• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Закрыто Программы сами закрываться и удаляются

Статус
В этой теме нельзя размещать новые ответы.

CrazyNick52

Новый пользователь
Сообщения
9
Симпатии
0
#1
Добрый день, столкнулся с проблемой!
Программы после начала работы на моём компьютере стали сами собой просто закрываться.
А после закрытия в большинстве случаев exe. файлы или нужные файлы для запуска программы просто бесследно исчезали. Пробовал сканировать компьютер различными антивирусными программами. Такими как:
-AVZ (закрывается после начало работы, спустя 2-5 минут. Запуск от имени администратора ничего не меняет)
-Dr.Web 11.5
-CCE
но без успешно, пытался подготовить Логи за инструкцией https://safezone.cc/pravila/ (Как подготовить логи? ), но во время работы, программа закрылась и все файлы пропали.
 

akok

Команда форума
Администратор
Сообщения
15,313
Симпатии
12,491
#2
Добрый вечер
Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS.
 

CrazyNick52

Новый пользователь
Сообщения
9
Симпатии
0
#3
Во время работы с программами они также были закрыты. Когда производилось уже сохранение отчёта из uVS программа закрывалась. Пробовал не один раз, и также всё тщательно проверил, везде запускал от имени администратора и строго следовал указаниям, но повторюсь, всё равно программы закрылись. Через 5-7 минут работы кажется. Картинка это сканирование программы которое автоматом начиналось после включения программы uVS, и это его результаты, не знаю будут ли они полезны...Логи кстати которые сохранял на роб.стол сохранились в виде пустого блокнота.
 

Вложения

Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
15,313
Симпатии
12,491
#4
Попробуйте запустить при помощи
1530045466299.png

Если опять закроется программа, то запустите UVS при помощи startf.exe
 

CrazyNick52

Новый пользователь
Сообщения
9
Симпатии
0
#5
Всё равно опять закрылась, а при помощи Startf.exe у меня ломались все шрифты и работали только две кнопки в программе которые отвечали за:
-Перезагрузка и включение программы раньше explorera
- Запуск под LocalSystem (Кажется). Но в этом варианте компьютер выдавал чёрный экран с курсором и ничего не происходило.
Зато мне удалось сделать обрывок Loga, но я не уверен что это именно то результат который мы хотели бы видеть
 

Вложения

CrazyNick52

Новый пользователь
Сообщения
9
Симпатии
0
#7
Удалось.
Загрузил систему в безопасном режиме и запустил программу uVS, провёл сканирование (автоматическое) и сохранил полный образ автозапуска.
 

Вложения

Sandor

Ассоциация VN/VIP
Сообщения
4,282
Симпатии
1,576
#8
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.0.12 [http://dsrt.dyndns.org]
    ;Target OS: NTv10.0
    v400c
    BREG
    ;---------command-block---------
    delref HTTP://MAIL.RU/CNT/10445?GP=811036
    apply
    
    zoo %SystemRoot%\RSS\CSRSS.EXE
    bl 14EE654CAA16C62A1A650F1306438612 3162624
    addsgn 1A850A9A5583338CF42B466B2BC8128EF501BE9AB2FF6BFEC7C3B1ACDBDB41CB6117461D4E2098A196CD849FCD564D39956BA772555160A76F1B9F2AB3806073 8 Trojan.Win32.AntiAV.crdp [Kaspersky] 7
    
    zoo %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\TEMP\CSRSS\MRT.EXE
    bl 2262802FADAF196687D35CD787092B14 1484800
    addsgn 9252626A366AC1CCE0CB724EA34F82391F8A450E500248FB483C2EB2C046E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 8 Backdoor.Win32.Agent.mytfip [Kaspersky] 7
    
    zoo %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\TEMP\CSRSS\SCHEDULED.EXE
    bl B65EF3B1179103472FCE60E4362897FD 3158016
    addsgn 1A8F499A5583C58CF42B5184F8095305DA9F74C6C8FA9AB8F1C13A6C3ACF99B60017C33D3F3F9DA116A0849FC5D245137FFFE87299167CE0E1BB68E34C4A0677 8 Trojan.Win32.AntiAV.crdu [Kaspersky] 7
    
    zoo %SystemRoot%\WINDEFENDER.EXE
    bl 027BF773676D7B82EFB313676CE4B9B3 1435136
    addsgn 9252623A376AC1CCE0BB734E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 DangerousObj.Multi.Generic [Kaspersky] 7
    
    zoo %Sys32%\DRIVERS\WINMON.SYS
    bl 69989105F151015C16A2F422F5722590 9352
    addsgn BA652BBE5D3D04F1E7F4E63ABE8099FCCDEDB2F689B294ABCD480AF4DB8A557C6B94077761BC2FB7D47F48530E9F15DE7588A0F1B9FAF8A728C0BA2FC74EA98A 64 Rootkit.Win64.Agent.avo [Kaspersky] 7
    
    zoo %Sys32%\DRIVERS\WINMONFS.SYS
    bl C6100C067D1E619B730BF23AB4045B17 23272
    addsgn BA652BBE5D3D04F1E7F4E63ABE8099FCCD9DFCF689B294ABCD480AF4DB8A557C6B94077761BC33B7D47F48530E9D4C57C32017376613F9941FD57B025E2D2273 64 Rootkit.Win64.Agent.avn [Kaspersky] 7
    
    zoo %Sys32%\DRIVERS\WINMONPROCESSMONITOR.SYS
    bl 290389E59CA9FE99CE1779F41F26D645 36096
    addsgn BA652BBE5D3D04F1E7F4E63ABE8099FCCD2D62F689B294ABCD480AF4DB8A557C6B94077761BC2FB7D47F48530E9F15DE7588A0F1B9FAF8A728E0DA2FC74EA98A 64 Rootkit.Win64.Agent.ayv [Kaspersky] 7
    
    zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\EPICNET INC\CLOUDNET\CLOUDNET.EXE
    bl 8891D02F5C3CEF84E7DD3CF57B0BE1AD 683008
    addsgn 71D13ED8176A4C7D8FAAAFB164695347678A7CCE608F12380EDB467C54D5B2EF2357895754553C913BC8846096B54DBA37DF632A69597328A46AAC6F8D062176 8 Tr-Proxy.Win32.Glupteba.gen [Kaspersky] 7
    
    chklst
    delvir
    
    regt 27
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве.

Пробуйте собрать этот же лог в обычном режиме. Не получится, соберите еще раз в безопасном.
 

CrazyNick52

Новый пользователь
Сообщения
9
Симпатии
0
#9
Не смог отправить файл через почту, из-за того что Google ссылаясь на вирус обнаруженный в архиве отказывается его отправлять вместе с письмом.
Ссылка на файл: тут была ссылка
Для справки, сохранение происходило в безопасном режиме ибо в обычном программа вылетала!
 
Последнее редактирование модератором:

akok

Команда форума
Администратор
Сообщения
15,313
Симпатии
12,491
#10
Перепакуйте папке zoo в папке с UVS используя пароль malware и попробуйте еще раз отправить.
 

akok

Команда форума
Администратор
Сообщения
15,313
Симпатии
12,491
#14
То вы карантин отправили. Сюда нужно прикрепить новый лог UVS. Если получится (а должно получиться), то собрать лог из обычного режима

Предварительные результаты, пока только по одному вендору.
CLOUDNET.EXE - HEUR:Trojan-Proxy.Win32.Glupteba.gen
CSRSS.EXE. - Trojan.Win32.AntiAV.crdp
MRT.EXE. - Backdoor.Win32.Agent.mytfip SCHEDULED.EXE._FD06F91DD3DA56B3066D5B180DF8EBC9E595A09D - Trojan.Win32.AntiAV.crdu
WINMON.SYS - Rootkit.Win64.Agent.avo
WINMONFS.SYS.- Rootkit.Win64.Agent.avn
WINMONPROCESSMONITOR.SYS. - Rootkit.Win64.Agent.ayv
WINDEFENDER.EXE - UDS:DangerousObject.Multi.Generic
 

CrazyNick52

Новый пользователь
Сообщения
9
Симпатии
0
#15
Извините, притупил немного. Вот логи, всё таки из Безопасного режима, ибо всё равно выкидывает из обычного.
(Скинул на почту)
 

Вложения

akok

Команда форума
Администратор
Сообщения
15,313
Симпатии
12,491
#16
Только в почту посты не дублируйте, там все кроме карантинов удаляется автоматически

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.0 [http://dsrt.dyndns.org]
    ;Target OS: NTv10.0
    v400c
    OFFSGNSAVE
    BREG
    vreg
    zoo %SystemRoot%\AACT.EXE
    delmz %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\EPICNET INC\CLOUDNET\CLOUDNET.EXE
    ; C:\WINDOWS\RSS\CSRSS.EXE
    zoo %SystemRoot%\RSS\CSRSS.EXE
    bl B65EF3B1179103472FCE60E4362897FD 3158016
    addsgn 1A8F499A5583C58CF42B5184F8095305DA9F74C6C8FA9AB8F1C13A6C3ACF99B60017C33D3F3F9DA116A0849FC5D245137FFFE87299167CE0E1BB68E34C4A0677 8 Trojan.Win32.AntiAV.crdu [Kaspersky] 7
    
    ; C:\USERS\ADMIN\APPDATA\LOCAL\TEMP\CSRSS\MRT.EXE
    zoo %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\TEMP\CSRSS\MRT.EXE
    bl 2262802FADAF196687D35CD787092B14 1484800
    addsgn 9252626A366AC1CCE0CB724EA34F82391F8A450E500248FB483C2EB2C046E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 8 Backdoor.Win32.Agent.mytfip [Kaspersky] 7
    
    ; C:\USERS\ADMIN\APPDATA\LOCAL\TEMP\CSRSS\SCHEDULED.EXE
    zoo %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\TEMP\CSRSS\SCHEDULED.EXE
    ; C:\WINDOWS\WINDEFENDER.EXE
    zoo %SystemRoot%\WINDEFENDER.EXE
    bl 027BF773676D7B82EFB313676CE4B9B3 1435136
    addsgn 9252623A376AC1CCE0BB734E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 DangerousObject.Multi.Generic 7
    
    ; C:\WINDOWS\SYSTEM32\DRIVERS\WINMON.SYS
    zoo %Sys32%\DRIVERS\WINMON.SYS
    bl 69989105F151015C16A2F422F5722590 9352
    addsgn BA652BBE5D3D04F1E7F4E63ABE8099FCCDEDB2F689B294ABCD480AF4DB8A557C6B94077761BC2FB7D47F48530E9F15DE7588A0F1B9FAF8A728C0BA2FC74EA98A 64 Rootkit.Win64.Agent.avo [Kaspersky] 7
    
    ; C:\WINDOWS\SYSTEM32\DRIVERS\WINMONFS.SYS
    zoo %Sys32%\DRIVERS\WINMONFS.SYS
    bl C6100C067D1E619B730BF23AB4045B17 23272
    addsgn BA652BBE5D3D04F1E7F4E63ABE8099FCCD9DFCF689B294ABCD480AF4DB8A557C6B94077761BC33B7D47F48530E9D4C57C32017376613F9941FD57B025E2D2273 64 Rootkit.Win64.Agent.avn [Kaspersky] 7
    
    ; C:\WINDOWS\SYSTEM32\DRIVERS\WINMONPROCESSMONITOR.SYS
    zoo %Sys32%\DRIVERS\WINMONPROCESSMONITOR.SYS
    bl 290389E59CA9FE99CE1779F41F26D645 36096
    addsgn BA652BBE5D3D04F1E7F4E63ABE8099FCCD2D62F689B294ABCD480AF4DB8A557C6B94077761BC2FB7D47F48530E9F15DE7588A0F1B9FAF8A728E0DA2FC74EA98A 64 Rootkit.Win64.Agent.ayv [Kaspersky] 7
    
    ; C:\USERS\ADMIN\APPDATA\ROAMING\EPICNET INC\CLOUDNET\CLOUDNET.EXE
    zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\EPICNET INC\CLOUDNET\CLOUDNET.EXE
    bl 8891D02F5C3CEF84E7DD3CF57B0BE1AD 683008
    addsgn 71D13ED8176A4C7D8FAAAFB164695347678A7CCE608F12380EDB467C54D5B2EF2357895754553C913BC8846096B54DBA37DF632A69597328A46AAC6F8D062176 8 Trojan-Proxy.Win32.Glupteba.gen 7
    
    chklst
    delvir
    
    
    
    czoo
    ;---------command-block---------
    delref HTTPS://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?P=MKO_AWFZXIPYRAHDGKBRHOJYN9_5EDL7QPPMXLKDUMXBQUYM9J6D9CNB-QET590NIRA_PHLHRZFOOEXGOKNDDFBJEP8IHSVN_XEOYDF0BGUSE5-IAQGWSKPZOLMRUDOTLLRWGHCTTHXRNJ6GBBAAYZHVGXNVLNVI1WD4KYWTYLVNI1UFPW4B3SNOAF2UOS
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\GOOGLEUPDATE.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\DROPBOXUPDATE.EXE
    delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE16\OLICENSEHEARTBEAT.EXE
    delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
    delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
    delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
    delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
    delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
    delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
    delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\CLIENT\DROPBOX.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\JAVA\JAVA UPDATE\JUSCHED.EXE
    delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
    delref %SystemRoot%\SYSWOW64\BLANK.HTM
    delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
    delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
    delref %SystemDrive%\PROGRAMDATA\VOYASOLLAM\DENTOFIND.DLL
    delref {C0D38E5A-7CF8-4105-8FE8-31B81443A114}\[CLSID]
    delref %Sys32%\BLANK.HTM
    delref %Sys32%\DRIVERS\VDYYNDYW.SYS
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
    delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
    delref %Sys32%\QUICKACTIONSPS.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
    delref %Sys32%\CHTADVANCEDDS.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.65.1\PSMACHINE.DLL
    delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\VIBER\VIBER.EXE
    apply
    areg
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве.
 

CrazyNick52

Новый пользователь
Сообщения
9
Симпатии
0
#18
Вечер добрый, сделал всё как вы и говорили, и Аллилуйя наконец-то кажется помогло. Внизу скинул ещё 1 Лог от uVS и Рапорты Касперского. uVS Больше не закрывался в обычном режиме, и другие программы которые раньше удалялись и выключались больше такой ахинеей не страдают.
 

Вложения

akok

Команда форума
Администратор
Сообщения
15,313
Симпатии
12,491
#19
Упакуйте с паролем malware c:\KVRT_Data\quarantine и пришлите нам по почте
 

akok

Команда форума
Администратор
Сообщения
15,313
Симпатии
12,491
#20
Теперь будем дочищать. Подготовьте лог автологера (тот, что в правилах оформления запроса)
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу