Решена Вредоносное ПО taskmgr.exe.lnk и svchost

Статус
В этой теме нельзя размещать новые ответы.
Moxito

Moxito

Пользователь
Сообщения
373
Реакции
35
Баллы
33
Искал длл для игры, скачал, круто, работает, но появились taskmgr.exe.lnk и svchost. Комп тупит, земана ели-ели что-то делает. Вот скриншот, сумел сделать с лагами. Ну и логи соответственно тут. Подозреваю что хватанул майнера. Делал с другой учётки. Я офигел.
 

Вложения

akok

akok

Команда форума
Администратор
Сообщения
16,539
Реакции
13,097
Баллы
2,203
Предупреждение
Для прочтения https://safezone.cc/threads/rules/, внимательно читаем пункты о названиях тем и использования обсценной лексики
 
akok

akok

Команда форума
Администратор
Сообщения
16,539
Реакции
13,097
Баллы
2,203
Пока в логах ничего примечательного

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Moxito

Moxito

Пользователь
Сообщения
373
Реакции
35
Баллы
33
Выполнил
 

Вложения

akok

akok

Команда форума
Администратор
Сообщения
16,539
Реакции
13,097
Баллы
2,203
Сами настраивали?
HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxySettingsPerUser] 0 <==== ATTENTION (Restriction - ProxySettings)

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    File:C:\WINDOWS\System32\browser.dll
    2018-10-30 13:38 - 2018-10-30 13:38 - 000000073 _____ () C:\Users\Moxito\chromelnk.bat
    2018-10-30 13:38 - 2018-10-30 13:38 - 000000073 _____ () C:\Users\Moxito\edgelnk.bat
    2018-10-30 13:38 - 2018-10-30 13:38 - 000000073 _____ () C:\Users\Moxito\firefoxlnk.bat
    2018-10-30 13:38 - 2018-10-30 13:38 - 000000073 _____ () C:\Users\Moxito\operalnk.bat
    ContextMenuHandlers4: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} =>  -> No File
    ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
    ContextMenuHandlers6: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} =>  -> No File
    AlternateDataStreams: C:\ProgramData\TEMP:10D14739 [244]
    AlternateDataStreams: C:\Users\Все пользователи\TEMP:10D14739 [244]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
akok

akok

Команда форума
Администратор
Сообщения
16,539
Реакции
13,097
Баллы
2,203
После перезагрузки проблема появляется? Судя по логам земана отбила атаку успешно.
 
akok

akok

Команда форума
Администратор
Сообщения
16,539
Реакции
13,097
Баллы
2,203
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxySettingsPerUser] 0 <==== ATTENTION (Restriction - ProxySettings)
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Moxito

Moxito

Пользователь
Сообщения
373
Реакции
35
Баллы
33
Вылезло при старте (скрин)
логи
Post automatically merged:

Постоянно вылезает окошко с каким-то ms-...
долго перезагружался пк
 

Вложения

Последнее редактирование:
akok

akok

Команда форума
Администратор
Сообщения
16,539
Реакции
13,097
Баллы
2,203
  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Выполните загрузку в безопасном режиме. Если проблема не наблюдается, причина кроется в сторонней службе или программе. В этом случае выполните следующие действия.
Пуск - Поиск / Выполнить - msconfig - ОК и перейдите на вкладку Службы. Установите флажок Не отображать службы Microsoft.
Отключите все отображенные службы (имеются в виду только не принадлежащие Microsoft) и перезагрузитесь. Если проблема не появляется, причина в одной из этих служб.

Далее действуйте методом "половинного деления". Включите половину служб и снова перезагрузитесь. Если проблема не появляется, причина в оставшихся отключенных службах. Если проблема воспроизводится, причина во включенных службах - отключите половину из них и снова перезагрузитесь. Действуя таким образом, вы сможете выявить службу, являющуюся причиной проблемы, и определить программу, которой она принадлежит.
Аналогичным образом можно поступить на вкладке Автозагрузка.
Здесь тоже не следует отключать пункты, производителем которых является Microsoft. Отключение программ других производителей может привести к неправильной работе устройств в том случае, если вы отключите их драйверы. Поэтому программы производителей вашего аппаратного обеспечения (например, Intel) лучше не отключать, либо отключать в самую последнюю очередь.

