Вредоносный(е) файл(ы) загружает(ют) Центральный Процессор [UDS:DangerousObject.Multi.Generic]

[Hepl]

Здравствуйте. Заранее благодарю Вас за рассмотрение заявки.

Имеется подозрение, что процесс notepad.exe имеет изменённые файлы, которые его образуют. Он запускается самопроизвольно, а при запуске Диспетчера задач "умирает".

Проводил сканирование директории C:\Windows\System32 с помощью утилиты Avz, не "убивая" процесс - зловред не был выявлен.

Требуемый архив прикреплён.

[Info_bot]

Уважаемый(ая) Hepl, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\domen\AppData\Roaming\WindowsShell\WindowsDiagnostics.dll', '');
 DeleteFile('C:\Users\domen\AppData\Roaming\WindowsShell\WindowsDiagnostics.dll', '64');
 DeleteSchedulerTask('Avast Software\Overseer');
 DeleteSchedulerTask('Win32Utilities');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[Hepl]

Спасибо за ответ!

Ошибка. Насколько помню, Аваст не автозапускается (отключен)

Запустить без позиции 5:21?

[Vvvyg]

В какой версии AVZ запускаете? Нужно в той, что в папке Autologger.

[Hepl]

Всё верно. С помощью AutoLogger-test.exe следуя инструкциям . Дата последнего обновления 03.03.2020

- - - - -Добавлено - - - - -

Повторный лог.


Прошу прощения! Следующим постом оправлю. Я запускал в своей программе, а посмотрел версию в AutoLoggere

[Vvvyg]

Не нужен повторный лог, пока не выполнили скрипт и не загрузили карантин. Вы явно используете AVZ устаревшей версии.

Ещё раз, запустите AVZ из папки AutoLogger-test\AutoLogger\AVZ на рабочем столе, выполните в нём скрипт из сообщения #3, далее карантин загрузите и логи Farbar Recovery Scan Tool делайте.

[Hepl]

Файлы Addition и FRST в архиве. Запрошенный карантин отправлен.

[Vvvyg]

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
CloseProcesses:
2020-03-01 14:01 - 2019-10-27 03:02 - 000000000 ____D C:\ProgramData\boost_interprocess
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
HKLM\...\StartupApproved\Run: => "AvastUI.exe"
Folder: C:\Users\domen\AppData\Roaming\WindowsShell
C:\Users\domen\AppData\Roaming\WindowsShell
C:\Users\domen\AppData\Local\Temp\*.*
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой.

[Hepl]

System Explorer видит notepad.exe

При запуске Диспечера Задач процесс "умирает".
Ниже прикреплён скрин.

Программа Process Monitor при запуске так же "убивает" его.

[Vvvyg]

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS. Перед запуском никакие процессы не убивайте, диспетчер задач и Process Monitor не запускайте, лучше предварительно перезагрузите систему.

[Hepl]

Согласно инструкции по созданию образа автозапуска uVS всё было сделано.

*Предыдущие файлы пришлось удалить с форума так как не хватало места для загрузки архива. Тем не менее, все логи остались на диске если они Вам потребуются вновь.

[Vvvyg]

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
icsuspend
zoo %SystemDrive%\USERS\DOMEN\APPDATA\ROAMING\WINDOWSSHELL\WINDOWSDIAGNOSTICS.DLL
delall %SystemDrive%\USERS\DOMEN\APPDATA\ROAMING\WINDOWSSHELL\WINDOWSDIAGNOSTICS.DLL
addsgn BA652BBE5D22C5062FC4F9F9E724324CAE72772CC171EEFB7FC2B0B9B815774C235B4890B586D5C2E5C80FC36226017109FBD03AD61E9073C41C5AD038CAEEBF 58 Trojan.Starter.7918 [DrWeb] 7
zoo %Sys32%\HELLOEXTNOATL.DLL
chklst
delvir
deldir %SystemDrive%\USERS\DOMEN\APPDATA\ROAMING\WINDOWSSHELL
deltmp
delnfr
czoo
apply
restart

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Сообщите, что с проблемой.

[Hepl]

В течение 10 минут после перезапуска нагрузка процессора более 15% не наблюдалась.

System Explorer не видит процесс notepad.exe.

Лог прикреплён, файл ZOO отправлен.

[Vvvyg]

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

[Hepl]

Security Check-лог добавил.

Сегодня сменил браузер по умолчанию на Chrome.
В момент обнаружения проблемы по умолчанию стоял Edge.

[Vvvyg]

Windows Defender (отключен)

Если так постоянно - включите, он неплох реально.

[Hepl]

Я его отключил, когда он мне 225 ошибку выдавал в uVS. После чего отправил половину файлов из папки в карантин.
Я удалил всю папку и распаковал по новой из архива чистые файлы, предварительно его отключив. Ну судя по всему не справился с моими запросами
Пока всё хорошо. Чего-то подозрительно нагружающего систему не наблюдал в течение дня.
AC Unity стоит удалить?

Так в принципе только он и стоит.
Да, и кроме того Аваст у меня тоже был не включен. Он есть в процессах?
Хотя Вы, наверно, уже не помните. Да и логи я удалил :\

[Vvvyg]

Установлен давно, скорее всего, просто репак. Хотя они часто с нехорошими довесками бывают.

Критический баг в 7-Zip приводит к выполнению произвольного кода.
Обновите 7-Zip обязательно.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

И всё на этом.

[Hepl]

Вы меня очень выручили. Я обязательно поддержу проект.

P.S. Откуда стоит скачать 7-zip? Их официальный 7-zip.org не отвечает.

P.P.S. Через прокси зашёл. Спасибо.