Решена Eset Endpoint Security выдает уведомление об инфицированной оперативной памяти

Статус
В этой теме нельзя размещать новые ответы.
mix1787

mix1787

Новый пользователь
Сообщения
25
Реакции
1
Eset Endpoint Security постоянно выдает уведомление "Оперативная память = svchost.exe(1368) модифицированный Win32/Injector.CKX...", пишет что изолировал вирус, но через 10-15 минут уведомление появляется вновь. Прошу Вас помочь.
 

Вложения

Последнее редактирование:
Извините, не знал, что им нужно. Сейчас соберу логи через него.
 
Ссылка на правила в сообщении выше.
 
7-Zip 9.23 alpha []-->"C:\Program Files\7-Zip\Uninstall.exe"
Нажмите для раскрытия...
- устарело, рекомендую обновить до последней бета.
Код: 
Java 8 Update 25 []-->MsiExec.exe /I{26A24AE4-039D-4CA4-87B4-2F83218025F0}
Java(TM) 7 Update 5 []-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83217005FF}
Также устарели и содержат много уязвимостей. Деинсталируйте их. Если Java требуется, то установите потом свежую Java 8.

SpyHunter - также деинсталируйте.

Baidu Browser - сознательно ставили? Используете?
 
+
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS.
 
Java обновлю. Baidu самостоятельно не ставил как и программу Tencent QQPCMgr. Они каким-то образом появились на компьютере вместе, последнюю вроде бы с горем пополам удалил, а baidu еще нет.
 
- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
Код: 
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Chrome\Adblock for Youtube.lnk
C:\Users\836D~1\AppData\Roaming\MICROS~1\Windows\STARTM~1\Programs\72BE~1.LNK
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\?????.lnk
C:\Users\836D~1\AppData\Roaming\MICROS~1\Windows\STARTM~1\Programs\Launcher\3D51~1.LNK
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Launcher\ґ«ЖжКўКА.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Launcher\Tools\Uninst.lnk
C:\Users\836D~1\AppData\Roaming\MICROS~1\Windows\STARTM~1\Programs\3910~1\72BE~1.LNK
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\?????\?????.lnk
C:\Users\Администратор\Start Menu\Programs\SpyHunter\SpyHunter.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TNod User & Password Finder\Загрузчик лицензий.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TNod User & Password Finder\Настройки.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TNod User & Password Finder\Обновить лицензию.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TNod User & Password Finder\Самая долгая лицензия.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TNod User & Password Finder\Сохранить текущую лицензию.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TNod User & Password Finder\Тихий режим.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Total Commander\Информация о сборке.lnk
C:\ProgramData\Rising\Rav\ShortCut\Repair.url

Жду лог uVS.
 
Выполните скрипт в Universal Virus Sniffer (UVS):
Код: 
;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
;------------------------autoscript---------------------------
sreg
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\BAIDU\BAIDUBROWSER\7.5.502.1781\MSGCENTER.EXE
del %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\BAIDU\BAIDUBROWSER\7.5.502.1781\MSGCENTER.EXE

delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\BAIDU\BAIDUBROWSER\7.5.502.1781\BDUPDATE.EXE
del %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\BAIDU\BAIDUBROWSER\7.5.502.1781\BDUPDATE.EXE

delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDWEBADAPTER\2.0.295.0\NPBDEXNP.DLL
del %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDWEBADAPTER\2.0.295.0\NPBDEXNP.DLL

delref HTTP://WWW.HAO123.COM/?TN=95430989_HAO_PG

delref %Sys32%\DRIVERS\BBENHANCE.SYS
del %Sys32%\DRIVERS\BBENHANCE.SYS

delref %Sys32%\DRIVERS\BBROWSERBOOST.SYS
del %Sys32%\DRIVERS\BBROWSERBOOST.SYS

delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\BAIDU\BAIDUBROWSER\BBSERVICE\2.0.2.231\BBSERVICE.EXE
del %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\BAIDU\BAIDUBROWSER\BBSERVICE\2.0.2.231\BBSERVICE.EXE

delref %SystemDrive%\PROGRAMDATA\BAIDU\BCSERVICE\2.0.3.124\BCSERVICE.EXE
del %SystemDrive%\PROGRAMDATA\BAIDU\BCSERVICE\2.0.3.124\BCSERVICE.EXE

delref %Sys32%\DRIVERS\BD0001.SYS
del %Sys32%\DRIVERS\BD0001.SYS

delref %Sys32%\DRIVERS\BDARKIT.SYS
del %Sys32%\DRIVERS\BDARKIT.SYS

delref %Sys32%\DRIVERS\BDUNIPTK.SYS
del %Sys32%\DRIVERS\BDUNIPTK.SYS

deldirex %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.8.16208.227

delref %Sys32%\TSSK.SYS
del %Sys32%\TSSK.SYS

delref %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\QQDOWNLOAD\130\TENCENTDL.EXE
del %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\QQDOWNLOAD\130\TENCENTDL.EXE

delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\BAIDU\BAIDUBROWSER\7.5.502.1781\BAIDUBROWSER.EXE
del %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\BAIDU\BAIDUBROWSER\7.5.502.1781\BAIDUBROWSER.EXE

delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\BAIDU\BAIDUBROWSER\7.5.502.1781\UNINST.EXE
del %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\BAIDU\BAIDUBROWSER\7.5.502.1781\UNINST.EXE

