Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

Вирус Dwm.exe [not-a-virus:RiskTool.Win64.BitCoinMiner.ng, Trojan-PSW.Win32.Tepfer.sbez ] (заявка № 171926)

  1. #1
    Junior Member Репутация
    Регистрация
    29.11.2014
    Сообщений
    66
    Вес репутации
    10

    Вирус Dwm.exe [not-a-virus:RiskTool.Win64.BitCoinMiner.ng, Trojan-PSW.Win32.Tepfer.sbez ]

    Последнее время постоянно появлялось окно об ошибке dwm.exe. Сегодня дошли руки решить эту проблему, отключил эту службу в панели управления, не помогло. Прочитал что это может быть вирус, скачал Dr.Web CureIt, который обнаружил одноименный файл, но в неположенном ему месте, классифицировал как вирус, вылечил. Однако после перезагрузки вирус восстановился, повторное лечение тоже не принесло результата, пытался удалить вручную, пару раз получилось, но после перезагрузки папка появляется снова. Помогите снести его безвозвратно)

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,356
    Вес репутации
    336
    Уважаемый(ая) Losos', спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,301
    Вес репутации
    725
    Здравствуйте!

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол

    Выполните скрипт в АВЗ -

    Код:
    begin
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ClearQuarantineEx(true);
     TerminateProcessByName('C:\Users\Losos' + Chr(39) + '\AppData\Local\Temp\msupdate71\dwm.exe');
     QuarantineFile('C:\Users\Losos' + Chr(39) + '\AppData\Local\Temp\msupdate71\dwm.exe', '');
     QuarantineFile('C:\Users\Losos' + Chr(39) + '\AppData\Local\Temp\mdi164.dll', '');
     QuarantineFile('C:\Program Files (x86)\Google\chrome.bat', '');
     QuarantineFile('C:\iexplore.bat', '');
     QuarantineFile('C:\Windows\Temp\TS_8469.tmp', '');
     QuarantineFile('C:\Windows\Temp\TS_9E51.tmp', '');
     QuarantineFile('C:\Users\Losos' + Chr(39) + '\AppData\Local\Microsoft\Extensions\extsetup.exe','');
     QuarantineFile('C:\Users\Losos' + Chr(39) + '\AppData\Local\Microsoft\Extensions\safebrowser.exe','');
     QuarantineFile('C:\ProgramData\Microsoft\Network\Downloader\downloader.exe','');
     QuarantineFile('C:\Users\Losos' + Chr(39) + '\appdata\local\temp\msupdate71\indexer.exe', '');
     DeleteFile('C:\Users\Losos' + Chr(39) + '\AppData\Local\Temp\msupdate71\dwm.exe', '32');
     DeleteFile('C:\Users\Losos' + Chr(39) + '\AppData\Local\Temp\mdi164.dll', '32');
     DeleteFile('C:\Program Files (x86)\Google\chrome.bat', '32');
     DeleteFile('C:\iexplore.bat', '32');
     DeleteFile('C:\Users\Losos' + Chr(39) + '\appdata\local\temp\msupdate71\indexer.exe', '32');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'tsiVideo');
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
     ExecuteRepair(1);
     ExecuteRepair(2);
     ExecuteWizard('SCU', 2, 3, true);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.


    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    - сделайте лог Check Browsers' LNK


    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    29.11.2014
    Сообщений
    66
    Вес репутации
    10
    Скрипты и логи выполнил, прикрепляю

  7. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,837
    Вес репутации
    1033
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
    • Прикрепите отчет к своему следующему сообщению

    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

    Подробнее читайте в этом руководстве.

    • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
    • Распакуйте архив с утилитой в отдельную папку.
    • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке


    • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
    • Прикрепите этот отчет к своему следующему сообщению.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам

  8. Это понравилось:


  9. #6
    Junior Member Репутация
    Регистрация
    29.11.2014
    Сообщений
    66
    Вес репутации
    10
    Вот

  10. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,301
    Вес репутации
    725
    AdwCleaner[S0].txt - также прикрепите.

    +
    Код:
    C:\Users\Losos\AppData\Local\Microsoft\Extensions\extsetup.exe
    C:\Users\Losos\AppData\Local\Microsoft\Extensions\safebrowser.exe
    C:\ProgramData\Microsoft\Network\Downloader\downloader.exe
    Заархивируйте в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.

    + обязательно смените все пароли, по окончанию лечения смените ещё раз.

  11. Это понравилось:


  12. #8
    Junior Member Репутация
    Регистрация
    29.11.2014
    Сообщений
    66
    Вес репутации
    10
    В карантине отсутствует последний указанный файл C:\ProgramData\Microsoft\Network\Downloader\downlo ader.exe
    т.к. его там нет, он куда то исчез, остальное прикрепил

  13. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,301
    Вес репутации
    725
    Losos', дайте пожалуйста архиву с карантином имя из латинских символов и загрузите снова.

    • Пожалуйста, запустите adwcleaner.exe
    • Нажмите Uninstall (Удалить).
    • Подтвердите удаление нажав кнопку: Да.


    - - - - -Добавлено - - - - -

    + выполните скрипт в AVZ

    Код:
    begin
     ClearQuarantineEx(true); 
     DeleteFile('C:\Windows\system32\Tasks\extsetup','64');
     DeleteFile('C:\Users\Losos\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
    ExecuteSysClean;
    RebootWindows(false);
    end.
    компьютер перезагрузится.

