Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 38.

Загрузка центрального процессора [HEUR:Trojan.Win64.Miner.gen, HEUR:Trojan.Win32.Agentb.gen] (заявка № 226447)

  1. #1
    Junior Member Репутация
    Регистрация
    27.02.2021
    Сообщений
    27
    Вес репутации
    12

    Загрузка центрального процессора [HEUR:Trojan.Win64.Miner.gen, HEUR:Trojan.Win32.Agentb.gen]

    1. браузер не позволяет войти на сайты с антивирусами
    2. не стабильно работает система
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Денис Богач, спасибо за обращение на наш форум!

    Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    12,843
    Вес репутации
    322
    Здравствуйте,

    HiJackThis (из каталога autologger)профиксить
    Важно: необходимо отметить и профиксить только то, что указано ниже.
    Код:
    R3 - HKCU\..\URLSearchHooks: (no name) - {C9423817-5DA7-494E-87E4-111F1B49A1FD} - (no file)
    O2 - HKLM\..\BHO: YoutubeDownloader - {DF4BBE8F-62D5-47BC-8D78-E06A18ED510E} - C:\Program Files (x86)\BdAKRcyEFIE\th9m0OamU.dll
    O17 - DHCP DNS 1: 185.192.111.210
    O17 - DHCP DNS 2: 37.59.58.122
    O17 - HKLM\System\CCS\Services\Tcpip\..\{21d2a517-287b-4f5e-bdf5-4d711cb3788d}: [NameServer] = 185.192.111.210
    O17 - HKLM\System\CCS\Services\Tcpip\..\{21d2a517-287b-4f5e-bdf5-4d711cb3788d}: [NameServer] = 37.59.58.122
    O17 - HKLM\System\CCS\Services\Tcpip\..\{3a887698-3677-4027-be51-c7b3f5f2514b}: [NameServer] = 185.192.111.210
    O17 - HKLM\System\CCS\Services\Tcpip\..\{3a887698-3677-4027-be51-c7b3f5f2514b}: [NameServer] = 37.59.58.122
    O17 - HKLM\System\CCS\Services\Tcpip\..\{4d8c7716-956d-43a0-893c-00869d6d09d6}: [NameServer] = 185.192.111.210
    O17 - HKLM\System\CCS\Services\Tcpip\..\{4d8c7716-956d-43a0-893c-00869d6d09d6}: [NameServer] = 37.59.58.122
    O17 - HKLM\System\CCS\Services\Tcpip\..\{9114a420-654e-4d8f-938d-31881cbc8c9f}: [NameServer] = 185.192.111.210
    O17 - HKLM\System\CCS\Services\Tcpip\..\{9114a420-654e-4d8f-938d-31881cbc8c9f}: [NameServer] = 37.59.58.122
    O17 - HKLM\System\CCS\Services\Tcpip\..\{a3a674f6-876e-4bf5-af28-3df8760cfe7d}: [NameServer] = 185.192.111.210
    O17 - HKLM\System\CCS\Services\Tcpip\..\{a3a674f6-876e-4bf5-af28-3df8760cfe7d}: [NameServer] = 37.59.58.122
    O17 - HKLM\System\CCS\Services\Tcpip\..\{b5addf36-5134-484e-be4f-d4fe6c88c996}: [NameServer] = 185.192.111.210
    O17 - HKLM\System\CCS\Services\Tcpip\..\{b5addf36-5134-484e-be4f-d4fe6c88c996}: [NameServer] = 37.59.58.122
    O17 - HKLM\System\CCS\Services\Tcpip\..\{d2776857-da7b-11ea-b3d3-806e6f6e6963}: [NameServer] = 185.192.111.210
    O17 - HKLM\System\CCS\Services\Tcpip\..\{d2776857-da7b-11ea-b3d3-806e6f6e6963}: [NameServer] = 37.59.58.122
    O22 - Task: (disabled) \Microsoft\Windows\Shell\FamilySafetyMonitorToastTask - {D2CBF5F7-5702-440B-8D8F-8203034A6B82},$(Arg0) - (no file)
    O22 - Task: gZaNTwEAcszYFtGWkmA2 - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\LpROwAoVAdOJC\MfHJXAC.dll",#1
    O22 - Task: hZWdCklbJJKUAe - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\wnaqsFdhQNmU2\VtgcOArltKTxp.dll",#1
    O22 - Task: txOoFsZvhktTFIT2 - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\QoARRVEKU\tcAlKx.dll",#1
    O22 - Task: XHzoDqsLChdlDpKJg2 - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\qHVAdQiwZxEdpsDTUKR\OFHTBnS.dll",#1
    O22 - Task: zWaRGDdIQUFJO2 - C:\WINDOWS\system32\wscript.exe "C:\ProgramData\rJOKrOTOvoFGzgVB\jGaUDrS.wsf"

