Решена PUP.Optional.Appset

Статус
В этой теме нельзя размещать новые ответы.

rambee

Новый пользователь
Сообщения
23
Реакции
1
Баллы
3
Доброго времени суток.
Я давно стал замечать, что у меня на компьютере происходит что-то неадекватное.

При запуске, при вводе пароля мелькали командные строки, их всегда штуки 2-3, они будто запускаются и в ту же секунду закрываются.
Тоже самое повторяется при запуске каких-либо программ от имени администратора ( окошко UAC ), выходе из программ и всё такое прочее.
Я записал видео, которое залил на YouTube и вставил сюда, для большей наглядности.


Я какое-то время не придавал этому особо значения, и по-этому не проверял. Шло время, и вчера у меня произошла какая-то дичь с видеокартой когда я играл в "GTA V", на мониторе резко появились помехи ( как будто на телевизорах старых, помнят все из детства? мухи в телевизоре летают. ) - при этом звук сохранялся и всё такое.
Была уже ночь, я был сонный и уставший, по-этому поленился проверить в чём дело..

Сегодня решил открыть диспетчер задач и ознакомиться с установленными программами в автозапуске.. да и так, мож гостя-червяка найду думал. 2 минуты полазил, и он выключился)))))))))) Просто сам по себе, вылетел и прощай. Я запустил снова, и опять выключился..

1) Проверил компьютер с помощь программы "Malwarebytes" - он нашёл этот "PUP.Optinal.Appset'' - логи прилагаю.
2) Проверил компьютер антивирусной утилитой AVZ - логи прилагаю.

Добавлю, что компьютер начал тупить в последнее время очень даже сильно.. особенно видео, бывает просто зависает браузер и через какое-то время сам по себе отключается.
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,642
Реакции
1,713
Баллы
433
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\Антон\appdata\local\labelstack\microsoftscr\local\stubexe\0x4874e7a248150fc8\criorr.exe');
 QuarantineFile('c:\users\Антон\appdata\local\labelstack\microsoftscr\local\stubexe\0x4874e7a248150fc8\criorr.exe', '');
 DeleteFile('c:\users\Антон\appdata\local\labelstack\microsoftscr\local\stubexe\0x4874e7a248150fc8\criorr.exe', '');
 DeleteFile('C:\Users\Антон\AppData\Local\LabelStack\MicrosoftSCR\local\stubexe\0x4874E7A248150FC8\criorr.exe', '64');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus quarantine ./Quarantine/', 1, 0, true);
end.
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.
 

rambee

Новый пользователь
Сообщения
23
Реакции
1
Баллы
3
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
TerminateProcessByName('c:\users\Антон\appdata\local\labelstack\microsoftscr\local\stubexe\0x4874e7a248150fc8\criorr.exe');
QuarantineFile('c:\users\Антон\appdata\local\labelstack\microsoftscr\local\stubexe\0x4874e7a248150fc8\criorr.exe', '');
DeleteFile('c:\users\Антон\appdata\local\labelstack\microsoftscr\local\stubexe\0x4874e7a248150fc8\criorr.exe', '');
DeleteFile('C:\Users\Антон\AppData\Local\LabelStack\MicrosoftSCR\local\stubexe\0x4874E7A248150FC8\criorr.exe', '64');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus quarantine ./Quarantine/', 1, 0, true);
end.
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.
Сделал всё, как указали.
Изменений пока не заметил, консольные окошки всё ещё появляются как и раньше.
Логи прикрепляю.
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,642
Реакции
1,713
Баллы
433
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

rambee

Новый пользователь
Сообщения
23
Реакции
1
Баллы
3
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Готово!
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,642
Реакции
1,713
Баллы
433
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    (Code Systems Corporation) C:\Users\Антон\AppData\Local\LabelStack\MicrosoftSCR\local\stubexe\0x4874E7A248150FC8\criorr.exe
    C:\Users\Антон\AppData\Local\LabelStack\MicrosoftSCR\local\stubexe\0x4874E7A248150FC8\criorr.exe
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [159]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

rambee

Новый пользователь
Сообщения
23
Реакции
1
Баллы
3
Проверил сейчас диспетчер задач.
Он всё так же закрывается ровно спустя 1 минуту 5 секунд.. как будто кто-то тайминг специально выставил.
Post automatically merged:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    (Code Systems Corporation) C:\Users\Антон\AppData\Local\LabelStack\MicrosoftSCR\local\stubexe\0x4874E7A248150FC8\criorr.exe
    C:\Users\Антон\AppData\Local\LabelStack\MicrosoftSCR\local\stubexe\0x4874E7A248150FC8\criorr.exe
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [159]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Вложения

Последнее редактирование:

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,642
Реакции
1,713
Баллы
433
Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS.
 

