Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

Вирус Dwm.exe [not-a-virus:RiskTool.Win64.BitCoinMiner.ng, Trojan-PSW.Win32.Tepfer.sbez ] (заявка № 171926)

  1. #1
    Junior Member Репутация
    Регистрация
    29.11.2014
    Сообщений
    66
    Вес репутации
    35

    Вирус Dwm.exe [not-a-virus:RiskTool.Win64.BitCoinMiner.ng, Trojan-PSW.Win32.Tepfer.sbez ]

    Последнее время постоянно появлялось окно об ошибке dwm.exe. Сегодня дошли руки решить эту проблему, отключил эту службу в панели управления, не помогло. Прочитал что это может быть вирус, скачал Dr.Web CureIt, который обнаружил одноименный файл, но в неположенном ему месте, классифицировал как вирус, вылечил. Однако после перезагрузки вирус восстановился, повторное лечение тоже не принесло результата, пытался удалить вручную, пару раз получилось, но после перезагрузки папка появляется снова. Помогите снести его безвозвратно)

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Losos', спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Здравствуйте!

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол

    Выполните скрипт в АВЗ -

    Код:
    begin
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ClearQuarantineEx(true);
     TerminateProcessByName('C:\Users\Losos' + Chr(39) + '\AppData\Local\Temp\msupdate71\dwm.exe');
     QuarantineFile('C:\Users\Losos' + Chr(39) + '\AppData\Local\Temp\msupdate71\dwm.exe', '');
     QuarantineFile('C:\Users\Losos' + Chr(39) + '\AppData\Local\Temp\mdi164.dll', '');
     QuarantineFile('C:\Program Files (x86)\Google\chrome.bat', '');
     QuarantineFile('C:\iexplore.bat', '');
     QuarantineFile('C:\Windows\Temp\TS_8469.tmp', '');
     QuarantineFile('C:\Windows\Temp\TS_9E51.tmp', '');
     QuarantineFile('C:\Users\Losos' + Chr(39) + '\AppData\Local\Microsoft\Extensions\extsetup.exe','');
     QuarantineFile('C:\Users\Losos' + Chr(39) + '\AppData\Local\Microsoft\Extensions\safebrowser.exe','');
     QuarantineFile('C:\ProgramData\Microsoft\Network\Downloader\downloader.exe','');
     QuarantineFile('C:\Users\Losos' + Chr(39) + '\appdata\local\temp\msupdate71\indexer.exe', '');
     DeleteFile('C:\Users\Losos' + Chr(39) + '\AppData\Local\Temp\msupdate71\dwm.exe', '32');
     DeleteFile('C:\Users\Losos' + Chr(39) + '\AppData\Local\Temp\mdi164.dll', '32');
     DeleteFile('C:\Program Files (x86)\Google\chrome.bat', '32');
     DeleteFile('C:\iexplore.bat', '32');
     DeleteFile('C:\Users\Losos' + Chr(39) + '\appdata\local\temp\msupdate71\indexer.exe', '32');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'tsiVideo');
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
     ExecuteRepair(1);
     ExecuteRepair(2);
     ExecuteWizard('SCU', 2, 3, true);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.


    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    - сделайте лог Check Browsers' LNK


    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    29.11.2014
    Сообщений
    66
    Вес репутации
    35
    Скрипты и логи выполнил, прикрепляю

  7. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
    • Прикрепите отчет к своему следующему сообщению

    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

    Подробнее читайте в этом руководстве.

    • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
    • Распакуйте архив с утилитой в отдельную папку.
    • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке


    • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
    • Прикрепите этот отчет к своему следующему сообщению.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  8. Это понравилось:


  9. #6
    Junior Member Репутация
    Регистрация
    29.11.2014
    Сообщений
    66
    Вес репутации
    35
    Вот

  10. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    AdwCleaner[S0].txt - также прикрепите.

    +
    Код:
    C:\Users\Losos\AppData\Local\Microsoft\Extensions\extsetup.exe
    C:\Users\Losos\AppData\Local\Microsoft\Extensions\safebrowser.exe
    C:\ProgramData\Microsoft\Network\Downloader\downloader.exe
    Заархивируйте в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.

    + обязательно смените все пароли, по окончанию лечения смените ещё раз.

  11. Это понравилось:


  12. #8
    Junior Member Репутация
    Регистрация
    29.11.2014
    Сообщений
    66
    Вес репутации
    35
    В карантине отсутствует последний указанный файл C:\ProgramData\Microsoft\Network\Downloader\downlo ader.exe
    т.к. его там нет, он куда то исчез, остальное прикрепил

  13. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Losos', дайте пожалуйста архиву с карантином имя из латинских символов и загрузите снова.

    • Пожалуйста, запустите adwcleaner.exe
    • Нажмите Uninstall (Удалить).
    • Подтвердите удаление нажав кнопку: Да.


    - - - - -Добавлено - - - - -

    + выполните скрипт в AVZ

    Код:
    begin
     ClearQuarantineEx(true); 
     DeleteFile('C:\Windows\system32\Tasks\extsetup','64');
     DeleteFile('C:\Users\Losos\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
    ExecuteSysClean;
    RebootWindows(false);
    end.
    компьютер перезагрузится.

  14. Это понравилось:


  15. #10
    Junior Member Репутация
    Регистрация
    29.11.2014
    Сообщений
    66
    Вес репутации
    35
    Перезалил карантин, удалил adwcleaner.exe, выполнил скрипт
    P.S. Я конечно не особо разбираюсь но судя по коду файл extsetup.exe после перезагрузки должен быть удален? Если так, то это не помогло, он по прежнему там(

  16. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от Losos' Посмотреть сообщение
    файл extsetup.exe после перезагрузки должен быть удален? Если так, то это не помогло, он по прежнему там(
    ок, попробуем по другому.

    Сделайте полный образ автозапуска uVS только программу скачайте отсюда


    а в остальном проблема решена?

  17. Это понравилось:


  18. #12
    Junior Member Репутация
    Регистрация
    29.11.2014
    Сообщений
    66
    Вес репутации
    35
    Цитата Сообщение от regist Посмотреть сообщение

    а в остальном проблема решена?
    Если просканировать Dr.Web-ом, он ничего опасного не находит, тот файл который вызывал ошибку удален, и больше не появляется, как и окно об ошибке Dwm.exe
    Подозрение что сам вирус просто где то затаился есть, но это уже моя паранойя скорее всего, просто иногда вылазит реклама в браузере, а когда скачиваю adblock то он сам удаляется при каждом закрытии хрома. С чем это связано не знаю

    - - - - -Добавлено - - - - -

    Вот

  19. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    ClickMeR 1.1.2 - эта программа знакома? Если нет деинсталируйте.

    Выполните скрипт в uVS и пришлите карантин

    Код:
    ;uVS v3.85.3 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    BREG
    delref %SystemDrive%\USERS\LOSOS'\APPDATA\LOCAL\TEMP\RAR$EXA0.333\FARCRY~1.EXE
    dirzooex %SystemDrive%\USERS\LOSOS'\APPDATA\LOCAL\MICROSOFT\EXTENSIONS
    zoo %SystemDrive%\USERS\LOSOS'\APPDATA\LOCAL\MICROSOFT\EXTENSIONS\SAFEBROWSER.EXE
    bl 532C36028A94D694EFEE51D224D74C58 180693
    delall %SystemDrive%\USERS\LOSOS'\APPDATA\LOCAL\MICROSOFT\EXTENSIONS\SAFEBROWSER.EXE
    delall %SystemDrive%\PROGRAM FILES (X86)\I LIKE IT EXTENSION\BASEMENT\EXTENSIONUPDATERSERVICE.EXE
    deldir %SystemDrive%\USERS\LOSOS'\APPDATA\ROAMING\ETRANSLATOR
    deldir %SystemDrive%\PROGRAM FILES (X86)\I LIKE IT EXTENSION\
    czoo
    restart

  20. Это понравилось:


  21. #14
    Junior Member Репутация
    Регистрация
    29.11.2014
    Сообщений
    66
    Вес репутации
    35
    ClickMeR мини игра для развития реакции На всякий случай удалил с помощью Total Uninstall. Скрипт выполнил. Карантин выслал

  22. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.


    Цитата Сообщение от Losos' Посмотреть сообщение
    по коду файл extsetup.exe после перезагрузки должен быть удален? Если так, то это не помогло, он по прежнему там(
    удалился он?


    + Выполните скрипт в AVZ при наличии доступа в интернет:

    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    Советы и рекомендации после лечения компьютера

  23. Это понравилось:


  24. #16
    Junior Member Репутация
    Регистрация
    29.11.2014
    Сообщений
    66
    Вес репутации
    35
    Цитата Сообщение от regist Посмотреть сообщение


    удалился он?


    Нет, более того во время выполнения скрипта я заметил что avz нашел файл C:\ProgramData\Microsoft\Network\Downloader\downlo ader.exe который я считал уже удаленным. При всем при этом когда я захожу в эту папку там 2 файла qmgr0 и qmgr1 в формате .dat а самого downloader.exe там нет, в свойствах папок галочка стоит показывать скрытые файлы и папки, но файл все равно не вижу. И еще эти 2 файла удалить не могу, пишет что они открыты в "информация о совместимости приложений", как и саму папку

    - - - - -Добавлено - - - - -

    http://virusinfo.info/virusdetector/...2BABDF712936BD

  25. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
    2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
      Код:
      ;uVS v3.82 script [http://dsrt.dyndns.org]
      deldir %SystemDrive%\USERS\LOSOS'\APPDATA\LOCAL\MICROSOFT\EXTENSIONS\
      adddir %SystemDrive%\USERS\LOSOS'\APPDATA\ROAMING
      crimg
    4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
    5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
    6. После этого в папке с программой будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению
    7. !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

  26. Это понравилось:


  27. #18
    Junior Member Репутация
    Регистрация
    29.11.2014
    Сообщений
    66
    Вес репутации
    35
    Скрипт выполнил но архив загрузить не могу пишет что слишком большой размер

  28. #19

  29. #20
    Junior Member Репутация
    Регистрация
    29.11.2014
    Сообщений
    66
    Вес репутации
    35

  • Уважаемый(ая) Losos', наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00684 seconds with 18 queries