Закрыто Программы сами закрываться и удаляются

Статус
В этой теме нельзя размещать новые ответы.

CrazyNick52

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
Добрый день, столкнулся с проблемой!
Программы после начала работы на моём компьютере стали сами собой просто закрываться.
А после закрытия в большинстве случаев exe. файлы или нужные файлы для запуска программы просто бесследно исчезали. Пробовал сканировать компьютер различными антивирусными программами. Такими как:
-AVZ (закрывается после начало работы, спустя 2-5 минут. Запуск от имени администратора ничего не меняет)
-Dr.Web 11.5
-CCE
но без успешно, пытался подготовить Логи за инструкцией https://safezone.cc/pravila/ (Как подготовить логи? ), но во время работы, программа закрылась и все файлы пропали.
 

akok

Команда форума
Администратор
Сообщения
16,220
Реакции
12,915
Баллы
2,203
Добрый вечер
Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS.
 

CrazyNick52

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
Во время работы с программами они также были закрыты. Когда производилось уже сохранение отчёта из uVS программа закрывалась. Пробовал не один раз, и также всё тщательно проверил, везде запускал от имени администратора и строго следовал указаниям, но повторюсь, всё равно программы закрылись. Через 5-7 минут работы кажется. Картинка это сканирование программы которое автоматом начиналось после включения программы uVS, и это его результаты, не знаю будут ли они полезны...Логи кстати которые сохранял на роб.стол сохранились в виде пустого блокнота.
 

Вложения

Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
16,220
Реакции
12,915
Баллы
2,203
Попробуйте запустить при помощи
1530045466299.png

Если опять закроется программа, то запустите UVS при помощи startf.exe
 

CrazyNick52

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
Всё равно опять закрылась, а при помощи Startf.exe у меня ломались все шрифты и работали только две кнопки в программе которые отвечали за:
-Перезагрузка и включение программы раньше explorera
- Запуск под LocalSystem (Кажется). Но в этом варианте компьютер выдавал чёрный экран с курсором и ничего не происходило.
Зато мне удалось сделать обрывок Loga, но я не уверен что это именно то результат который мы хотели бы видеть
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,634
Реакции
1,712
Баллы
433
Последнее редактирование:

CrazyNick52

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
Удалось.
Загрузил систему в безопасном режиме и запустил программу uVS, провёл сканирование (автоматическое) и сохранил полный образ автозапуска.
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,634
Реакции
1,712
Баллы
433
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.0.12 [http://dsrt.dyndns.org]
    ;Target OS: NTv10.0
    v400c
    BREG
    ;---------command-block---------
    delref HTTP://MAIL.RU/CNT/10445?GP=811036
    apply
    
    zoo %SystemRoot%\RSS\CSRSS.EXE
    bl 14EE654CAA16C62A1A650F1306438612 3162624
    addsgn 1A850A9A5583338CF42B466B2BC8128EF501BE9AB2FF6BFEC7C3B1ACDBDB41CB6117461D4E2098A196CD849FCD564D39956BA772555160A76F1B9F2AB3806073 8 Trojan.Win32.AntiAV.crdp [Kaspersky] 7
    
    zoo %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\TEMP\CSRSS\MRT.EXE
    bl 2262802FADAF196687D35CD787092B14 1484800
    addsgn 9252626A366AC1CCE0CB724EA34F82391F8A450E500248FB483C2EB2C046E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 8 Backdoor.Win32.Agent.mytfip [Kaspersky] 7
    
    zoo %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\TEMP\CSRSS\SCHEDULED.EXE
    bl B65EF3B1179103472FCE60E4362897FD 3158016
    addsgn 1A8F499A5583C58CF42B5184F8095305DA9F74C6C8FA9AB8F1C13A6C3ACF99B60017C33D3F3F9DA116A0849FC5D245137FFFE87299167CE0E1BB68E34C4A0677 8 Trojan.Win32.AntiAV.crdu [Kaspersky] 7
    
    zoo %SystemRoot%\WINDEFENDER.EXE
    bl 027BF773676D7B82EFB313676CE4B9B3 1435136
    addsgn 9252623A376AC1CCE0BB734E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 DangerousObj.Multi.Generic [Kaspersky] 7
    
    zoo %Sys32%\DRIVERS\WINMON.SYS
    bl 69989105F151015C16A2F422F5722590 9352
    addsgn BA652BBE5D3D04F1E7F4E63ABE8099FCCDEDB2F689B294ABCD480AF4DB8A557C6B94077761BC2FB7D47F48530E9F15DE7588A0F1B9FAF8A728C0BA2FC74EA98A 64 Rootkit.Win64.Agent.avo [Kaspersky] 7
    
    zoo %Sys32%\DRIVERS\WINMONFS.SYS
    bl C6100C067D1E619B730BF23AB4045B17 23272
    addsgn BA652BBE5D3D04F1E7F4E63ABE8099FCCD9DFCF689B294ABCD480AF4DB8A557C6B94077761BC33B7D47F48530E9D4C57C32017376613F9941FD57B025E2D2273 64 Rootkit.Win64.Agent.avn [Kaspersky] 7
    