  14. Это понравилось:


  15. #10
    Junior Member Репутация
    Регистрация
    29.11.2014
    Сообщений
    66
    Вес репутации
    10
    Перезалил карантин, удалил adwcleaner.exe, выполнил скрипт
    P.S. Я конечно не особо разбираюсь но судя по коду файл extsetup.exe после перезагрузки должен быть удален? Если так, то это не помогло, он по прежнему там(

  16. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,301
    Вес репутации
    725
    Цитата Сообщение от Losos' Посмотреть сообщение
    файл extsetup.exe после перезагрузки должен быть удален? Если так, то это не помогло, он по прежнему там(
    ок, попробуем по другому.

    Сделайте полный образ автозапуска uVS только программу скачайте отсюда


    а в остальном проблема решена?

  17. Это понравилось:


  18. #12
    Junior Member Репутация
    Регистрация
    29.11.2014
    Сообщений
    66
    Вес репутации
    10
    Цитата Сообщение от regist Посмотреть сообщение

    а в остальном проблема решена?
    Если просканировать Dr.Web-ом, он ничего опасного не находит, тот файл который вызывал ошибку удален, и больше не появляется, как и окно об ошибке Dwm.exe
    Подозрение что сам вирус просто где то затаился есть, но это уже моя паранойя скорее всего, просто иногда вылазит реклама в браузере, а когда скачиваю adblock то он сам удаляется при каждом закрытии хрома. С чем это связано не знаю

    - - - - -Добавлено - - - - -

    Вот

  19. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,301
    Вес репутации
    725
    ClickMeR 1.1.2 - эта программа знакома? Если нет деинсталируйте.

    Выполните скрипт в uVS и пришлите карантин

    Код:
    ;uVS v3.85.3 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    BREG
    delref %SystemDrive%\USERS\LOSOS'\APPDATA\LOCAL\TEMP\RAR$EXA0.333\FARCRY~1.EXE
    dirzooex %SystemDrive%\USERS\LOSOS'\APPDATA\LOCAL\MICROSOFT\EXTENSIONS
    zoo %SystemDrive%\USERS\LOSOS'\APPDATA\LOCAL\MICROSOFT\EXTENSIONS\SAFEBROWSER.EXE
    bl 532C36028A94D694EFEE51D224D74C58 180693
    delall %SystemDrive%\USERS\LOSOS'\APPDATA\LOCAL\MICROSOFT\EXTENSIONS\SAFEBROWSER.EXE
    delall %SystemDrive%\PROGRAM FILES (X86)\I LIKE IT EXTENSION\BASEMENT\EXTENSIONUPDATERSERVICE.EXE
    deldir %SystemDrive%\USERS\LOSOS'\APPDATA\ROAMING\ETRANSLATOR
    deldir %SystemDrive%\PROGRAM FILES (X86)\I LIKE IT EXTENSION\
    czoo
    restart

  20. Это понравилось:


  21. #14
    Junior Member Репутация
    Регистрация
    29.11.2014
    Сообщений
    66
    Вес репутации
    10
    ClickMeR мини игра для развития реакции На всякий случай удалил с помощью Total Uninstall. Скрипт выполнил. Карантин выслал

  22. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,301
    Вес репутации
    725
    - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.


    Цитата Сообщение от Losos' Посмотреть сообщение
    по коду файл extsetup.exe после перезагрузки должен быть удален? Если так, то это не помогло, он по прежнему там(
    удалился он?


    + Выполните скрипт в AVZ при наличии доступа в интернет:

    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    Советы и рекомендации после лечения компьютера

  23. Это понравилось:


  24. #16
    Junior Member Репутация
    Регистрация
    29.11.2014
    Сообщений
    66
    Вес репутации
    10
    Цитата Сообщение от regist Посмотреть сообщение


    удалился он?


    Нет, более того во время выполнения скрипта я заметил что avz нашел файл C:\ProgramData\Microsoft\Network\Downloader\downlo ader.exe который я считал уже удаленным. При всем при этом когда я захожу в эту папку там 2 файла qmgr0 и qmgr1 в формате .dat а самого downloader.exe там нет, в свойствах папок галочка стоит показывать скрытые файлы и папки, но файл все равно не вижу. И еще эти 2 файла удалить не могу, пишет что они открыты в "информация о совместимости приложений", как и саму папку

    - - - - -Добавлено - - - - -

    http://virusinfo.info/virusdetector/...2BABDF712936BD

  25. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,301
    Вес репутации
    725
    1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
    2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
      Код:
      ;uVS v3.82 script [http://dsrt.dyndns.org]
      deldir %SystemDrive%\USERS\LOSOS'\APPDATA\LOCAL\MICROSOFT\EXTENSIONS\
      adddir %SystemDrive%\USERS\LOSOS'\APPDATA\ROAMING
      crimg
    4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
    5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
    6. После этого в папке с программой будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению
    7. !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

  26. Это понравилось:


  27. #18
    Junior Member Репутация
    Регистрация
    29.11.2014
    Сообщений
    66
    Вес репутации
    10
    Скрипт выполнил но архив загрузить не могу пишет что слишком большой размер

  28. #19

  29. #20
    Junior Member Репутация
    Регистрация
    29.11.2014
    Сообщений
    66
    Вес репутации
    10

  • Уважаемый(ая) Losos', наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00186 seconds with 16 queries