rambee

Новый пользователь
Сообщения
23
Реакции
1
Баллы
3
Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS.
Всё готово.. что-то мне это начинает не нравится..
Скажите пожалуйста, судя по всем логам и данным которые я собрал по вашим указаниям, чем заражён мой компьютер? Это вирус, майнер? Что то серьёзнее? Что конкретно?
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,642
Реакции
1,713
Баллы
433
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.0.13 [http://dsrt.dyndns.org]
    ;Target OS: NTv10.0
    v400c
    BREG
    zoo %SystemDrive%\PROGRAMDATA\DRIVER FOUNDATION\WINDOWS DRIVER FOUNDATION UPDATE CHECK WDF.EXE
    bl F5BFA8165843DE199D60F64EF9AA2CF0 3226742
    addsgn B2B924CC022B18335E95F8F033809FA90192040976B29E946DCBC5BC632935C7D45F4A2B1A3DD9C2D4C80DE362460D719A97610E7192F4A7C23F2D53E3666AFA 8 RiskTool.Win32.Generic [Kaspersky] 7
    
    zoo %SystemDrive%\USERS\АНТОН\APPDATA\LOCAL\LABELSTACK\MICROSOFTSCR\LOCAL\STUBEXE\0X4874E7A248150FC8\CRIORR.EXE
    bl D1C223E137D4F5C64D2ABD9EEEDC955F 30808
    chklst
    delvir
    
    ;---------command-block---------
    delref %SystemRoot%\CRIORR.EXE
    apply
    
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве.


Подготовьте и прикрепите контрольный лог uVS. AutorunsVTchecker уже запускать не нужно.
 

rambee

Новый пользователь
Сообщения
23
Реакции
1
Баллы
3
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.0.13 [http://dsrt.dyndns.org]
    ;Target OS: NTv10.0
    v400c
    BREG
    zoo %SystemDrive%\PROGRAMDATA\DRIVER FOUNDATION\WINDOWS DRIVER FOUNDATION UPDATE CHECK WDF.EXE
    bl F5BFA8165843DE199D60F64EF9AA2CF0 3226742
    addsgn B2B924CC022B18335E95F8F033809FA90192040976B29E946DCBC5BC632935C7D45F4A2B1A3DD9C2D4C80DE362460D719A97610E7192F4A7C23F2D53E3666AFA 8 RiskTool.Win32.Generic [Kaspersky] 7
    
    zoo %SystemDrive%\USERS\АНТОН\APPDATA\LOCAL\LABELSTACK\MICROSOFTSCR\LOCAL\STUBEXE\0X4874E7A248150FC8\CRIORR.EXE
    bl D1C223E137D4F5C64D2ABD9EEEDC955F 30808
    chklst
    delvir
    
    ;---------command-block---------
    delref %SystemRoot%\CRIORR.EXE
    apply
    
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве.


Подготовьте и прикрепите контрольный лог uVS. AutorunsVTchecker уже запускать не нужно.
Сделал всё по указанию.
 

Вложения

rambee

Новый пользователь
Сообщения
23
Реакции
1
Баллы
3
Изменения есть?
>Ну, про лаги пока ничего не могу сказать, мало времени провёл за компьютером.
>Насчёт вылезающих непонятно откуда консольных окон - всё так же лезут.
>По поводу диспетчера задач - он перестал закрываться сам по себе.


Наверное, всё-таки, изменения есть.. :unsure:

Спасибо большое за помощь, вы очень многое сделали :shame:

( А что по поводу непонятных консольных окон? Как на видео показано. Откуда они берутся? Что это? Я впервые с таким сталкиваюсь. И всё-таки, если вы знаете что это за червь в моём компьютере был - скажите пожалуйста. Что это было? Чтобы я впредь не хватанул такой гадости больше. )
 
Последнее редактирование:

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,642
Реакции
1,713
Баллы
433

rambee

Новый пользователь
Сообщения
23
Реакции
1
Баллы
3
@Sandor, хорошо, я буду ждать.

Загрузил в безопасном режиме. На входе ( экране приветствия ) какое-то консольное окно появилось, но я разглядеть вообще не успел, т.к. исчезло ЕЩЁ быстрее, чем обычно. А проверить в работе не смог, потому-что консольные окна такие появляются только когда запрашивается разрешение администратора на запуск или удаление приложения ( как показано на видео ), в остальных случаях - нет.
В безопасном режиме почему-то не нашёл, как сделать так же. Я нажимал "Запуск от имени администратора", но приложения запускались просто так.. без запроса на запуск как обычно. В свойствах файлов тоже ковырялся, там невозможно поставить галочку на "Запускать от имени администратора".
 

akok

Команда форума
Администратор
Сообщения
16,233
Реакции
12,922
Баллы
2,203
Сами по себе окна консоли не всегда плохой признак. У меня их вызывает офис 2016 при каждой загрузке.
 

akok

Команда форума
Администратор
Сообщения
16,233
Реакции
12,922
Баллы
2,203
У вас установлен AnVir Task Manager, настройки его производились? (замена стандартного диспетчера задачь, отложенный автозапуск и т.д.)

По поводу CCleaner https://safezone.cc/threads/v-ccleaner-dobavlena-neotkljuchaemaja-funkcija-sbora-dannyx.31874/

Malwarebytes, версия 3.5.1.2522 - просканируйте систему и прикрепите лог

А окна у вас java генерирует или зависящий от нее софт
1534345583475.png
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу