Решена Вредоносное ПО taskmgr.exe.lnk и svchost

Статус
В этой теме нельзя размещать новые ответы.

Moxito

Вечная память
Сообщения
421
Реакции
41
Искал длл для игры, скачал, круто, работает, но появились taskmgr.exe.lnk и svchost. Комп тупит, земана ели-ели что-то делает. Вот скриншот, сумел сделать с лагами. Ну и логи соответственно тут. Подозреваю что хватанул майнера. Делал с другой учётки. Я офигел.
 

Вложения

  • Screenshot_12.png
    Screenshot_12.png
    149.3 KB · Просмотры: 88
  • CollectionLog-2018.12.26-15.37.zip
    99.1 KB · Просмотры: 5
Предупреждение
Для прочтения https://safezone.cc/threads/rules/, внимательно читаем пункты о названиях тем и использования обсценной лексики
 
Пока в логах ничего примечательного

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Выполнил
 

Вложения

  • FRST.txt
    90.2 KB · Просмотры: 3
  • Addition.txt
    89.6 KB · Просмотры: 1
Сами настраивали?
HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxySettingsPerUser] 0 <==== ATTENTION (Restriction - ProxySettings)

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    File:C:\WINDOWS\System32\browser.dll
    2018-10-30 13:38 - 2018-10-30 13:38 - 000000073 _____ () C:\Users\Moxito\chromelnk.bat
    2018-10-30 13:38 - 2018-10-30 13:38 - 000000073 _____ () C:\Users\Moxito\edgelnk.bat
    2018-10-30 13:38 - 2018-10-30 13:38 - 000000073 _____ () C:\Users\Moxito\firefoxlnk.bat
    2018-10-30 13:38 - 2018-10-30 13:38 - 000000073 _____ () C:\Users\Moxito\operalnk.bat
    ContextMenuHandlers4: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} =>  -> No File
    ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
    ContextMenuHandlers6: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} =>  -> No File
    AlternateDataStreams: C:\ProgramData\TEMP:10D14739 [244]
    AlternateDataStreams: C:\Users\Все пользователи\TEMP:10D14739 [244]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
После перезагрузки проблема появляется? Судя по логам земана отбила атаку успешно.
 
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxySettingsPerUser] 0 <==== ATTENTION (Restriction - ProxySettings)
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Вылезло при старте (скрин)
логи

Постоянно вылезает окошко с каким-то ms-...
долго перезагружался пк
 

Вложения

  • Screenshot_13.png
    Screenshot_13.png
    243 KB · Просмотры: 76
  • FRST.txt
    90.2 KB · Просмотры: 3
Последнее редактирование модератором:
  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Выполните загрузку в безопасном режиме. Если проблема не наблюдается, причина кроется в сторонней службе или программе. В этом случае выполните следующие действия.
Пуск - Поиск / Выполнить - msconfig - ОК и перейдите на вкладку Службы. Установите флажок Не отображать службы Microsoft.
Отключите все отображенные службы (имеются в виду только не принадлежащие Microsoft) и перезагрузитесь. Если проблема не появляется, причина в одной из этих служб.

Далее действуйте методом "половинного деления". Включите половину служб и снова перезагрузитесь. Если проблема не появляется, причина в оставшихся отключенных службах. Если проблема воспроизводится, причина во включенных службах - отключите половину из них и снова перезагрузитесь. Действуя таким образом, вы сможете выявить службу, являющуюся причиной проблемы, и определить программу, которой она принадлежит.
Аналогичным образом можно поступить на вкладке Автозагрузка.
Здесь тоже не следует отключать пункты, производителем которых является Microsoft. Отключение программ других производителей может привести к неправильной работе устройств в том случае, если вы отключите их драйверы. Поэтому программы производителей вашего аппаратного обеспечения (например, Intel) лучше не отключать, либо отключать в самую последнюю очередь.

Далее можно порекомендовать лишь обновление программы до последней версии или ее удаление.

Подробнее об этой диагностике читайте здесь.
 
ok, post: 267465, member: 1"]
  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Выполните загрузку в безопасном режиме. Если проблема не наблюдается, причина кроется в сторонней службе или программе. В этом случае выполните следующие действия.
Пуск - Поиск / Выполнить - msconfig - ОК и перейдите на вкладку Службы. Установите флажок Не отображать службы Microsoft.
Отключите все отображенные службы (имеются в виду только не принадлежащие Microsoft) и перезагрузитесь. Если проблема не появляется, причина в одной из этих служб.

Далее действуйте методом "половинного деления". Включите половину служб и снова перезагрузитесь. Если проблема не появляется, причина в оставшихся отключенных службах. Если проблема воспроизводится, причина во включенных службах - отключите половину из них и снова перезагрузитесь. Действуя таким образом, вы сможете выявить службу, являющуюся причиной проблемы, и определить программу, которой она принадлежит.
Аналогичным образом можно поступить на вкладке Автозагрузка.
Здесь тоже не следует отключать пункты, производителем которых является Microsoft. Отключение программ других производителей может привести к неправильной работе устройств в том случае, если вы отключите их драйверы. Поэтому программы производителей вашего аппаратного обеспечения (например, Intel) лучше не отключать, либо отключать в самую последнюю очередь.

Далее можно порекомендовать лишь обновление программы до последней версии или ее удаление.

Подробнее об этой диагностике читайте здесь.
Зачем отключать что-то, если проблемы нет?
Адвклинер позже
 
>>Зачем отключать что-то, если проблемы нет?
Для диагностики, вы же сами выше жалуетесь на проблему.