Далее можно порекомендовать лишь обновление программы до последней версии или ее удаление.

Подробнее об этой диагностике читайте здесь.
 
Moxito

Moxito

Пользователь
Сообщения
373
Реакции
35
Баллы
33
ok, post: 267465, member: 1"]
  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Выполните загрузку в безопасном режиме. Если проблема не наблюдается, причина кроется в сторонней службе или программе. В этом случае выполните следующие действия.
Пуск - Поиск / Выполнить - msconfig - ОК и перейдите на вкладку Службы. Установите флажок Не отображать службы Microsoft.
Отключите все отображенные службы (имеются в виду только не принадлежащие Microsoft) и перезагрузитесь. Если проблема не появляется, причина в одной из этих служб.

Далее действуйте методом "половинного деления". Включите половину служб и снова перезагрузитесь. Если проблема не появляется, причина в оставшихся отключенных службах. Если проблема воспроизводится, причина во включенных службах - отключите половину из них и снова перезагрузитесь. Действуя таким образом, вы сможете выявить службу, являющуюся причиной проблемы, и определить программу, которой она принадлежит.
Аналогичным образом можно поступить на вкладке Автозагрузка.
Здесь тоже не следует отключать пункты, производителем которых является Microsoft. Отключение программ других производителей может привести к неправильной работе устройств в том случае, если вы отключите их драйверы. Поэтому программы производителей вашего аппаратного обеспечения (например, Intel) лучше не отключать, либо отключать в самую последнюю очередь.

Далее можно порекомендовать лишь обновление программы до последней версии или ее удаление.

Подробнее об этой диагностике читайте здесь.
Зачем отключать что-то, если проблемы нет?
Адвклинер позже
 
regist

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,342
Реакции
5,919
Баллы
998
>>Зачем отключать что-то, если проблемы нет?
Для диагностики, вы же сами выше жалуетесь на проблему.

+ McAfee WebAdvisor [20180809]-->C:\Program Files\McAfee\WebAdvisor\Uninstaller.exe
деинсталируйте.
Zemana AntiMalware - тоже лучше деинсталировать и оставить только Symantec AntiVirus.

Tweaking.com - Windows Repair [20180827]-->"D:\Windows Repair\uninstall.exe" "/U:D:\Windows Repair\Uninstall\uninstall.xml"
не понятно зачем он у вас стоит. Вы что так что им пользуетесь? Тем более портабл версия есть.

+ немного мусор с ярлыками почистим.
- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
Код:
C:\Users\Moxito\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\McAfee WebAdvisor.lnk
C:\Users\Moxito\Desktop\Cities Skylines - Deluxe Edition.lnk
C:\Users\Moxito\Desktop\Papers, Please.lnk
C:\Users\Public\Desktop\Anno 2070.Deluxe Edition.v 2.0.7780.0 + 10 DLC.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\GUI.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RansomStopper.lnk
C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk
C:\Users\Moxito\AppData\Local\Packages\TelegramMessengerLLP.TelegramDesktop_t4vj0pshhgkwm\LocalCache\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Универсальный биндер 2.3 by Квас.lnk
C:\Users\knfed\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\McAfee WebAdvisor.lnk
C:\Users\.NET v4.5 Classic\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk
C:\Users\.NET v4.5\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk
+ Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 
Moxito

Moxito

Пользователь
Сообщения
373
Реакции
35
Баллы
33
+ McAfee WebAdvisor [20180809]-->C:\Program Files\McAfee\WebAdvisor\Uninstaller.exe
деинсталируйте.
Zemana AntiMalware - тоже лучше деинсталировать и оставить только Symantec AntiVirus.
земана под рукой.
макафи вебадвизор справляется также отлично, защищает от сайтов с рекламой

Tweaking.com - Windows Repair [20180827]-->"D:\Windows Repair\uninstall.exe" "/U:D:\Windows Repair\Uninstall\uninstall.xml"
не понятно зачем он у вас стоит. Вы что так что им пользуетесь? Тем более портабл версия есть.
под quote путь и аргументы пожалуйста ибо смайлик. АПД всё ок. Стоит давно, пользовался раза два

Всё выполняю.

Проблему с запуском всех системных приложений исправляю так:
PowerShell:
Set-ExecutionPolicy Unrestricted
Get-AppXPackage -AllUsers | Foreach {Add-AppxPackage -DisableDevelopmentMode -Register "$($_.InstallLocation)\AppXManifest.xml"}
ибо вылезает при калькуляторе: "Вам понадобится новое... открыть этот calculator"
 
Последнее редактирование:
regist

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,342
Реакции
5,919
Баллы
998
>>макафи вебадвизор справляется также отлично, защищает от сайтов с рекламой
Насчёт того, что отлично справляется не делает вид эффективной работы сомневаюсь, но если даже так. То зачем у вас тогда стоит?
AdGuard [2018/10/29 18:13:24]-->"C:\ProgramData\Package Cache\{61fb8e5f-dbdc-4481-bdee-fc580ad25a97}\setup.exe" /uninstall
AdGuard [20181029]-->MsiExec.exe /X{685F6AB3-7C61-42D1-AE5B-3864E48D1035}
Тем более я сомневаюсь, что McAfee WebAdvisor вы изначально сознательно ставили. Скорее всего пролез к вам без вашего ведома с другой прогой и задержался.

А антивирусные утилиты могут конфликтовать с вашим антивирусом, поэтому лучше удалить.
 
Moxito

Moxito

Пользователь
Сообщения
373
Реакции
35
Баллы
33
Тем более я сомневаюсь, что McAfee WebAdvisor вы изначально сознательно ставили. Скорее всего пролез к вам без вашего ведома с другой прогой и задержался.
Сам ставил.

А антивирусные утилиты могут конфликтовать с вашим антивирусом, поэтому лучше удалить.
Попозже удалю.

AdGuard [2018/10/29 18:13:24]-->"C:\ProgramData\Package Cache\{61fb8e5f-dbdc-4481-bdee-fc580ad25a97}\setup.exe" /uninstall
AdGuard [20181029]-->MsiExec.exe /X{685F6AB3-7C61-42D1-AE5B-3864E48D1035}
Долгая история, но пришёл к тому что эффективно блокирует большинство (больше чем макафи, но у обоих есть пробелы) рекламных сайтов

См. скриншоты
Post automatically merged:

Земана только что выбила вот такое вот сбщ
 

Вложения

regist

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,342
Реакции
5,919
Баллы
998
>>Земана только что выбила вот такое вот сбщ
Ничего плохого. Собственно из-за этого и не стоит подобные утилиты использовать. Вместо реальных угроз пугают такими алертами и конфликтуют с настоящими антивирусами.
 
regist

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,342
Реакции
5,919
Баллы
998
  • Пожалуйста, запустите adwcleaner.exe
  • В меню Настройки - Удалить AdwCleaner - выберите Удалить.
  • Подтвердите удаление, нажав кнопку: Да.
что с проблемой?
 
Moxito

Moxito

Пользователь
Сообщения
373
Реакции
35
Баллы
33
что с проблемой?
пробую засечь время перезапуска сейчас

  • Пожалуйста, запустите adwcleaner.exe
  • В меню Настройки - Удалить AdwCleaner - выберите Удалить.
  • Подтвердите удаление, нажав кнопку: Да.
+

Ничего плохого. Собственно из-за этого и не стоит подобные утилиты использовать. Вместо реальных угроз пугают такими алертами и конфликтуют с настоящими антивирусами.
реагирует на настройки ие (прокси и т.д.). собственно, удалю, но позже.
Post automatically merged:

собственно, перед перезапуском жду удаления ненужных программ и системной очистки диска
 
Последнее редактирование:
Moxito

Moxito

Пользователь
Сообщения
373
Реакции
35
Баллы
33
После перезагрузки проблема появляется? Судя по логам земана отбила атаку успешно.
нет

перезапуск составляет: 1 минута, 4 секунды
Post automatically merged:

 

Вложения

Последнее редактирование:
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу