнаружил что на пк есть процессы которые угрожают безопасности пк.
Обнаружил что на пк есть процессы которые угрожают безопасности пк.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) astrobro, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Как обнаружили, что за процессы?
Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".Отчёт о работе прикрепите.Код:>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SSS Audio\Uninstall SSS Audio App.lnk" -> ["C:\Program Files (x86)\SSS Audio\Uninstall SSS Audio App.exe"] >>> "C:\Users\SERJIO\AppData\Roaming\Microsoft\Windows\SendTo\Viber.lnk" -> ["C:\Users\SERJIO\AppData\Local\Viber\Viber.exe" =>> ShareFiles] - [MASK] "C:\Users\SERJIO\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.ico" (32038 байт) (MD5: F45E88EB759D99DBFC282F419BF67C97)
Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:С HDD проблемы:Код:O4 - MSConfig\startupfolder: C:^Users^SERJIO^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^DeskPins.lnk [backup] => C:\Program Files (x86)\DeskPins\DeskPins.exe (2023/01/14) (file missing) O4 - MSConfig\startupreg: GameCompanion [command] = E:\GameCompanion\GameCompanion.exe (HKCU) (2023/01/14) (file missing) O4 - MSConfig\startupreg: USBAudioApp_x32.exe [command] = C:\Program Files (x86)\SSS Audio\USBAudioApp_x32.exe -boot (HKLM) (2023/01/14) (file missing) O4 - MSConfig\startupreg: USBAudioApp_x32.exe [command] = C:\Program Files (x86)\SSS Audio\USBAudioApp_x32.exe -boot (HKLM) (2023/01/14) (file missing) O4-32 - HKLM\..\Run: [USBAudioApp_x32.exe] = C:\Program Files (x86)\SSS Audio\USBAudioApp_x32.exe -boot (file missing) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Avira\System Speedup (empty) O22 - Tasks: Права администратора для Punto Switcher - C:\Program Files (x86)\Punto Switcher\punto.exe (file missing)
====== Журнал событий "Система" ======
Имя компьютера: KOMBAYNER
Код события: 11
Сообщение: Драйвер обнаружил ошибку контроллера \Device\Ide\IdePort0.
Номер записи: 470915
Источник: atapi
Время записи: 20230118150616.431468-000
Тип события: Ошибка
Пользователь:
Имя компьютера: KOMBAYNER
Код события: 11
Сообщение: Драйвер обнаружил ошибку контроллера \Device\Ide\IdePort0.
Номер записи: 470908
Источник: atapi
Время записи: 20230118145614.439036-000
Тип события: Ошибка
Пользователь:
WBR,
Vadim
Собственно почему я написал, лазил по системе , обнаружил в защитнике виндовса файлы которые загуглив , обнаружил ваш сайт и что это вредносное ПО. Скрин процессов прикладываю.Буду благодарен если поможете .
Сканировал AVZ компьютер, показывал кей ридеры, еще какие то вредносные процессы.
Решил поставил касперского провел полный глубокий скан компа, после этого эти процессы в AVZ не отобразились.
Но проблемы с файлами в защитнике так и не решилась.
Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
Пожалуйста,архив с логами с FRST.
Что-то у вас Kaspersky Total Security удалён некорректно, и от Мalwarebytes хвосты остались.