    Если пропадет интернет пропишите на сетевом интерфейсе в качестве днс-серверов:
    Код:
    8.8.8.8
    8.8.4.4
    AVZ выполнить следующий скрипт.
    Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     QuarantineFile('C:\ProgramData\rJOKrOTOvoFGzgVB\jGaUDrS.wsf','');
     QuarantineFileF('C:\ProgramData\rJOKrOTOvoFGzgVB', '*.exe,*.dll,*.sys,*.vbs,*.com', false,'', 0, 0);
     QuarantineFile('C:\Program Files (x86)\qHVAdQiwZxEdpsDTUKR\OFHTBnS.dll','');
     QuarantineFileF('C:\Program Files (x86)\qHVAdQiwZxEdpsDTUKR', '*.exe,*.dll,*.sys,*.vbs,*.com', false,'', 0, 0);
     QuarantineFile('C:\Program Files (x86)\QoARRVEKU\tcAlKx.dll','');
     QuarantineFileF('C:\Program Files (x86)\QoARRVEKU', '*.exe,*.dll,*.sys,*.vbs,*.com', false,'', 0, 0);
     QuarantineFile('C:\Program Files (x86)\wnaqsFdhQNmU2\VtgcOArltKTxp.dll','');
     QuarantineFileF('C:\Program Files (x86)\wnaqsFdhQNmU2', '*.exe,*.dll,*.sys,*.vbs,*.com', false,'', 0, 0);
     QuarantineFile('C:\Program Files (x86)\LpROwAoVAdOJC\MfHJXAC.dll','');
     QuarantineFileF('C:\Program Files (x86)\LpROwAoVAdOJC', '*.exe,*.dll,*.sys,*.vbs,*.com', false,'', 0, 0);
     DeleteSchedulerTask('gZaNTwEAcszYFtGWkmA2');
     DeleteFile('C:\Program Files (x86)\LpROwAoVAdOJC\MfHJXAC.dll','64');
     DeleteFile('C:\Program Files (x86)\wnaqsFdhQNmU2\VtgcOArltKTxp.dll','64');
     DeleteSchedulerTask('hZWdCklbJJKUAe');
     DeleteSchedulerTask('txOoFsZvhktTFIT2');
     DeleteFile('C:\Program Files (x86)\QoARRVEKU\tcAlKx.dll','64');
     DeleteFile('C:\Program Files (x86)\qHVAdQiwZxEdpsDTUKR\OFHTBnS.dll','64');
     DeleteFile('C:\ProgramData\rJOKrOTOvoFGzgVB\jGaUDrS.wsf','64');
     DeleteSchedulerTask('zWaRGDdIQUFJO2');
     DeleteSchedulerTask('XHzoDqsLChdlDpKJg2');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     ExecuteWizard('SCU', 2, 3, true);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    После перезагрузки:
    - Выполните в AVZ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.


    • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
    • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
    • Прикрепите отчет к своему следующему сообщению.
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    27.02.2021
    Сообщений
    27
    Вес репутации
    12

    Всё сделал

    Спасибо, что помогаете!
    Вложения Вложения

  7. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    12,843
    Вес репутации
    322
    Удалите следующие приложение через установку приложений в панели управления:
    Код:
    NetShield Kit 1.3.30.0 [2020/10/14 10:19:18]-->"C:\ProgramData\Package Cache\{d8c15a17-bf17-4678-9985-85121f00d1e5}\nsk-win32-bundle.exe"  /uninstall
    NetShield Kit 1.3.40.1 [20201022]-->"C:\Program Files (x86)\NetShield Kit\unins000.exe"
    P.S. если не найдете в списке то проигнорируйте и продолжите выполнять рекомендации дальше.

    Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  8. Это понравилось:


  9. #6
    Junior Member Репутация
    Регистрация
    27.02.2021
    Сообщений
    27
    Вес репутации
    12

    Выполнено

    Цитата Сообщение от SQ Посмотреть сообщение
    Удалите следующие приложение через установку приложений в панели управления:
    Код:
    NetShield Kit 1.3.30.0 [2020/10/14 10:19:18]-->"C:\ProgramData\Package Cache\{d8c15a17-bf17-4678-9985-85121f00d1e5}\nsk-win32-bundle.exe"  /uninstall
    NetShield Kit 1.3.40.1 [20201022]-->"C:\Program Files (x86)\NetShield Kit\unins000.exe"
    P.S. если не найдете в списке то проигнорируйте и продолжите выполнять рекомендации дальше.

    Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
    Отчёт во вложении. В списке программа была, а при удалении выдало сообщение (на скрине во вложении). Обнаружил в карантине, удалил.
    Изображения Изображения
    Вложения Вложения

  10. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    12,843
    Вес репутации
    322
    - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".
    • Нажмите кнопку Scan.
    • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
    • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  11. Это понравилось:


  12. #8
    Junior Member Репутация
    Регистрация
    27.02.2021
    Сообщений
    27
    Вес репутации
    12

    Выполнено

    Скрин приложил, снял галку один месяц и поставил 90 дней
    Изображения Изображения
    Вложения Вложения

  13. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    12,843
    Вес репутации
    322
    • Закройте и сохраните все открытые приложения.
    • Выделите следующий код::
      Код:
      Start::
      CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
      CreateRestorePoint:
      CloseProcesses:
      GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
      Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
      HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
      Task: {B8A92035-E88B-4B00-A490-E9D1EDDDFD7D} - \HP\HP CoolSense\HP CoolSense Start at Logon -> Нет файла <==== ВНИМАНИЕ
      Edge DefaultSearchURL: Default -> hxxp://search-cdn.net/fip/?q={searchTerms}
      Edge DefaultSearchKeyword: Default -> search-cdn.net
      FF HKLM\...\Thunderbird\Extensions: [[email protected]] - C:\Program Files\McAfee\MSKHKLM => не найдено
      CHR Extension: (YoutubeDownloader) - C:\Users\bogac\AppData\Local\Google\Chrome\User Data\Default\Extensions\lpiicpcahmechbpjeaooigpehcphgjgn [2020-10-14] [UpdateUrl:hxxps://clients72.google.com/service/update2/crx] <==== ВНИМАНИЕ
      Zip: C:\ProgramData\juutbubq.wrj;C:\ProgramData\mijprvzl.ern;
      2021-02-13 12:47 - 2021-02-13 12:47 - 000012763 _____ C:\ProgramData\juutbubq.wrj
      2021-02-13 12:47 - 2021-02-13 12:47 - 000000016 _____ C:\ProgramData\mntemp
      2021-02-01 22:42 - 2021-02-01 22:42 - 000012670 _____ C:\ProgramData\mijprvzl.ern
      File: C:\WINDOWS\system32\rdsxvmaudio.dll
      Folder: C:\Users\bogac\AppData\Local\krnlss
      Folder: C:\Users\bogac\AppData\Roaming\extrimhack
      Folder: C:\Program Files\Common Files\PUBG
      Folder: C:\ProgramData\Flock
      2020-12-05 23:24 - 2021-02-25 14:57 - 000000000 ____D C:\ProgramData\Flock
      ContextMenuHandlers1: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} =>  -> Нет файла
      ContextMenuHandlers1: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} =>  -> Нет файла
      ContextMenuHandlers6: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} =>  -> Нет файла
      ContextMenuHandlers6: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} =>  -> Нет файла
      Folder: C:\Program Files (x86)\Transmission
      AlternateDataStreams: C:\ProgramData:NT [40]
      AlternateDataStreams: C:\ProgramData:NT2 [778]
      AlternateDataStreams: C:\Users\Все пользователи:NT [40]
      AlternateDataStreams: C:\Users\Все пользователи:NT2 [778]
      AlternateDataStreams: C:\Users\bogac\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
      AlternateDataStreams: C:\Users\bogac\Application Data:NT [40]
      AlternateDataStreams: C:\Users\bogac\Application Data:NT2 [778]
      AlternateDataStreams: C:\Users\bogac\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
      AlternateDataStreams: C:\Users\bogac\AppData\Roaming:NT [40]
      AlternateDataStreams: C:\Users\bogac\AppData\Roaming:NT2 [778]
      AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
      AlternateDataStreams: C:\ProgramData\Application Data:NT2 [778]
      AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
      AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [778]
      FirewallRules: [{4DF18B91-D959-40DA-A2C2-BC2E630EBFEC}] => (Allow) 㩃啜敳獲扜杯捡䅜灰慄慴剜慯業杮瑜捯坜㑃偸攮數 => Нет файла
      FirewallRules: [{7A8B2F6D-86A4-416F-9AD9-8B74E3E88BDB}] => (Allow) 㩃啜敳獲扜杯捡䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
      FirewallRules: [{045ABB4B-8A5C-414A-9E11-36017CD33FE9}] => (Allow) 㩃啜敳獲扜杯捡䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
      FirewallRules: [{8045BCAC-4456-47B5-8631-F098CC10A4B8}] => (Allow) 㩃啜敳獲扜杯捡䅜灰慄慴剜慯業杮瑜捯呜䥘⹶硥e => Нет файла
      Reboot:
      End::
    • Скопируйте выделенный текст (правой кнопкой - Копировать).
    • Запустите FRST/FRST64 (от имени администратора).
    • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .
    • Обратите внимание, что компьютер будет перезагружен.


