Решена PUP.Optional.Appset

Статус
В этой теме нельзя размещать новые ответы.

rambee

Новый пользователь
Сообщения
23
Реакции
1
Доброго времени суток.
Я давно стал замечать, что у меня на компьютере происходит что-то неадекватное.

При запуске, при вводе пароля мелькали командные строки, их всегда штуки 2-3, они будто запускаются и в ту же секунду закрываются.
Тоже самое повторяется при запуске каких-либо программ от имени администратора ( окошко UAC ), выходе из программ и всё такое прочее.
Я записал видео, которое залил на YouTube и вставил сюда, для большей наглядности.


Я какое-то время не придавал этому особо значения, и по-этому не проверял. Шло время, и вчера у меня произошла какая-то дичь с видеокартой когда я играл в "GTA V", на мониторе резко появились помехи ( как будто на телевизорах старых, помнят все из детства? мухи в телевизоре летают. ) - при этом звук сохранялся и всё такое.
Была уже ночь, я был сонный и уставший, по-этому поленился проверить в чём дело..

Сегодня решил открыть диспетчер задач и ознакомиться с установленными программами в автозапуске.. да и так, мож гостя-червяка найду думал. 2 минуты полазил, и он выключился)))))))))) Просто сам по себе, вылетел и прощай. Я запустил снова, и опять выключился..

1) Проверил компьютер с помощь программы "Malwarebytes" - он нашёл этот "PUP.Optinal.Appset'' - логи прилагаю.
2) Проверил компьютер антивирусной утилитой AVZ - логи прилагаю.

Добавлю, что компьютер начал тупить в последнее время очень даже сильно.. особенно видео, бывает просто зависает браузер и через какое-то время сам по себе отключается.
 

Вложения

  • malware.txt
    2.5 KB · Просмотры: 5
  • CollectionLog-2018.08.15-19.24.zip
    76.9 KB · Просмотры: 5
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\Антон\appdata\local\labelstack\microsoftscr\local\stubexe\0x4874e7a248150fc8\criorr.exe');
 QuarantineFile('c:\users\Антон\appdata\local\labelstack\microsoftscr\local\stubexe\0x4874e7a248150fc8\criorr.exe', '');
 DeleteFile('c:\users\Антон\appdata\local\labelstack\microsoftscr\local\stubexe\0x4874e7a248150fc8\criorr.exe', '');
 DeleteFile('C:\Users\Антон\AppData\Local\LabelStack\MicrosoftSCR\local\stubexe\0x4874E7A248150FC8\criorr.exe', '64');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus quarantine ./Quarantine/', 1, 0, true);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.
 
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
TerminateProcessByName('c:\users\Антон\appdata\local\labelstack\microsoftscr\local\stubexe\0x4874e7a248150fc8\criorr.exe');
QuarantineFile('c:\users\Антон\appdata\local\labelstack\microsoftscr\local\stubexe\0x4874e7a248150fc8\criorr.exe', '');
DeleteFile('c:\users\Антон\appdata\local\labelstack\microsoftscr\local\stubexe\0x4874e7a248150fc8\criorr.exe', '');
DeleteFile('C:\Users\Антон\AppData\Local\LabelStack\MicrosoftSCR\local\stubexe\0x4874E7A248150FC8\criorr.exe', '64');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus quarantine ./Quarantine/', 1, 0, true);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.
Сделал всё, как указали.
Изменений пока не заметил, консольные окошки всё ещё появляются как и раньше.
Логи прикрепляю.
 

Вложения

  • CollectionLog-2018.08.15-20.15.zip
    77.6 KB · Просмотры: 1
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Готово!
 

Вложения

  • Addition.txt
    58.5 KB · Просмотры: 2
  • FRST.txt
    136.7 KB · Просмотры: 2
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    (Code Systems Corporation) C:\Users\Антон\AppData\Local\LabelStack\MicrosoftSCR\local\stubexe\0x4874E7A248150FC8\criorr.exe
    C:\Users\Антон\AppData\Local\LabelStack\MicrosoftSCR\local\stubexe\0x4874E7A248150FC8\criorr.exe
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [159]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Проверил сейчас диспетчер задач.
Он всё так же закрывается ровно спустя 1 минуту 5 секунд.. как будто кто-то тайминг специально выставил.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    (Code Systems Corporation) C:\Users\Антон\AppData\Local\LabelStack\MicrosoftSCR\local\stubexe\0x4874E7A248150FC8\criorr.exe
    C:\Users\Антон\AppData\Local\LabelStack\MicrosoftSCR\local\stubexe\0x4874E7A248150FC8\criorr.exe
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [159]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Вложения

  • Fixlog.txt
    1.9 KB · Просмотры: 2
Последнее редактирование модератором:
Еще раз, пожалуйста, свежий CollectionLog Автологером сделайте.
 
Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS.
 
Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS.
Всё готово.. что-то мне это начинает не нравится..
Скажите пожалуйста, судя по всем логам и данным которые я собрал по вашим указаниям, чем заражён мой компьютер? Это вирус, майнер? Что то серьёзнее? Что конкретно?
 

Вложения

  • АНТОН-ПК_2018-08-15_22-12-57.7z
    755.9 KB · Просмотры: 3
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.0.13 [http://dsrt.dyndns.org]
    ;Target OS: NTv10.0
    v400c
    BREG
    zoo %SystemDrive%\PROGRAMDATA\DRIVER FOUNDATION\WINDOWS DRIVER FOUNDATION UPDATE CHECK WDF.EXE
    bl F5BFA8165843DE199D60F64EF9AA2CF0 3226742
    addsgn B2B924CC022B18335E95F8F033809FA90192040976B29E946DCBC5BC632935C7D45F4A2B1A3DD9C2D4C80DE362460D719A97610E7192F4A7C23F2D53E3666AFA 8 RiskTool.Win32.Generic [Kaspersky] 7
    
    zoo %SystemDrive%\USERS\АНТОН\APPDATA\LOCAL\LABELSTACK\MICROSOFTSCR\LOCAL\STUBEXE\0X4874E7A248150FC8\CRIORR.EXE
    bl D1C223E137D4F5C64D2ABD9EEEDC955F 30808
    chklst
    delvir
    
    ;---------command-block---------
    delref %SystemRoot%\CRIORR.EXE
    apply
    
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве.


Подготовьте и прикрепите контрольный лог uVS. AutorunsVTchecker уже запускать не нужно.
 
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.0.13 [http://dsrt.dyndns.org]
    ;Target OS: NTv10.0
    v400c
    BREG
    zoo %SystemDrive%\PROGRAMDATA\DRIVER FOUNDATION\WINDOWS DRIVER FOUNDATION UPDATE CHECK WDF.EXE
    bl F5BFA8165843DE199D60F64EF9AA2CF0 3226742
    addsgn B2B924CC022B18335E95F8F033809FA90192040976B29E946DCBC5BC632935C7D45F4A2B1A3DD9C2D4C80DE362460D719A97610E7192F4A7C23F2D53E3666AFA 8 RiskTool.Win32.Generic [Kaspersky] 7
    
    zoo %SystemDrive%\USERS\АНТОН\APPDATA\LOCAL\LABELSTACK\MICROSOFTSCR\LOCAL\STUBEXE\0X4874E7A248150FC8\CRIORR.EXE
    bl D1C223E137D4F5C64D2ABD9EEEDC955F 30808
    chklst
    delvir
    
    ;---------command-block---------
    delref %SystemRoot%\CRIORR.EXE
    apply
    
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве.


Подготовьте и прикрепите контрольный лог uVS. AutorunsVTchecker уже запускать не нужно.
Сделал всё по указанию.
 

Вложения

  • АНТОН-ПК_2018-08-15_23-01-35.7z
    747.9 KB · Просмотры: 2
Изменения есть?
 
Изменения есть?

>Ну, про лаги пока ничего не могу сказать, мало времени провёл за компьютером.
>Насчёт вылезающих непонятно откуда консольных окон - всё так же лезут.
>По поводу диспетчера задач - он перестал закрываться сам по себе.


Наверное, всё-таки, изменения есть.. :unsure:

Спасибо большое за помощь, вы очень многое сделали :shame:

( А что по поводу непонятных консольных окон? Как на видео показано. Откуда они берутся? Что это? Я впервые с таким сталкиваюсь. И всё-таки, если вы знаете что это за червь в моём компьютере был - скажите пожалуйста. Что это было? Чтобы я впредь не хватанул такой гадости больше. )
 
Последнее редактирование:
@Sandor, хорошо, я буду ждать.

Загрузил в безопасном режиме. На входе ( экране приветствия ) какое-то консольное окно появилось, но я разглядеть вообще не успел, т.к. исчезло ЕЩЁ быстрее, чем обычно. А проверить в работе не смог, потому-что консольные окна такие появляются только когда запрашивается разрешение администратора на запуск или удаление приложения ( как показано на видео ), в остальных случаях - нет.
В безопасном режиме почему-то не нашёл, как сделать так же. Я нажимал "Запуск от имени администратора", но приложения запускались просто так.. без запроса на запуск как обычно. В свойствах файлов тоже ковырялся, там невозможно поставить галочку на "Запускать от имени администратора".
 
Сами по себе окна консоли не всегда плохой признак. У меня их вызывает офис 2016 при каждой загрузке.
 
У вас установлен AnVir Task Manager, настройки его производились? (замена стандартного диспетчера задачь, отложенный автозапуск и т.д.)

По поводу CCleaner https://safezone.cc/threads/v-ccleaner-dobavlena-neotkljuchaemaja-funkcija-sbora-dannyx.31874/

Malwarebytes, версия 3.5.1.2522 - просканируйте систему и прикрепите лог

А окна у вас java генерирует или зависящий от нее софт
1534345583475.png
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу