-
Junior Member
- Вес репутации
- 36
Вредоносный(е) файл(ы) загружает(ют) Центральный Процессор [UDS:DangerousObject.Multi.Generic]
Здравствуйте. Заранее благодарю Вас за рассмотрение заявки.
Имеется подозрение, что процесс notepad.exe имеет изменённые файлы, которые его образуют. Он запускается самопроизвольно, а при запуске Диспетчера задач "умирает".
Проводил сканирование директории C:\Windows\System32 с помощью утилиты Avz, не "убивая" процесс - зловред не был выявлен.
Требуемый архив прикреплён.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Hepl, спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
-
-
Выполните скрипт в AVZ:
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Users\domen\AppData\Roaming\WindowsShell\WindowsDiagnostics.dll', '');
DeleteFile('C:\Users\domen\AppData\Roaming\WindowsShell\WindowsDiagnostics.dll', '64');
DeleteSchedulerTask('Avast Software\Overseer');
DeleteSchedulerTask('Win32Utilities');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
-
-
Junior Member
- Вес репутации
- 36
Спасибо за ответ!
Ошибка. Насколько помню, Аваст не автозапускается (отключен)
Запустить без позиции 5:21?
-
В какой версии AVZ запускаете? Нужно в той, что в папке Autologger.
-
-
Junior Member
- Вес репутации
- 36
Всё верно. С помощью AutoLogger-test.exe следуя инструкциям . Дата последнего обновления 03.03.2020
- - - - -Добавлено - - - - -
Повторный лог.
Прошу прощения! Следующим постом оправлю. Я запускал в своей программе, а посмотрел версию в AutoLoggere
Последний раз редактировалось Hepl; 03.03.2020 в 21:22.
-
Не нужен повторный лог, пока не выполнили скрипт и не загрузили карантин. Вы явно используете AVZ устаревшей версии.
Ещё раз, запустите AVZ из папки AutoLogger-test\AutoLogger\AVZ на рабочем столе, выполните в нём скрипт из сообщения #3, далее карантин загрузите и логи Farbar Recovery Scan Tool делайте.
-
-
Junior Member
- Вес репутации
- 36
Файлы Addition и FRST в архиве. Запрошенный карантин отправлен.
-
Выделите и скопируйте в буфер обмена следующий код:
Код:
Start::
CreateRestorePoint:
CloseProcesses:
2020-03-01 14:01 - 2019-10-27 03:02 - 000000000 ____D C:\ProgramData\boost_interprocess
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File
HKLM\...\StartupApproved\Run: => "AvastUI.exe"
Folder: C:\Users\domen\AppData\Roaming\WindowsShell
C:\Users\domen\AppData\Roaming\WindowsShell
C:\Users\domen\AppData\Local\Temp\*.*
Reboot:
End::
Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Сообщите, что с проблемой.
-
-
Junior Member
- Вес репутации
- 36
System Explorer видит notepad.exe
При запуске Диспечера Задач процесс "умирает".
Ниже прикреплён скрин.
Программа Process Monitor при запуске так же "убивает" его.
-
Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS. Перед запуском никакие процессы не убивайте, диспетчер задач и Process Monitor не запускайте, лучше предварительно перезагрузите систему.
-
-
Junior Member
- Вес репутации
- 36
Согласно инструкции по созданию образа автозапуска uVS всё было сделано.
*Предыдущие файлы пришлось удалить с форума так как не хватало места для загрузки архива. Тем не менее, все логи остались на диске если они Вам потребуются вновь.
Последний раз редактировалось Hepl; 04.03.2020 в 01:03.
-
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):
Код:
;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
icsuspend
zoo %SystemDrive%\USERS\DOMEN\APPDATA\ROAMING\WINDOWSSHELL\WINDOWSDIAGNOSTICS.DLL
delall %SystemDrive%\USERS\DOMEN\APPDATA\ROAMING\WINDOWSSHELL\WINDOWSDIAGNOSTICS.DLL
addsgn BA652BBE5D22C5062FC4F9F9E724324CAE72772CC171EEFB7FC2B0B9B815774C235B4890B586D5C2E5C80FC36226017109FBD03AD61E9073C41C5AD038CAEEBF 58 Trojan.Starter.7918 [DrWeb] 7
zoo %Sys32%\HELLOEXTNOATL.DLL
chklst
delvir
deldir %SystemDrive%\USERS\DOMEN\APPDATA\ROAMING\WINDOWSSHELL
deltmp
delnfr
czoo
apply
restart
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Сообщите, что с проблемой.
-
-
Junior Member
- Вес репутации
- 36
В течение 10 минут после перезапуска нагрузка процессора более 15% не наблюдалась.
System Explorer не видит процесс notepad.exe.
Лог прикреплён, файл ZOO отправлен.
-
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.
-
-
Junior Member
- Вес репутации
- 36
Security Check-лог добавил.
Сегодня сменил браузер по умолчанию на Chrome.
В момент обнаружения проблемы по умолчанию стоял Edge.
-
Windows Defender (отключен)
Если так постоянно - включите, он неплох реально.
-
-
Junior Member
- Вес репутации
- 36
Я его отключил, когда он мне 225 ошибку выдавал в uVS. После чего отправил половину файлов из папки в карантин.
Я удалил всю папку и распаковал по новой из архива чистые файлы, предварительно его отключив. Ну судя по всему не справился с моими запросами
Пока всё хорошо. Чего-то подозрительно нагружающего систему не наблюдал в течение дня.
AC Unity стоит удалить?
Так в принципе только он и стоит.
Да, и кроме того Аваст у меня тоже был не включен. Он есть в процессах?
Хотя Вы, наверно, уже не помните. Да и логи я удалил :\
Последний раз редактировалось Hepl; 04.03.2020 в 20:55.
-
Установлен давно, скорее всего, просто репак. Хотя они часто с нехорошими довесками бывают.
Критический баг в 7-Zip приводит к выполнению произвольного кода.
Обновите 7-Zip обязательно.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
И всё на этом.
-
-
Junior Member
- Вес репутации
- 36
Вы меня очень выручили. Я обязательно поддержу проект.
P.S. Откуда стоит скачать 7-zip? Их официальный 7-zip.org не отвечает.
P.P.S. Через прокси зашёл. Спасибо.
Последний раз редактировалось Hepl; 04.03.2020 в 21:21.