    На рабочем столе образуется карантин вида <date>.zip загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  14. Это понравилось:


  15. #10
    Junior Member Репутация
    Регистрация
    27.02.2021
    Сообщений
    27
    Вес репутации
    12
    Карантин загружен.

  16. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    12,843
    Вес репутации
    322
    Спасибо, уточните где лог fixlog.txt? Сообщите, что с проблемой?
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  17. Это понравилось:


  18. #12
    Junior Member Репутация
    Регистрация
    27.02.2021
    Сообщений
    27
    Вес репутации
    12
    https://cloud.mail.ru/public/TcMn/U6Dc1aTPZ

    не загрузился fixlog.txt, превысил допустимый объём, выложил в облако

    Процесс: Утилита поиска строк (GREP) загружается как и прежде, исполнительный файл find.exe из C:\Windows\System32
    Последний раз редактировалось Денис Богач; 03.03.2021 в 07:00.

  19. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    12,843
    Вес репутации
    322
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  20. Это понравилось:


  21. #14
    Junior Member Репутация
    Регистрация
    27.02.2021
    Сообщений
    27
    Вес репутации
    12

  22. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    12,843
    Вес репутации
    322
    В логах ничего подозрительно не заметил только битые ссылки на объекты. в процессах нет запуска find.exe, уточните пожалуйста если он появляется сразу посе запуска ПК?

    Выполните скрипт в uVS:
    Код:
    ;uVS v4.1.1 [http://dsrt.dyndns.org]
    ;Target OS: NTv10.0
    v400c
    OFFSGNSAVE
    cexec tools\CreateRestorePoint.exe BeforeCure
    ;------------------------autoscript---------------------------
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\77.0.3865.90\INSTALLER\CHRMSTP.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.13\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.13\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE_64.DLL
    ;-------------------------------------------------------------
    restart
    Обратите внимание, что компьютер перегрузится, после выполнения фикса.
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  23. #16
    Junior Member Репутация
    Регистрация
    27.02.2021
    Сообщений
    27
    Вес репутации
    12