delref %SystemRoot%\TEMP\GJFIX\13521
delref %SystemRoot%\TEMP\14592
delref %SystemDrive%\PROGRAM FILES\RISING\RAV\RAVMOND.EXE
delref %SystemDrive%\PROGRAM FILES\RISING\RSD\RSMGRSVC.EXE
delref {ED269846-851F-462B-9AEA-2F7FDFB1D4E1}\[SERVICE]
del %Sys32%\DRIVERS\KGUARD.SYS
delref %Sys32%\DRIVERS\KGUARD.SYS
del %Sys32%\DRIVERS\PROTREG.SYS
delref %Sys32%\DRIVERS\PROTREG.SYS
delref HTTP://XTREME.WS/
delref HTTP://GUANJIA.QQ.COM/COMM-HTDOCS/QUICKACCESS/
delref %SystemDrive%\PROGRAM FILES\JAVA\JRE1.8.0_25\BIN\JP2SSV.DLL
deltmp
delref %SystemDrive%\PROGRAM FILES\ENIGMA SOFTWARE GROUP\SPYHUNTER\SPYHUNTER4.EXE
delref %SystemDrive%\PROGRAM FILES\ENIGMA SOFTWARE GROUP\SPYHUNTER\ESGIGUARD.SYS
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.8.16208.227\QMUDISK.SYS
delref %SystemDrive%\PROGRAM FILES\ENIGMA SOFTWARE GROUP\SPYHUNTER\SH4SERVICE.EXE
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.8.16208.227\TS888.SYS
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.8.16208.227\TAOFRAME.EXE
delref %SystemDrive%\PROGRAM FILES\LAUNCHER\LAUNCHER.EXE
delref %SystemDrive%\PROGRAM FILES\LAUNCHER\UNINST.EXE
delref D:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

deldirex %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\BAIDU
deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT
deldirex %SystemDrive%\PROGRAMDATA\BAIDU
areg
;-------------------------------------------------------------
Компьютер перезагрузится.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Для контроля сделайте новый полный образ автозапуска UVS.
 
Загрузите систему в безопасном режиме и выполните скрипт в UVS:
Код: 
;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\BAIDU\BAIDUBROWSER\BBSERVICE\2.0.2.231\UTILSDLL.DLL
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\BAIDU\BAIDUBROWSER\BBSERVICE\2.0.2.231\PLUGINS\{324C03EF-41AC-49C7-88CE-720C670629E2}\APIMGR.DLL
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\BAIDU\BAIDUBROWSER\BBSERVICE\2.0.2.231\REPORTDLL.DLL
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\BAIDU\BAIDUBROWSER\BBSERVICE\2.0.2.231\PLUGINFRAME.DLL
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\BAIDU\BAIDUBROWSER\BBSERVICE\2.0.2.231\PLUGINS\{5F68585C-AF28-4793-9360-66E51B87947C}\BDARUTILS.DLL
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\BAIDU\BAIDUBROWSER\BBSERVICE\2.0.2.231\PROTOCOLDLL.DLL
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\BAIDU\BAIDUBROWSER\BBSERVICE\2.0.2.231\PLUGINS\{48A02D42-CF48-4601-9126-5F90C2D01273}\IPC.DLL
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\BAIDU\BAIDUBROWSER\BBSERVICE\2.0.2.231\PLUGINS\{592254AB-91DF-4891-BD3B-EB545947521B}\CHECKER.DLL
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\BAIDU\BAIDUBROWSER\BBSERVICE\2.0.2.231\PLUGINS\{67FE3974-A0E7-4969-B407-A1F43001398C}\BBROWSERMGR.DLL
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\BAIDU\BAIDUBROWSER\BBSERVICE\2.0.2.231\PLUGINS\{176966FA-0615-4A30-8CE0-1018EEFED0D2}\DRIVERMANAGER.DLL
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\BAIDU\BAIDUBROWSER\BBSERVICE\2.0.2.231\PLUGINS\{67FE3974-A0E7-4969-B407-A1F43001398C}\BROWSEREXP.DLL
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\BAIDU\BAIDUBROWSER\BBSERVICE\2.0.2.231\PLUGINS\{2A53DBDC-6363-4742-8166-C38D1E5A4CF6}\BDXCORE.DLL
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\BAIDU\BAIDUBROWSER\BBSERVICE\2.0.2.231\PLUGINS\{5F68585C-AF28-4793-9360-66E51B87947C}\ARKIT.DLL
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\BAIDU\BAIDUBROWSER\BBSERVICE\2.0.2.231\REPORTRECORDDLL.DLL
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\BAIDU\BAIDUBROWSER\BBSERVICE\2.0.2.231\DL.DLL
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\BAIDU\BAIDUBROWSER\BBSERVICE\2.0.2.231\DOWNLOADDLL.DLL
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\BAIDU\BAIDUBROWSER\BBSERVICE\2.0.2.231\BASEDLL.DLL
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\BAIDU\BAIDUBROWSER\PLUGIN\EXTENDS\{6621B6C5-7C33-48AB-B124-735D58A68A10}\1.0.0.42\BDSAFECENTER.EXE
deldir %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\BAIDU
delref %Sys32%\DRIVERS\KGUARD.SYS
delall %Sys32%\DRIVERS\RSUTILS.SYS
delall %Sys32%\DRIVERS\RDVGKMD.SYS
delref %SystemDrive%\PROGRAM FILES\TNOD USER & PASSWORD FINDER\TNODUP.EXE
restart
После перезагрузки прикрепите свежий лог выполнения скрипта.
 
Статус
В этой теме нельзя размещать новые ответы.

Похожие темы

Candellmans
  • Статья Статья
ESET пропатчила опасную уязвимость в антивирусе для Windows
Ответы
0
Просмотры
302
Candellmans
Candellmans
P
Промо акция от ESET
Ответы
0
Просмотры
855
pasnad
P
akok
Обзор ESET Threat Intelligence
Ответы
0
Просмотры
1K
akok
akok
Назад
Сверху Снизу