Выделите и скопируйте в буфер обмена следующий код:Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Упакуйте его в архив и прикрепите его к своему следующему сообщению.Код:Start:: CreateRestorePoint: GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\SERJIO\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Task: {4EF097C7-DFFF-4032-8124-1FC0954A3CD6} - System32\Tasks\{BF3CEE74-DD64-4856-9647-06A57AEC37C8} => C:\Windows\system32\pcalua.exe -a C:\Users\SERJIO\Downloads\vcredist_x64.exe -d C:\Users\SERJIO\Downloads Task: {ED0CE4BA-C274-4480-B962-C1AAD7D4527F} - System32\Tasks\BlueStacksHelper => C:\ProgramData\BlueStacks\Client\Helper\BlueStacksHelper.exe -sr (Нет файла) CHR StartupUrls: Default -> "hxxp://mypoisk.su/" CHR HKLM\...\Chrome\Extension: [caljgklbbfbcjjanaijlacgncafpegll] CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] CHR HKLM\...\Chrome\Extension: [ipmkfpcnmccejididiaagpgchgjfajgp] CHR HKU\S-1-5-21-3231517099-1260676103-4218693969-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [moihledlmchhofenpacbhphnbnpakgmo] CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb] CHR HKLM-x32\...\Chrome\Extension: [caljgklbbfbcjjanaijlacgncafpegll] CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] CHR HKLM-x32\...\Chrome\Extension: [ipmkfpcnmccejididiaagpgchgjfajgp] R4 cm_km; \SystemRoot\system32\DRIVERS\cm_km.sys [X] R4 kl1; \SystemRoot\system32\DRIVERS\kl1.sys [X] R4 kldisk; system32\DRIVERS\kldisk.sys [X] R4 klflt; system32\DRIVERS\klflt.sys [X] R4 klgse; system32\DRIVERS\klgse.sys [X] R4 klhk; system32\DRIVERS\klhk.sys [X] R4 KLIF; system32\DRIVERS\klif.sys [X] R4 klkbdflt2; system32\DRIVERS\klkbdflt2.sys [X] R4 klpd; system32\DRIVERS\klpd.sys [X] S4 kltap; system32\DRIVERS\kltap.sys [X] R4 kneps; system32\DRIVERS\kneps.sys [X] U3 kldlfmgr; system32\Drivers\kldlfmgr.sys [X] U3 kldlfwpk; system32\Drivers\kldlfwpk.sys [X] U3 Kldlimpc; system32\Drivers\Kldlimpc.sys [X] U3 kldlksec; system32\Drivers\kldlksec.sys [X] U3 kldlksl; system32\Drivers\kldlksl.sys [X] U3 kldlndis; system32\Drivers\kldlndis.sys [X] U3 kldlnio; system32\Drivers\kldlnio.sys [X] 2023-01-19 16:48 - 2023-01-19 16:48 - 000000000 ____D C:\Users\SERJIO\AppData\Local\Kaspersky Lab 2023-01-19 00:43 - 2023-01-19 00:43 - 000000000 ____D C:\Users\Default\AppData\Local\Kaspersky Lab 2023-01-19 00:39 - 2023-01-19 16:31 - 000000000 ____D C:\Program Files\Common Files\AV 2023-01-19 00:34 - 2023-01-19 16:49 - 000000000 ____D C:\ProgramData\Kaspersky Lab 2023-01-19 15:46 - 2017-08-08 16:53 - 000000000 ____D C:\Windows\system32\Tasks\Avira AV: Kaspersky Total Security (Enabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23} AS: Kaspersky Total Security (Disabled - Up to date) {F41710F6-65D1-4F66-2B68-CCCF63D4A09E} FW: Kaspersky Total Security (Disabled) {774D7037-0984-41B0-3A87-5E88E680AD58} ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} => -> Нет файла AlternateDataStreams: C:\ProgramData:check [1] AlternateDataStreams: C:\ProgramData:datacheck [108] AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [209] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service" FirewallRules: [TCP Query User{5E7CCBC2-D40D-4626-B94B-7252DA58E3EC}C:\driversinstall\sdi_x64_r539.exe] => (Allow) C:\driversinstall\sdi_x64_r539.exe => Нет файла FirewallRules: [UDP Query User{378E92A4-CD87-4244-8A2F-8FCC8543C5FF}C:\driversinstall\sdi_x64_r539.exe] => (Allow) C:\driversinstall\sdi_x64_r539.exe => Нет файла FirewallRules: [{AC77FCE7-84B8-4BD4-9295-AEAACE4EB82E}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла FirewallRules: [{FDB59601-41B3-4423-94C4-762BA764DB49}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла FirewallRules: [{1427B998-2C72-4A50-B7B2-C67DE2C8988A}] => (Allow) C:\Program Files (x86)\Steam\backup\Steam.exe => Нет файла FirewallRules: [{C96ED566-477D-4B70-A408-6BB503BA9D1B}] => (Allow) C:\Program Files (x86)\Steam\backup\Steam.exe => Нет файла FirewallRules: [{061ED833-E28E-42FA-85D2-C076D8DB103D}] => (Allow) C:\Program Files (x86)\Steam\backup\bin\cef\cef.win7\steamwebhelper.exe => Нет файла FirewallRules: [{3901401D-28AD-4E0C-ADD2-2233535B8990}] => (Allow) C:\Program Files (x86)\Steam\backup\bin\cef\cef.win7\steamwebhelper.exe => Нет файла FirewallRules: [{C9A24258-34BD-4058-B8B9-3792A4743F6B}] => (Allow) C:\STEAM\Steam.exe => Нет файла FirewallRules: [{512412E0-8F32-4D18-8B85-9EBE541242D0}] => (Allow) C:\STEAM\Steam.exe => Нет файла FirewallRules: [{617D181C-A798-4917-9663-83CC165240BC}] => (Allow) C:\STEAM\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла FirewallRules: [{FC0E14F8-074E-4D89-9456-B535AC31B1BC}] => (Allow) C:\STEAM\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла FirewallRules: [{A444CAC1-CD43-48E1-A587-972B65321CC1}] => (Allow) D:\SteamLibrary\steamapps\common\Sid Meier's Civilization V\LaunchPad\LaunchPad.exe => Нет файла FirewallRules: [{5D3DA9AB-AD8C-436C-AC80-DD53FC234607}] => (Allow) D:\SteamLibrary\steamapps\common\Sid Meier's Civilization V\LaunchPad\LaunchPad.exe => Нет файла FirewallRules: [{58A0D36B-A705-4A16-93EB-371219484E58}] => (Allow) F:\SteamLibrary\steamapps\common\dota 2 beta\game\bin\win64\dota2.exe => Нет файла FirewallRules: [{B17C6577-5D63-4EAB-A334-B20FA9481D3F}] => (Allow) F:\SteamLibrary\steamapps\common\dota 2 beta\game\bin\win64\dota2.exe => Нет файла FirewallRules: [{7AED5EA6-F2C7-42A0-938D-95C6A55E33E7}] => (Allow) D:\SteamLibrary\steamapps\common\Counter-Strike Global Offensive\csgo.exe => Нет файла FirewallRules: [{10611C1D-6D9B-4F6E-A92E-8F0BE6B59758}] => (Allow) D:\SteamLibrary\steamapps\common\Counter-Strike Global Offensive\csgo.exe => Нет файла FirewallRules: [TCP Query User{22B16887-2F63-4E83-898A-C0E7852B28F7}C:\program files\logitech gaming software\lcore.exe] => (Allow) C:\program files\logitech gaming software\lcore.exe => Нет файла FirewallRules: [UDP Query User{1022B496-CA3E-41BF-BB10-E5A0029C9C10}C:\program files\logitech gaming software\lcore.exe] => (Allow) C:\program files\logitech gaming software\lcore.exe => Нет файла FirewallRules: [{3CD8D99E-4C09-42EC-A22C-41214AE8908F}] => (Allow) S:\SteamLibrary\steamapps\common\dota 2 beta\game\bin\win64\dota2.exe => Нет файла FirewallRules: [{5493EC10-3900-4FC1-9004-3588C1C471E6}] => (Allow) S:\SteamLibrary\steamapps\common\dota 2 beta\game\bin\win64\dota2.exe => Нет файла ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions StartBatch: del /s /q C:\Windows\SoftwareDistribution\download\*.* del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*" del /s /q C:\Windows\Temp\*.* del /s /q "%userprofile%\AppData\Local\temp\*.*" sfc /scannow endbatch: Reboot: End::
Компьютер будет перезагружен автоматически.
WBR,
Vadim
Касперского удалил,не перезагрузил компьютер.
Пожалуйста файл внизу. Так как размер слишкой большой на сайта, сделал архивом.
Провел анализ с помощью AZV и обнаружил проверить порт 65000 Devil v.1.03 Stacheldraht.
В интернете пишут что это обычный файл от нвидии , но почему AZV метит его как троян ?
Это троянский бекдор? Стоит ли волноваться ?
Последний раз редактировалось astrobro; 19.01.2023 в 22:44.
Не используйте устаревший AVZ 4? в состав autologger входит 5/65. Всё чисто.
По поводу проблемы с файлами в защитнике подробнее, пожалуйста. Что это, найденные угрозы?
WBR,
Vadim
Вот эти файлы в защитнике всплывают постоянно , пробовал удалить через frst командами которыми нашел на сайте вашем с такими же именами и видимо похожей с моей проблемой. Но увы не помогло . В логгах у себя лазил в текстовых файлах и не нашел данные строки. Но все таки решил попробовать.
Start::
CreateRestorePoint:
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|"C:\Program Files (x86)\YpuAskUn"
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|"C:\Program Files (x86)\YueAckU"
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|"C:\Program Files (x86)\YtuAskU2"
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|"C:\Program Files (x86)\YeuAskIE"
Reboot:
End::
Это скриншот вы как сделали, где именно видны такие записи?
Сделайте скриншот прямо в программе, пожалуйста.
В защитнике винды.
В логах почему-то они не отображаются.
Понятно. А там же отметить и удалить эти записи можете?
В том же окне кнопка "Удалить".
Последний раз редактировалось Sandor; 20.01.2023 в 16:16.
Я удалял, сохранял , они не уходят. Это рекламные вирусняки , но как их обнаружить я не знаю.
Гнал вебом кьюреитом,гнал авз, гнал касперским . ничего не нашло .
Соберите новые логи FRST.txt и Addition.txt
Отметьте предварительно галочкой "90 дней"
Ваши права в разделе
Ответить с цитированием
