Notepad.exe грузит процессор, не виден через task manager [UDS:DangerousObject.Multi.Generic]

[Qiao]

Добрый день!

Программа notepad.exe грузит процессор на 50%. Когда включаешь стандартный task manager, она перестаёт работать и нагрузка пропадает. Но через другие менеджеры она видна.

process_manager1.png

На скриншоте видно дерево программ. Их параметры:
C:\Windows\11513323\sysskck.exe (папка пуста, она сама невидима).
C:\Users\Qiao\AppData\Local\Temp\12628.exe (вместо неё уже с другими цифарми)
"C:\Windows\notepad.exe" -c "C:\ProgramData\IlKTmhStyg\cfg" (содержание папки IlKTmhStyg (1.5 mb))

На скриншотах содержание папок.
program_data.png
temp_folder.png

В автозагурзку добавляется программа (скриншот). Путь file:///C:\ProgramData\IlKTmhStyg\sysdrv32.exe (выше она в архиве)
startup.png

Удаление всего не помогает - после включения системы всё возвращается.

Заразился, скорее всего, через флешку. Принесли проблемную, я её вставил, там все данные были в какой-то странной папке, я туда зашёл, скопировал, отформатировал флешку и скопировал назад. И тут же начались эти проблемы у меня на компе.

Логи делал после отключения этих программ. Система китайская, кое где иероглифы, в т.ч. поломанные.

Благодарен за возможную помощь!

[Info_bot]

Уважаемый(ая) Qiao, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Sandor]

Здравствуйте!

Временно отключите защитное ПО.
Выполните скрипт в AVZ:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\260164977\syssejc.exe', '');
 DeleteFile('C:\Windows\260164977\syssejc.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Microsoft Windows Driver');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Microsoft Windows Driver');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.



Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.




Сделайте повторные логи по правилам. (CollectionLog)

[Qiao]

Карантин прикреплён.

После перезагрузки notepad.exe опять появился.

Если его убивать, то он сразу восстанавливается. Если убить верхний процесс, то помогает до перезагрузки (выхода из сна тоже восстанавилвает).

[Sandor]

Сделайте повторные логи по правилам. (CollectionLog)

Жду.

[Qiao]

Добавил выше, с подписью спутал.

[Sandor]

"Пофиксите" в HijackThis:

Код:

O22 - Task (.job): (Ready) At1.job - C:\Windows\SysWOW64\iscsicppl.exe C:\Windows\SysWOW64\AudioSess.dll

Перезагрузите компьютер вручную.

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Если проблема сохраняется,
Сделайте полный образ автозапуска uVS, только программу скачайте отсюда

[Qiao]

Проблема после перезагрузки не наблюдается. Я также удалил "IlKTmhStyg\cfg" из автоазгрузки (при первой ничего не трогал).
Карантин загружен (virusinfo_auto_Q***-PC 13мб)

Если эта же проблема возникнет, отпишусь.

Спасибо за помощь!

- - - - -Добавлено - - - - -

А что это было, майнер? Не могу понять при чём тут блокнот.

[Sandor]

По терминологии ЛК -

Код:

UDS:DangerousObject.Multi.Generic

, маскируется под блокнот.

В завершение:
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Советы и рекомендации после лечения компьютера.

[Qiao]

Спасибо, вроде ничего нет.

В AVZ, кстати, в окошке скрипта русский текст корёжится.

[Sandor]

Вероятно потому, что запускали прямо из архива. Попробуйте сначала распаковать и запустить.

[Qiao]

Про какой архив речь?
Если скопировать код от сюда http://dataforce.ru/~kad/ScanVuln.txt и запустить, то появляется ошибка

---------------------------
AVZ Antiviral Toolkit
---------------------------
'' is not a valid date and time.
---------------------------
确定
---------------------------

Скорее всего это связано с битыми символами из-за китайской винды и неюникодности программы. Я сменил язык для неюникодных программ на русский, но всё равно так.

Если выполнять тот скрипт, который вы дали выши, то пишет "Скрипт выполнен без ошибок", по адресу log\avz_log.txt файла нет.

[Sandor]

Про какой архив речь?

Про архив AVZ.zip
Программу нужно извлечь из архива и запускать AVZ.exe. Тогда не должно быть проблем с отображением символов в интерфейсе.

[Qiao]

Тут всё нормально, архива даже нет, папку создал AutoLogger. На всякий случай сделал не со стола.

123.png


В интерфейсе проблем нет, т.к. когда китайская локаль всё на ангийском. А вот в скриптах с русским есть - при китайской бяка, а при русской локали вопросики. Когда вставляешь код. Писать на русском можно, но на выводе он всё равно не работает (на ShowMessage('фыва'); попробовал, выводит бяку).

А может не с кодом связано, программа упирается во что-то китайское внутри и обрывается.


Буду жить со старыми версиями
С лечением чужих завирусованных флешек нужно быть осторожней, коль сам с голой жопой

[Sandor]

Теперь понятно)) Сообщим автору скрипта.

Проверить можно еще так. Скачайте и распакуйте этот файл.

Запустите и дождитесь окончания сканирования. Результат процитируйте в следующем сообщении.

[Qiao]

Спасибо, это сработало, хотя тоже была какая-то ошибка на очень ломаном китайском про несвязанность SecurityCheck.txt, но резльутат в клипбор сохранило

Системные обнволю.

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 22.07.2019 20:15:12
Path starting: C:\Users\Qiao\AppData\Local\Temp\SecurityCheck\Sec urityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Qiao
VersionXML: 6.63is-06.07.2019
__________________________________________________ _________________________

Windows 7(6.1.7601) Service Pack 1 (x64) HomeBasic Lang: 0804
Installation date OS: 26.07.2012 04:34:07
LicenseStatus: Windows(R) 7, HomeBasic edition The machine is permanently activated.
Boot Mode: Normal
Default Browser: C:\Program Files\Mozilla Firefox\firefox.exe
SystemDrive: C: FS: [NTFS] Capacity: [120.6 Gb] Used: [76.1 Gb] Free: [44.5 Gb]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.18059 Warning! Download Update
Online installation. Last version available when Windows update is enabled throught the Internet.
User Account Control enabled (Level 3)
Never check for updates
Date install updates: 2015-11-02 13:48:10
Windows Update (wuauserv) - The service is running
Security Center (wscsvc) - The service has stopped
Remote Registry (RemoteRegistry) - The service has stopped
SSDP Discovery (SSDPSRV) - The service has stopped
Remote Desktop Services (TermService) - The service has stopped
Windows Remote Management (WS-Management) (WinRM) - The service has stopped
------------------------------- [ HotFix ] --------------------------------
HotFix KB3125574 Warning! Download Update
HotFix KB4012212 Warning! Download Update
HotFix KB4499175 Warning! Download Update
HotFix KB4503292 Warning! Download Update
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2010 x86 v.14.0.6029.1000
Microsoft Office 2013 x86 v.15.0.4420.1017
---------------------------- [ Antivirus_WMI ] ----------------------------
Microsoft Security Essentials (disabled and up to date)
--------------------------- [ FirewallWindows ] ---------------------------
Windows Firewall (MpsSvc) - The service is running
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (disabled and up to date)
Microsoft Security Essentials (disabled and up to date)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Microsoft Security Essentials v.4.5.216.0 Warning! Download Update
-------------------------- [ SecurityUtilities ] --------------------------
HijackThis 2.0.2 v.2.0.2 Warning! Download Update
Uninstall old version and install new one.
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.5.2 (CHS) v.4.5.51209 Warning! Download Update
Microsoft .NET Framework 4.5.2 v.4.5.51209 Warning! Download Update
Microsoft Silverlight v.5.1.30214.0 Warning! Download Update
Microsoft .NET Framework 4.5.2 (简体中文) v.4.5.51209 Warning! Download Update
Foxit Reader v.5.4.3.920 Warning! Download Update
IrfanView (remove only) v.4.32
TrueCrypt v.7.1a Warning! This software is no longer supported. Please use VeraCrypt.
VLC media player v.2.1.5 Warning! Download Update
WinSCP 5.9.2 v.5.9.2 Warning! Download Update
LibreOffice 5.3.2.2 v.5.3.2.2 Warning! Download Update
Node.js v.6.9.4 Warning! Download Update
Microsoft .NET Framework 1.1 v.1.1.4322 Warning! This software is no longer supported.
-------------------------------- [ Arch ] ---------------------------------
7-Zip 9.20 (x64 edition) v.9.20.00.0 Warning! This software is no longer supported. Uninstall old version, download and install new one.
WinRAR 4.10 (32-bit) v.4.10.0 Warning! Download Update
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.40 v.7.40.104 Warning! Download Update
---------------------------- [ ProxyAndVPNs ] -----------------------------
OpenVPN 2.4.6-I602 v.2.4.6-I602 Warning! Download Update
NordVPN v.6.19.6
OpenVPN 2.2.2 v.2.2.2 Warning! Download Update
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.3.40298 Warning! P2P-client.
Deluge 1.3.11 Warning! P2P-client.
FlashGet3.7 v.3.7.0.1203 Warning! P2P-client.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 181 (64-bit) v.8.0.1810.13 Warning! Download Update
Uninstall old version and install new one (jre-8u211-windows-x64.exe).
--------------------------- [ AppleProduction ] ---------------------------
QuickTime v.7.74.80.86 Warning! This software is no longer supported. Please uninstall it and use another software.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.3.5.0.1060 Warning! Download Update
Adobe Flash Player 11 ActiveX v.11.9.900.170 Warning! Download Update
Adobe Flash Player 32 NPAPI v.32.0.0.101 Warning! Download Update
ph v.1.0.0 << Hidden Warning! This software is no longer supported. Please uninstall it.
bl v.1.0.0 << Hidden Warning! This software is no longer supported. Please uninstall it.
Adobe Reader X (10.1.4) MUI v.10.1.4 Warning! This software is no longer supported. Please uninstall it and use Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 67.0 (x64 zh-CN) v.67.0 Warning! Download Update
Mozilla Firefox 68.0.1 (x64 en-US) v.68.0.1 [+]
Google Chrome v.75.0.3770.142 [+]
Opera 12.10 v.12.10.1652 Warning! Download Update
Safari v.5.34.57.2 Warning! This software is no longer supported.
----------------------------- [ EmailClient ] -----------------------------
Mozilla Thunderbird 17.0.3 (x86 en-US) v.17.0.3 Warning! Download Update
------------------ [ AntivirusFirewallProcessServices ] -------------------
Microsoft Antimalware Service (MsMpSvc) - The service is running
C:\Program Files\Microsoft Security Client\MsMpEng.exe v.4.5.216.0
Microsoft 网络检查 (NisSrv) - The service has stopped
Windows Defender (WinDefend) - The service has stopped
---------------------------- [ UnwantedApps ] -----------------------------
Unity Web Player Warning! Application is distributed through the partnership programs and bundle assemblies. Uninstallation recommended. Possible you became a victim of fraud or social engineering.
Tencent QQMail Plugin Warning! Application is distributed through the partnership programs and bundle assemblies. Uninstallation recommended. Possible you became a victim of fraud or social engineering.
----------------------------- [ End of Log ] ------------------------------

[Sandor]

Указанное по возможности обновите. Особенно перечень хотфиксов.

Удачи!

[CyberHelper]

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:

• =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
• =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 1
• =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
  =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
  
  1. c:\windows\260164977\syssejc.exe - UDS:DangerousObject.Multi=
     =2EGeneric