    Корректировка

    Прошу прощения, видимо я его закрыл вручную. Процесс запускается при перезагрузке. Я выполнил указанный скрипт и снова сделал образ, не выключая процесс. Новый образ по этой ссылке
    https://cloud.mail.ru/public/VJAX/NZg9bWBV6
    так же лог после скрипта прикрепил
    Вложения Вложения

  24. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    12,843
    Вес репутации
    322
    Выполните скрипт в uVS:
    Код:
    ;Target OS: NTv10.0
    v400c
    OFFSGNSAVE
    cexec tools\CreateRestorePoint.exe BeforeCure
    zoo %SystemDrive%\ProgramData\Slack\find.exe
    zoo %SystemDrive%\USERS\BOGAC\APPDATA\LOCAL\TEMP\BXSDK64.DLL
    czoo
    apply
    ;-------------------------------------------------------------
    restart
    Обратите внимание, что компьютер перегрузится, после выполнения фикса.

    Прикрепите пожалуйста карантин по ссылке "Прислать запрошенный карантин" вверху темы.
    Последний раз редактировалось SQ; 06.03.2021 в 19:39.
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  25. #18
    Junior Member Репутация
    Регистрация
    27.02.2021
    Сообщений
    27
    Вес репутации
    12

    Выполнено

    Скрипт отработал.
    Карантин загрузил.
    Проблема не ушла.
    Образ после скрипта сделал:
    https://cloud.mail.ru/public/3PV9/gb1fgrcvL

  26. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    12,843
    Вес репутации
    322
    Спасибо за карантин, я его отправил на проверку в вирлаб. я вам сообщу о результатах как получу.

    На данный момент я пытаюсь понять по логам, источник запуска процесса find.exe

    find.png

    Могли бы проверить пожалуйста, если имется у Вас папка:
    Код:
    C:\ProgramData\Slack
    • Закройте и сохраните все открытые приложения.
    • Выделите следующий код::
      Код:
      Start::
      CreateRestorePoint:
      Folder: C:\ProgramData\Slack
      File: C:\USERS\BOGAC\APPDATA\LOCAL\TEMP\BXSDK64.DLL
      File: C:\Windows\System32\DRIVERSTORE\FILEREPOSITORY\HPANALYTICSCOMP.INF_AMD64_F98B15466093B28E\X64\NEWTONSOFT.JSON.DLL
      C:\USERS\BOGAC\APPDATA\LOCAL\TEMP\BXSDK64.DLL
      Reboot:
      End::
    • Скопируйте выделенный текст (правой кнопкой - Копировать).
    • Запустите FRST/FRST64 (от имени администратора).
    • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .
    • Обратите внимание, что компьютер будет перезагружен.


    - - - - -Добавлено - - - - -

    Здравствуйте,

    Я получил ответ от вирлаба:
    Судя по всему, данная DLL является частью следующего вполне легитимного продукта:
    https://www.boxedapp.com/docs/index.html

    Сама по себе она не вредоносная.
    Я в логах не нашел данного ПО у Вас в логах, Вам что-то говорит указанная вирус аналитиком ПО?
    Последний раз редактировалось SQ; 06.03.2021 в 06:53.
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  27. #20
    Junior Member Репутация
    Регистрация
    27.02.2021
    Сообщений
    27
    Вес репутации
    12
    1. Да, папка Slack в наличии и файл запуска с аналогичным названием в ней.

    2. Лог сделал, приложил (в этот момент не уверен, что работал процесс "Утилита поиска строк (GREP)")

    3. Ни малейшего представления о указанном ПО не имею
    Вложения Вложения
    Последний раз редактировалось Денис Богач; 06.03.2021 в 12:11.

  • Уважаемый(ая) Денис Богач, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Загрузка центрального процессора 100%
      От Дмитрий Пастухов в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 05.12.2013, 10:10
    2. Скачет загрузка центрального процессора.
      От Smart53 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 11.06.2013, 13:39
    3. Ответов: 2
      Последнее сообщение: 31.07.2012, 05:58
    4. загрузка процессора 100%
      От Beer в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 02:36
    5. Ответов: 20
      Последнее сообщение: 22.02.2009, 01:45

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00726 seconds with 20 queries