Показано с 1 по 9 из 9.

Процесс "Утилита поиска строк (GREP)" - find.exe (заявка № 228394)

  1. #1
    Junior Member Репутация
    Регистрация
    01.12.2023
    Сообщений
    4
    Вес репутации
    7

    Процесс "Утилита поиска строк (GREP)" - find.exe

    Добрый вечер!
    Стал появляться процесс "Утилита поиска строк (GREP)" который есть около 2 гб оперативки.
    Диспетчер задач показывает что исполнителем является файл C://Windows/System32/find.exe
    Однако если проверить через Process Explorer, то там указывается команда запуска C:\ProgramData\MoviNavigator-23356c2f-e5f2-4a54-b36f-2b44f05923b0\find.exe с ключами --algo 144_5 --pers BgoldPoW -i 99 --server 84.252.75.72:8080 --user ARRLXmqTUQrpjcN7P7xnnx1K1gfHQbCTiJ.Zephyr -w 0


    Папки C:\ProgramData\MoviNavigator-23356c2f-e5f2-4a54-b36f-2b44f05923b0 как таковой нет (Как я понял файл с папкой быстро создаётся, запускается и потом удаляется)

    В теории процесс запускается после запуска Google Chrome ~ 5 минут поле запуска (Edge я не пользуюсь)

    Как избавиться от этой проблемы
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,289
    Вес репутации
    384
    Уважаемый(ая) Library_Keeper, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    36,577
    Вес репутации
    1086
    Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:
    Код:
    begin
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     QuarantineFile('C:\Program Files\WProxy\WinProxy\WinProxy.exe', '');
     QuarantineFile('C:\Users\User\AppData\Local\Programs\b5d62e55f2\e5b5bc5553.msi', '');
     QuarantineFile('c:\windows\System32\evntagnt.dll', '');
     QuarantineFile('C:\Windows\SysWOW64\evntagnt.dll', '');
     QuarantineFileF('c:\program files\wproxy', '*', true, '', 0 , 0);
     QuarantineFileF('C:\ProgramData\MoviNavigator-23356c2f-e5f2-4a54-b36f-2b44f05923b0', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
     QuarantineFileF('c:\users\user\appdata\local\programs\b5d62e55f2', '*', true, '', 0 , 0);
     DeleteFile('C:\Program Files\WProxy\WinProxy\WinProxy.exe', '64');
     DeleteFile('C:\Users\User\AppData\Local\Programs\b5d62e55f2\e5b5bc5553.msi', '64');
     DeleteFile('c:\windows\System32\evntagnt.dll', '');
     DeleteFile('C:\Windows\SysWOW64\evntagnt.dll', '64');
     DeleteFileMask('c:\program files\wproxy', '*', true);
     DeleteFileMask('C:\ProgramData\MoviNavigator-23356c2f-e5f2-4a54-b36f-2b44f05923b0', '*', true);
     DeleteFileMask('c:\users\user\appdata\local\programs\b5d62e55f2', '*', true);
     DeleteDirectory('"c:\windows\system32\msiexec.exe" /i "c:\users\user\appdata\local\programs\b5d62e55f2');
     DeleteDirectory('c:\program files\wproxy');
     DeleteDirectory('C:\ProgramData\MoviNavigator-23356c2f-e5f2-4a54-b36f-2b44f05923b0');
     DeleteDirectory('c:\users\user\appdata\local\programs\b5d62e55f2');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\EvntAgntSvc_43d775\Parameters', 'ServiceDll', '64');
     DeleteSchedulerTask('clear-links-S-1-5-21-272933523-2340400884-684201627-1001');
     DeleteSchedulerTask('WProxy\WinProxy');
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
     ExecuteWizard('SCU', 3, 3, true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    В папке с AVZ появится архив карантина quarantine.zip, упакуйте его в архив с паролем, выложите на файлообменник или в облако и дайте ссылку с паролем в личном сообщении.

    Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:
    Код:
    O22 - Task: (damaged) C:\Windows\System32\Tasks\NCH Software (empty)
    O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Agent Activation Runtime (empty)
    O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Google (empty)
    O22 - Tasks: (disabled) Dragon_Center_updater - C:\ProgramData\MSI\Dragon Center\DragonCenter_Updater.exe DragonCenter (file missing)
    O22 - Tasks: (disabled) IUM-F1E24CA0-B63E-4F13-A9E3-4ADE3BFF3473 - C:\Program Files (x86)\Intel\Intel(R) Update Manager\bin\iumsvc.exe --automatic (file missing)
    O22 - Tasks: (disabled) MSI_Help_Desk_Agent - C:\Program Files (x86)\MSI\Help Desk\MSI Update Agent.exe (file missing)
    O22 - Tasks: (disabled) NIUpdateServiceCheckTask - C:\Program Files (x86)\National Instruments\Shared\Update Service\NIUpdateService.exe -c -task (file missing)
    O22 - Tasks: (disabled) NIUpdateServiceStartupTask - C:\Program Files (x86)\National Instruments\Shared\Update Service\NIUpdateService.exe -startupTask (file missing)
    Деинсталлируйте программу Web Companion. Если нет возможности удалить стандартным способом - сделайте принудительно, с помощью Geek Uninstaller Free.

    Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

    Нажмите кнопку Сканировать.

    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    01.12.2023
    Сообщений
    4
    Вес репутации
    7
    Снова здравствуйте!
    Сделал все как вы сказали. Лишь архив с карантином все никак не загрузится. (Сайт уходит в вечную загрузку)

    Файлы FRST и Addition в zip архиве уже вложены.
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    36,577
    Вес репутации
    1086
    Web Companion так и не удалили.

    Выделите и скопируйте в буфер обмена следующий код:
    Код:
    Start::
    CreateRestorePoint:
    CHR StartupUrls: Default -> "hxxps://mail.ru/cnt/10445?gp=812205"
    CHR HKU\S-1-5-21-272933523-2340400884-684201627-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
    CHR HKLM-x32\...\Chrome\Extension: [mfhcmdonhekjhfbjmeacdjbhlfgpjabp]
    2023-11-29 10:13 - 2023-11-29 10:13 - 000000000 _RSHD C:\ProgramData\WindowsTask
    2023-11-29 10:13 - 2023-11-29 10:13 - 000000000 _RSHD C:\ProgramData\Windows Tasks Service
    2023-11-29 10:13 - 2023-11-29 10:13 - 000000000 _RSHD C:\ProgramData\Setup
    2023-11-29 10:13 - 2023-11-29 10:13 - 000000000 _RSHD C:\ProgramData\ReaItekHD
    2023-11-29 10:13 - 2023-11-29 10:13 - 000000000 _RSHD C:\ProgramData\RDP Wrapper
    2023-11-29 10:13 - 2023-11-29 10:13 - 000000000 _RSHD C:\Program Files\RDP Wrapper
    2023-11-29 10:13 - 2023-11-29 10:13 - 000000000 _RSHD C:\Program Files (x86)\360
    2023-11-19 21:28 - 2023-12-02 14:58 - 000000000 ____D C:\Windows\system32\Tasks\WProxy
    2023-11-21 21:37 - 2021-08-06 20:51 - 000000053 _____ C:\Windows\WrpYGF74DrEm.ini
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft\WebCompanion\Web Companion.lnk
    Shortcut: C:\Users\User\Desktop\**\Джем Болл.lnk -> C:\Users\User\Desktop\*\Новая папка\Nevosoft.Games\drm.exe (Нет файла) <==== Cyrillic
    Shortcut: C:\Users\User\Desktop\*\AutoCAD 2022 — Русский (Russian).lnk -> F:\Programs\AutoCAD 2022\acad.exe (Нет файла) <==== Cyrillic
    IE trusted site: HKU\.DEFAULT\...\localhost -> localhost
    IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com
    IE trusted site: HKU\S-1-5-21-272933523-2340400884-684201627-1001\...\localhost -> localhost
    IE trusted site: HKU\S-1-5-21-272933523-2340400884-684201627-1001\...\webcompanion.com -> hxxp://webcompanion.com
    FirewallRules: [TCP Query User{0911FC6F-EC01-4CF7-95DD-B6AE0B1BAD34}C:\program files (x86)\minecraft launcher\runtime\java-runtime-beta\windows-x64\java-runtime-beta\bin\javaw.exe] => (Allow) C:\program files (x86)\minecraft launcher\runtime\java-runtime-beta\windows-x64\java-runtime-beta\bin\javaw.exe => Нет файла
    FirewallRules: [UDP Query User{652FB1E1-5618-4804-8913-B1030962A2D7}C:\program files (x86)\minecraft launcher\runtime\java-runtime-beta\windows-x64\java-runtime-beta\bin\javaw.exe] => (Allow) C:\program files (x86)\minecraft launcher\runtime\java-runtime-beta\windows-x64\java-runtime-beta\bin\javaw.exe => Нет файла
    FirewallRules: [{4EB69AC1-275C-47A3-86B2-FBA29851FBA5}] => (Allow) C:\Program Files\PC Remote Receiver\MonectServerService.exe => Нет файла
    FirewallRules: [{0800F292-3942-4112-BE5C-F6E293D2FFCB}] => (Allow) C:\Program Files\PC Remote Receiver\PCRemoteReceiver.exe => Нет файла
    FirewallRules: [{6F16BE02-5244-440C-BD24-AE06C0E6082C}] => (Allow) C:\Program Files\PC Remote Receiver\MonectMediaCenter.exe => Нет файла
    FirewallRules: [{02F4747E-CEC9-4A68-8EE6-49B048BE73AF}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
    FirewallRules: [{458255BD-FC57-4FD6-A9FE-292F6214BCCE}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    Reboot:
    End::
    Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен.