+ McAfee WebAdvisor [20180809]-->C:\Program Files\McAfee\WebAdvisor\Uninstaller.exe
деинсталируйте.
Zemana AntiMalware - тоже лучше деинсталировать и оставить только Symantec AntiVirus.

Tweaking.com - Windows Repair [20180827]-->"D:\Windows Repair\uninstall.exe" "/U:D:\Windows Repair\Uninstall\uninstall.xml"
не понятно зачем он у вас стоит. Вы что так что им пользуетесь? Тем более портабл версия есть.

+ немного мусор с ярлыками почистим.
- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
Код:
C:\Users\Moxito\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\McAfee WebAdvisor.lnk
C:\Users\Moxito\Desktop\Cities Skylines - Deluxe Edition.lnk
C:\Users\Moxito\Desktop\Papers, Please.lnk
C:\Users\Public\Desktop\Anno 2070.Deluxe Edition.v 2.0.7780.0 + 10 DLC.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\GUI.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RansomStopper.lnk
C:\Users\DefaultAppPool\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk
C:\Users\Moxito\AppData\Local\Packages\TelegramMessengerLLP.TelegramDesktop_t4vj0pshhgkwm\LocalCache\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Универсальный биндер 2.3 by Квас.lnk
C:\Users\knfed\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\McAfee WebAdvisor.lnk
C:\Users\.NET v4.5 Classic\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk
C:\Users\.NET v4.5\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk

+ Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 
+ McAfee WebAdvisor [20180809]-->C:\Program Files\McAfee\WebAdvisor\Uninstaller.exe
деинсталируйте.
Zemana AntiMalware - тоже лучше деинсталировать и оставить только Symantec AntiVirus.
земана под рукой.
макафи вебадвизор справляется также отлично, защищает от сайтов с рекламой

Tweaking.com - Windows Repair [20180827]-->"D:\Windows Repair\uninstall.exe" "/U:D:\Windows Repair\Uninstall\uninstall.xml"
не понятно зачем он у вас стоит. Вы что так что им пользуетесь? Тем более портабл версия есть.
под quote путь и аргументы пожалуйста ибо смайлик. АПД всё ок. Стоит давно, пользовался раза два

Всё выполняю.

Проблему с запуском всех системных приложений исправляю так:
PowerShell:
Set-ExecutionPolicy Unrestricted
Get-AppXPackage -AllUsers | Foreach {Add-AppxPackage -DisableDevelopmentMode -Register "$($_.InstallLocation)\AppXManifest.xml"}
ибо вылезает при калькуляторе: "Вам понадобится новое... открыть этот calculator"
 
Последнее редактирование:
>>макафи вебадвизор справляется также отлично, защищает от сайтов с рекламой
Насчёт того, что отлично справляется не делает вид эффективной работы сомневаюсь, но если даже так. То зачем у вас тогда стоит?
AdGuard [2018/10/29 18:13:24]-->"C:\ProgramData\Package Cache\{61fb8e5f-dbdc-4481-bdee-fc580ad25a97}\setup.exe" /uninstall
AdGuard [20181029]-->MsiExec.exe /X{685F6AB3-7C61-42D1-AE5B-3864E48D1035}
Тем более я сомневаюсь, что McAfee WebAdvisor вы изначально сознательно ставили. Скорее всего пролез к вам без вашего ведома с другой прогой и задержался.

А антивирусные утилиты могут конфликтовать с вашим антивирусом, поэтому лучше удалить.
 
Тем более я сомневаюсь, что McAfee WebAdvisor вы изначально сознательно ставили. Скорее всего пролез к вам без вашего ведома с другой прогой и задержался.
Сам ставил.

А антивирусные утилиты могут конфликтовать с вашим антивирусом, поэтому лучше удалить.
Попозже удалю.

AdGuard [2018/10/29 18:13:24]-->"C:\ProgramData\Package Cache\{61fb8e5f-dbdc-4481-bdee-fc580ad25a97}\setup.exe" /uninstall
AdGuard [20181029]-->MsiExec.exe /X{685F6AB3-7C61-42D1-AE5B-3864E48D1035}
Долгая история, но пришёл к тому что эффективно блокирует большинство (больше чем макафи, но у обоих есть пробелы) рекламных сайтов



Земана только что выбила вот такое вот сбщ
 

Вложения

  • AdwCleaner[S01].txt
    1.4 KB · Просмотры: 2
Последнее редактирование модератором:
>>Земана только что выбила вот такое вот сбщ
Ничего плохого. Собственно из-за этого и не стоит подобные утилиты использовать. Вместо реальных угроз пугают такими алертами и конфликтуют с настоящими антивирусами.
 
  • Пожалуйста, запустите adwcleaner.exe
  • В меню Настройки - Удалить AdwCleaner - выберите Удалить.
  • Подтвердите удаление, нажав кнопку: Да.

что с проблемой?
 
что с проблемой?
пробую засечь время перезапуска сейчас

  • Пожалуйста, запустите adwcleaner.exe
  • В меню Настройки - Удалить AdwCleaner - выберите Удалить.
  • Подтвердите удаление, нажав кнопку: Да.
+

Ничего плохого. Собственно из-за этого и не стоит подобные утилиты использовать. Вместо реальных угроз пугают такими алертами и конфликтуют с настоящими антивирусами.
реагирует на настройки ие (прокси и т.д.). собственно, удалю, но позже.

собственно, перед перезапуском жду удаления ненужных программ и системной очистки диска
 
Последнее редактирование модератором:

Вложения

  • ClearLNK-2018.12.27_10.33.01.log
    4 KB · Просмотры: 1
Последнее редактирование модератором:
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу