Подозрительный файл connost.exe

vladmc · 13.12.2019, 18:56

После обновления Windows 10 12.12.2019 появилась ошибка 0xc0000142, из советов по решению этой проблемной ошибки выбрал восстановить систему по точке восстановления. После попыток компьютера это сделать вылезла ошибка о сбое в загрузке системы. Выполнил удаление исправлений Windows после чего комп загрузился. Теперь Касперский (это было и 12.12, как мне сообщила жена) ловит в карантин файл connost.exe находящийся в C:\intel\bin и обзывает его not.a.virus Win32.bitcoinmayner ... чего-то там. Также файл C:\ProgramData\Windows\Profile\1.vbs пытается создать ключ или параметр в защищенном ключе реестра. И ещё файл C:\Windows\System32\conhost.exe пытается выполнить действия с адресным пространством процесса Windows Command Processor

Vvvyg · 14.12.2019, 00:03

Скопируйте скрипт из окна "код" ниже в буфер обмена:

Код:

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
deltsk "POWERSHELL.EXE" -C "$DDD = 'V23EQRAMTKSVLL8VSS3DLDTB3XZUL8OYNASYSSCSNWJ9FZ0FOHCMTOUWNWLOBNYQKGY6CCDAGTQ9WFAAXUPIFFAZHBYJX91EQ0CKLVJUTNGNTLYKLAT4CNKZGRPWEJVMSHX0MLJ4MZCLCVJRWFLERSZC3DVUNAIS31G7V9TIY0KLPSCYGROMEEHOTAGCNTEY5ZODEPB3+QS1STIZMHX6FVOIPGICPCFFI0A/DF
delref 1.VBS
deltsk DLCHOSTS.EXE
deltsk DLHOSTS.EXE
delall %SystemDrive%\PROGRAMDATA\WINDOWS\PROFILE\1.VBS
deltmp
delnfr
apply
restart

Закройте все броузеры, запустите командный файл script.cmd из папки с uVS. Когда откроется окно со скриптом, нажмите "Выполнить".
Компьютер перезагрузится.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Сделайте лог Farbar Recovery Scan Tool.

vladmc · 14.12.2019, 01:29

Вот логи, но после выполнения script.cmd не было перезагрузки

Vvvyg · 14.12.2019, 13:46

Там всё сложно. похоже.
Сделайте новый полный образ автозапуска, только запускайте UVS не под текущим пользователем, а под LocalSystem. И антивирус на время отключите.

vladmc · 14.12.2019, 21:15

Ух надеюсь справимся

Vvvyg · 15.12.2019, 00:05

Да похоже, справились. Симптомы пропали?

14.12.2019, 00:03	#2 (permalink)
Vvvyg Member Регистрация: 17.05.2011 Адрес: Тула Сообщений: 9,825 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 9863	Скопируйте скрипт из окна "код" ниже в буфер обмена: Код: ;uVS v4.1.8 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c deltsk "POWERSHELL.EXE" -C "$DDD = 'V23EQRAMTKSVLL8VSS3DLDTB3XZUL8OYNASYSSCSNWJ9FZ0FOHCMTOUWNWLOBNYQKGY6CCDAGTQ9WFAAXUPIFFAZHBYJX91EQ0CKLVJUTNGNTLYKLAT4CNKZGRPWEJVMSHX0MLJ4MZCLCVJRWFLERSZC3DVUNAIS31G7V9TIY0KLPSCYGROMEEHOTAGCNTEY5ZODEPB3+QS1STIZMHX6FVOIPGICPCFFI0A/DF delref 1.VBS deltsk DLCHOSTS.EXE deltsk DLHOSTS.EXE delall %SystemDrive%\PROGRAMDATA\WINDOWS\PROFILE\1.VBS deltmp delnfr apply restart Закройте все броузеры, запустите командный файл script.cmd из папки с uVS. Когда откроется окно со скриптом, нажмите "Выполнить". Компьютер перезагрузится. В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению. Сделайте лог Farbar Recovery Scan Tool.

Опции темы
Версия для печати Отправить по электронной почте
Опции просмотра
Линейный вид Комбинированный вид Древовидный вид

13.12.2019, 18:56
Helpmaster Member Регистрация: 08.03.2016 Сообщений: 0	Поищите информацию в похожих темах Запустил подозрительный файл прошу проверить. Подозрительный скрипт для uVS подозрительный файл в auto3script в system 32

14.12.2019, 13:46	#4 (permalink)
Vvvyg Member Регистрация: 17.05.2011 Адрес: Тула Сообщений: 9,825 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 9863	Там всё сложно. похоже. Сделайте новый полный образ автозапуска, только запускайте UVS не под текущим пользователем, а под LocalSystem. И антивирус на время отключите.

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

15.12.2019, 00:05	#6 (permalink)
Vvvyg Member Регистрация: 17.05.2011 Адрес: Тула Сообщений: 9,825 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 9863	Да похоже, справились. Симптомы пропали?