    Сделайте лог Malwarebytes AdwCleaner.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    01.12.2023
    Сообщений
    4
    Вес репутации
    7
    Приложение Web Companion было удалено, просто я дурак сделал это в самом конце, извиняюсь. (Самого файла Web Companion не было, был ярлык и пара записей в реестре). Вот файлы
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    36,577
    Вес репутации
    1086
    Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.

    После перезагрузки в меню Файлы журналов программы будет лог очистки, файл AdwCleaner[C00].txt, прикрепите к своему следующему сообщению.

    Не припомните, что могли 19.11 устанавливать из непроверенных источников?
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    01.12.2023
    Сообщений
    4
    Вес репутации
    7
    Добрый вечер! Удалил через AdwCleaner, вот логи!
    19 ноября мой брат скачивал музыку и вместе с ней одновременно
    попыталось скачаться одно приложение несколько раз подряд вот скрин
    a.png
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    36,577
    Вес репутации
    1086
    Вряд ли было это приложение, которое даже и не скачали, причём с яндекса.
    А 29.11 что-то устанавливали взломане?

    Запустите AdwCleaner, меню Параметры - Удалить AdwCleaner (в самом низу) - выберите Удалить.

    Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
    Компьютер перезагрузится.
    WBR,
    Vadim

Похожие темы

  1. утилита поиска строк grep
    От turbod в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 27.06.2021, 04:10
  2. Ответов: 18
    Последнее сообщение: 23.06.2021, 10:24
  3. "Утилита поиска строк (GREP)" - грузит процессор
    От Роман Богач в разделе Помогите!
    Ответов: 18
    Последнее сообщение: 04.03.2021, 02:20
  4. Ответов: 8
    Последнее сообщение: 28.11.2013, 02:19
  5. Ответов: 17
    Последнее сообщение: 22.02.2009, 01:43

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01163 seconds with 17 queries