    zoo %Sys32%\DRIVERS\WINMONPROCESSMONITOR.SYS
    bl 290389E59CA9FE99CE1779F41F26D645 36096
    addsgn BA652BBE5D3D04F1E7F4E63ABE8099FCCD2D62F689B294ABCD480AF4DB8A557C6B94077761BC2FB7D47F48530E9F15DE7588A0F1B9FAF8A728E0DA2FC74EA98A 64 Rootkit.Win64.Agent.ayv [Kaspersky] 7
    
    zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\EPICNET INC\CLOUDNET\CLOUDNET.EXE
    bl 8891D02F5C3CEF84E7DD3CF57B0BE1AD 683008
    addsgn 71D13ED8176A4C7D8FAAAFB164695347678A7CCE608F12380EDB467C54D5B2EF2357895754553C913BC8846096B54DBA37DF632A69597328A46AAC6F8D062176 8 Tr-Proxy.Win32.Glupteba.gen [Kaspersky] 7
    
    chklst
    delvir
    
    regt 27
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве.

Пробуйте собрать этот же лог в обычном режиме. Не получится, соберите еще раз в безопасном.
 

CrazyNick52

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
Не смог отправить файл через почту, из-за того что Google ссылаясь на вирус обнаруженный в архиве отказывается его отправлять вместе с письмом.
Ссылка на файл: тут была ссылка
Для справки, сохранение происходило в безопасном режиме ибо в обычном программа вылетала!
 
Последнее редактирование модератором:

akok

Команда форума
Администратор
Сообщения
16,220
Реакции
12,915
Баллы
2,203
Перепакуйте папке zoo в папке с UVS используя пароль malware и попробуйте еще раз отправить.
 

CrazyNick52

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
Отправил
 

akok

Команда форума
Администратор
Сообщения
16,220
Реакции
12,915
Баллы
2,203
То вы карантин отправили. Сюда нужно прикрепить новый лог UVS. Если получится (а должно получиться), то собрать лог из обычного режима

Предварительные результаты, пока только по одному вендору.
CLOUDNET.EXE - HEUR:Trojan-Proxy.Win32.Glupteba.gen
CSRSS.EXE. - Trojan.Win32.AntiAV.crdp
MRT.EXE. - Backdoor.Win32.Agent.mytfip SCHEDULED.EXE._FD06F91DD3DA56B3066D5B180DF8EBC9E595A09D - Trojan.Win32.AntiAV.crdu
WINMON.SYS - Rootkit.Win64.Agent.avo
WINMONFS.SYS.- Rootkit.Win64.Agent.avn
WINMONPROCESSMONITOR.SYS. - Rootkit.Win64.Agent.ayv
WINDEFENDER.EXE - UDS:DangerousObject.Multi.Generic
 

CrazyNick52

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
Извините, притупил немного. Вот логи, всё таки из Безопасного режима, ибо всё равно выкидывает из обычного.
(Скинул на почту)
 

Вложения

akok

Команда форума
Администратор
Сообщения
16,220
Реакции
12,915
Баллы
2,203
Только в почту посты не дублируйте, там все кроме карантинов удаляется автоматически

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.0 [http://dsrt.dyndns.org]
    ;Target OS: NTv10.0
    v400c
    OFFSGNSAVE
    BREG
    vreg
    zoo %SystemRoot%\AACT.EXE
    delmz %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\EPICNET INC\CLOUDNET\CLOUDNET.EXE
    ; C:\WINDOWS\RSS\CSRSS.EXE
    zoo %SystemRoot%\RSS\CSRSS.EXE
    bl B65EF3B1179103472FCE60E4362897FD 3158016
    addsgn 1A8F499A5583C58CF42B5184F8095305DA9F74C6C8FA9AB8F1C13A6C3ACF99B60017C33D3F3F9DA116A0849FC5D245137FFFE87299167CE0E1BB68E34C4A0677 8 Trojan.Win32.AntiAV.crdu [Kaspersky] 7
    
    ; C:\USERS\ADMIN\APPDATA\LOCAL\TEMP\CSRSS\MRT.EXE
    zoo %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\TEMP\CSRSS\MRT.EXE
    bl 2262802FADAF196687D35CD787092B14 1484800
    addsgn 9252626A366AC1CCE0CB724EA34F82391F8A450E500248FB483C2EB2C046E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 8 Backdoor.Win32.Agent.mytfip [Kaspersky] 7
    
    ; C:\USERS\ADMIN\APPDATA\LOCAL\TEMP\CSRSS\SCHEDULED.EXE
    zoo %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\TEMP\CSRSS\SCHEDULED.EXE
    ; C:\WINDOWS\WINDEFENDER.EXE
    zoo %SystemRoot%\WINDEFENDER.EXE
    bl 027BF773676D7B82EFB313676CE4B9B3 1435136
    addsgn 9252623A376AC1CCE0BB734E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 DangerousObject.Multi.Generic 7
    
    ; C:\WINDOWS\SYSTEM32\DRIVERS\WINMON.SYS
    zoo %Sys32%\DRIVERS\WINMON.SYS
    bl 69989105F151015C16A2F422F5722590 9352
    addsgn BA652BBE5D3D04F1E7F4E63ABE8099FCCDEDB2F689B294ABCD480AF4DB8A557C6B94077761BC2FB7D47F48530E9F15DE7588A0F1B9FAF8A728C0BA2FC74EA98A 64 Rootkit.Win64.Agent.avo [Kaspersky] 7
    
    ; C:\WINDOWS\SYSTEM32\DRIVERS\WINMONFS.SYS
    zoo %Sys32%\DRIVERS\WINMONFS.SYS
    bl C6100C067D1E619B730BF23AB4045B17 23272
    addsgn BA652BBE5D3D04F1E7F4E63ABE8099FCCD9DFCF689B294ABCD480AF4DB8A557C6B94077761BC33B7D47F48530E9D4C57C32017376613F9941FD57B025E2D2273 64 Rootkit.Win64.Agent.avn [Kaspersky] 7
    
    ; C:\WINDOWS\SYSTEM32\DRIVERS\WINMONPROCESSMONITOR.SYS
    zoo %Sys32%\DRIVERS\WINMONPROCESSMONITOR.SYS
    bl 290389E59CA9FE99CE1779F41F26D645 36096
    addsgn BA652BBE5D3D04F1E7F4E63ABE8099FCCD2D62F689B294ABCD480AF4DB8A557C6B94077761BC2FB7D47F48530E9F15DE7588A0F1B9FAF8A728E0DA2FC74EA98A 64 Rootkit.Win64.Agent.ayv [Kaspersky] 7
    
    ; C:\USERS\ADMIN\APPDATA\ROAMING\EPICNET INC\CLOUDNET\CLOUDNET.EXE
    zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\EPICNET INC\CLOUDNET\CLOUDNET.EXE
    bl 8891D02F5C3CEF84E7DD3CF57B0BE1AD 683008
    addsgn 71D13ED8176A4C7D8FAAAFB164695347678A7CCE608F12380EDB467C54D5B2EF2357895754553C913BC8846096B54DBA37DF632A69597328A46AAC6F8D062176 8 Trojan-Proxy.Win32.Glupteba.gen 7
    
    chklst
    delvir
    
    
    
    czoo
    ;---------command-block---------
    delref HTTPS://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?P=MKO_AWFZXIPYRAHDGKBRHOJYN9_5EDL7QPPMXLKDUMXBQUYM9J6D9CNB-QET590NIRA_PHLHRZFOOEXGOKNDDFBJEP8IHSVN_XEOYDF0BGUSE5-IAQGWSKPZOLMRUDOTLLRWGHCTTHXRNJ6GBBAAYZHVGXNVLNVI1WD4KYWTYLVNI1UFPW4B3SNOAF2UOS
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\GOOGLEUPDATE.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\DROPBOXUPDATE.EXE
    delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE16\OLICENSEHEARTBEAT.EXE
    delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
    delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
    delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
    delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
    delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
    delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
    delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\CLIENT\DROPBOX.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\JAVA\JAVA UPDATE\JUSCHED.EXE
    delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
    delref %SystemRoot%\SYSWOW64\BLANK.HTM
    delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
    delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
    delref %SystemDrive%\PROGRAMDATA\VOYASOLLAM\DENTOFIND.DLL
    delref {C0D38E5A-7CF8-4105-8FE8-31B81443A114}\[CLSID]
    delref %Sys32%\BLANK.HTM
    delref %Sys32%\DRIVERS\VDYYNDYW.SYS
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
    delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
    delref %Sys32%\QUICKACTIONSPS.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
    delref %Sys32%\CHTADVANCEDDS.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.65.1\PSMACHINE.DLL
    delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\VIBER\VIBER.EXE
    apply
    areg
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве.
 

CrazyNick52

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
Вечер добрый, сделал всё как вы и говорили, и Аллилуйя наконец-то кажется помогло. Внизу скинул ещё 1 Лог от uVS и Рапорты Касперского. uVS Больше не закрывался в обычном режиме, и другие программы которые раньше удалялись и выключались больше такой ахинеей не страдают.
 

Вложения

akok

Команда форума
Администратор
Сообщения
16,220
Реакции
12,915
Баллы
2,203
Упакуйте с паролем malware c:\KVRT_Data\quarantine и пришлите нам по почте
 

akok

Команда форума
Администратор
Сообщения
16,220
Реакции
12,915
Баллы
2,203
Теперь будем дочищать. Подготовьте лог автологера (тот, что в правилах оформления запроса)
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу