Перестали работать встроенные в ОС приложения. Подозрительные файлы в MicrosoftHelp. [UDS:DangerousObject.Multi.Generic, HEUR:Trojan.BAT.Miner.gen]

**kenclav** · 19.11.2018, 15:11

Здравствуйте.
Захотелось по локалке поиграть в кс, установил сборку, хранящуюся на пк лет 8. После этого начали происходить странные вещи.
При открытии файлов формата jpg png и т.д. (картинки) вылазило окошко с ошибкой открытия приложения "фотографии (Windows)". Встроенное в винду приложение. Фиг бы с ним. Так же, в пуске, "посерели" и перестали открываться (не пользуюсь, просто проверил) OneNote, Skype, Видеоредактор, Камера. Вчера вечером перестал открываться Microsoft Store (без каких-либо ошибок), сегодня в обед заметил отсутствие защитника windows.
После установки кс защитник несколько раз помаячил тем, что обнаружена угроза. В итоге кс я удалил, а бяка осталась. (обидно, вроде взрослый мальчик, а попался на детскую уловку).
ПК пользуюсь только я, до позавчерашнего вечера было все нормально.
Гляньте, может увидите что-то подозрительное.
П.С. до того, как мне пришла умная мысль написать вам, я прогнал 1 раз AVZ, ничего "кричащего" не выскакивало (кроме непонятной "маскировки процесса", такого раньше не видел

).
Заранее спасибо

Правила читал, но раньше было как-то по-другому. Надеюсь, что ничего не упустил.

п.с.2 еще пару дней назад заметил, что в "пуске" перестали обновляться плитки с новостями и погодой. как то не пользовался ими, просто глаз радовали, а сейчас связываю все в кучу (Microsoft news, Weather, Money). При клике на плитку открывается пустое окошко приложения и через секунду гаснет.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 19.11.2018, 15:12

Уважаемый(ая) kenclav, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 19.11.2018, 16:29

Выполните скрипт в AVZ:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('C:\ProgramData\Microsoft Help\dwn.exe');
 QuarantineFile('C:\ProgramData\Microsoft Help\dwn.exe', '');
 QuarantineFileF('c:\programdata\microsoft help', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('C:\ProgramData\Microsoft Help\dwn.exe', '');
 DeleteFileMask('c:\programdata\microsoft help', '*.exe', true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте новый лог такой версией Autologger.

**kenclav** · 19.11.2018, 19:45

Лог другой версией сделал.
Карантин прикрепил.

**Vvvyg** · 19.11.2018, 20:09

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\Users\ZALMAN\Desktop\A\X-Fiels\2013\декабрь 27\Игровой центр@Mail.Ru.lnk"         -> ["C:\Users\ZALMAN\AppData\Local\Mail.Ru\GameCenter\[email protected]"]
>>>  "C:\Users\ZALMAN\Desktop\A\X-Fiels\2013\декабрь 7\Игровой центр@Mail.Ru.lnk"          -> ["C:\Users\ZALMAN\AppData\Local\Mail.Ru\GameCenter\[email protected]"]
>>>  "C:\Users\ZALMAN\Desktop\A\X-Fiels\2013\октябрь 15\Игровой центр@Mail.Ru.lnk"         -> ["C:\Users\ZALMAN\AppData\Local\Mail.Ru\GameCenter\[email protected]"]
>>>  "C:\Users\ZALMAN\Desktop\A\X-Fiels\2014\23 b.yz\Игровой центр@Mail.Ru.lnk"  -> ["C:\Users\ZALMAN\AppData\Local\Mail.Ru\GameCenter\[email protected]"]
>>>  "C:\Users\ZALMAN\Desktop\A\X-Fiels\2015\13 июня. приехала 970\Игровой центр@Mail.Ru.lnk"        -> ["C:\Users\ZALMAN\AppData\Local\Mail.Ru\GameCenter\[email protected]"]
- "C:\Users\ZALMAN\Desktop\G\Battlefield 1.lnk"   (содержит только знаки NUL)
- "C:\Users\ZALMAN\Desktop\G\Beholder.lnk"        (содержит только знаки NUL)

Отчёт о работе прикрепите.

Что с проблемой?

**kenclav** · 19.11.2018, 20:23

Утилиту скачал, пролечил по инструкции.
Проблема осталась. Примерно 2-3 секунды после перезагрузки windows defender в трее маячит, плитки успевают 1 раз обновиться и останавливается их работа.

вот минуту назад защитник дал о себе знать. выскакивает уведомление в трее "обнаружены угрозы", но при клике на него - ничего не происходит

**Vvvyg** · 20.11.2018, 00:43

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**kenclav** · 20.11.2018, 21:16

Включил пк и заметил, что плитки обновляются, приложения новости, погода открываются нормально. Магазин не работает, однако кликнув в пуске по "фотографии", приложение скачалось и установилось. Хотя вчера перезагружался после всей проверки 2 раза.
Архив с файлами приложил на всякий случай.
Спасибо вам большое

**Vvvyg** · 20.11.2018, 23:44

Для восстановления магазина попробуйте: Windows Repair (All In One), распакуйте, запустите, "Jump To Repairs", "Open Repairs" и твик "Repair Windows 8/10 App Store".

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

**CyberHelper** · 20.11.2018, 23:54

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:

=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 5
=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
1. c:\programdata\microsoft help\dwn.exe - UDS:DangerousObject.=
  Multi.Generic
2. c:\programdata\microsoft help\start1.bat - HEUR:Trojan.BAT.M=
  iner.gen
3. c:\programdata\microsoft help\start2.bat - HEUR:Trojan.BAT.M=
  iner.gen

Перестали работать встроенные в ОС приложения. Подозрительные файлы в MicrosoftHelp. [UDS:DangerousObject.Multi.Generic, HEUR:Trojan.BAT.Miner.gen] (заявка № 220903)

Опции темы