Технический форум

Технический форум (http://www.tehnari.ru/)
-   Безопасность (http://www.tehnari.ru/f35/)
-   -   Подозрение на вирус, блокирующий антивирус (http://www.tehnari.ru/f35/t270043/)

vedaoswald 07.12.2020 16:33
Подозрение на вирус, блокирующий антивирус
 
Здравствуйте! Столкнулась со своеобразной проблемой — в браузере не могу перейти на сайт доктора веба (cureit хотела поставить, потому что kaspersky virus removal tool по какой-то причине стал сам закрываться через секунд 5 после открытия). Изначально хотела прогнать программой ПК из-за того, что как-то подозрительно он у меня сегодня пролагал во время голосовой связи через скайп, а вчера дискорд пинговал, что нехарактерно для моей повседневной жизни. Подозреваю, что катализатором всему послужило свежеустановленное стороннее приложение (каюсь), но и до его установки была тоже странность: диспетчер задач при открытии являл мне высокую нагрузку на ЦП, которая резко через пару секунд снижалась. И вот со вчерашнего дня это тоже, вроде бы, усугубилось (ещё и диспетчер сам закрывается спустя какое-то время) — стал греться ПК без видимых на то причин, температура доходит до 54°, а это я ещё никакую игру и не запускала даже. ПК был собран только летом, так что проблема не в аппаратуре. Сижу, открываю диспетчер сразу при самозакрытии, слежу за нагрузкой на ЦП — температура снизилась до 34°. Естественно, если диспетчер я вручную не открываю каждый раз заново, она снова ползет вверх. Проверка встроенным виндовским антивирусом ничего не дала.
Вопрос: как определить, что это за зверь и как мне с ним бороться?

vedaoswald 07.12.2020 17:17
Вложений: 1
Также есть такой вот очень подозрительный дружок:Вложение 462839
Зловред, родненький? Не припомню просто, чтобы риалтек с иконкой у меня был. Да и путь к нему ведет в папку, которая пуста, а процесс вроде называется taskhostw.exe, короче, очень подозрительно.

Vladimir_S 07.12.2020 17:19
Цитата:
Сообщение от vedaoswald (Сообщение 2733857)
Вопрос: как определить, что это за зверь и как мне с ним бороться?
Ответ: прежде всего, выполнить ВСЁ, что прописано здесь. Тогда разговор станет предметным.

vedaoswald 07.12.2020 17:40
Вложений: 1
Цитата:
Сообщение от Vladimir_S (Сообщение 2733867)
Ответ: прежде всего, выполнить ВСЁ, что прописано здесь. Тогда разговор станет предметным.
Прошу прощения! Вот архив:Вложение 462842

Vladimir_S 07.12.2020 19:47
Цитата:
Сообщение от vedaoswald (Сообщение 2733869)
Прошу прощения! Вот архив:
Прекрасно! Теперь ждём вирусологов — как подойдут, быстро помогут. Я, к сожалению, не из них.

Vvvyg 08.12.2020 11:11
vedaoswald
Удалите IObit Malware Fighter 8, он тут только мешает.

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):
Код:
;uVS v4.11.3 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
addsgn BA6F9BB2BDD5FF720B9C2D754C2124FBDA75303A02FF85B08FC3813792F5BB0DD4C78774FE1196886F09811A8E1C4939355C045ABD5D982C2D3F21EFB30C9B65 8 Win64/CoinMiner.ACX [ESET-NOD32] 7
chklst
delvir
regt 14
delref %Sys32%\DRIVERS\KSAPI64.SYS
del %Sys32%\DRIVERS\KSAPI64.SYS
delref %SystemDrive%\PROGRAMDATA\MB3INSTALL\MBAMISERVICE.EXE
deldir %SystemDrive%\PROGRAMDATA\MB3INSTALL
delref %SystemDrive%\PROGRAMDATA\WINDOWS\RUTSERV.EXE
deldir %SystemDrive%\PROGRAMDATA\WINDOWS
delref %SystemDrive%\PROGRAM FILES\RDP WRAPPER\RDPWRAP.DLL
deldir  %SystemDrive%\PROGRAM FILES\RDP WRAPPER
deldir %SystemDrive%\PROGRAMDATA\WINDOWSTASK
deldir %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB
deldir %SystemDrive%\PROGRAM FILES (X86)\LAVASOFT
deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\INTEL\INTEL(R) UPDATE MANAGER\BIN\IUMSVC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GIGABYTE\AORUS ENGINE\AORUS.EXE
delref %SystemDrive%\PROGRAMDATA\WINDOWSTASK\WINLOGON.EXE
delref %SystemDrive%\PROGRAM FILES\KAIROS\DUET DISPLAY\DUET.EXE
delref %SystemDrive%\USERS\VEDAO\APPDATA\LOCAL\YANDEX\SEARCHBAND\APPLICATION\5.5.0.1923\SEARCHBANDAPP64.EXE
delref %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\HMMAPI.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MAGIX\SHARED PLUG-INS\AUDIO_X64\SFXPFX2_X64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MAGIX\SHARED PLUG-INS\AUDIO_X64\SFXPFX1_X64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MAGIX\SHARED PLUG-INS\AUDIO_X64\SFXPFX3_X64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MAGIX\SHARED PLUG-INS\AUDIO_X64\SFPPACK2_X64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MAGIX\SHARED PLUG-INS\AUDIO_X64\SFPPACK1_X64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MAGIX\SHARED PLUG-INS\AUDIO_X64\SFPPACK3_X64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MAGIX\SHARED PLUG-INS\AUDIO_X64\SFRESFILTER_X64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MAGIX\SHARED PLUG-INS\AUDIO_X64\SFFRGPNV_X64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MAGIX\SHARED PLUG-INS\AUDIO_X64\MCHAMMER_X64.DLL
delref %Sys32%\DRIVERS\01855246.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\GIGABYTE\AORUS ENGINE\GVCIDRV64.SYS
delref %SystemDrive%\USERS\VEDAO\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\20.064.0329.0008\AMD64\FILESYNCSHELL64.DLL
delref %SystemDrive%\USERS\VEDAO\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\20.064.0329.0008\FILECOAUTH.EXE
delref %SystemDrive%\USERS\VEDAO\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\20.064.0329.0008\FILESYNCSHELL.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\VB\VOICEMEETER\VBVMINS_ASIODRIVER64.DLL
delref %SystemDrive%\MEDIA PROGRAMS\ADOBE\ADOBE PREMIERE PRO 2020\WMENCODINGHELPER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\VB\VOICEMEETER\VBVM_ASIODRIVER64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\VB\VOICEMEETER\VBVMAUX_ASIODRIVER64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY PASSWORD MANAGER 9.0.2\X64\TRANSPORT_PROXYPS.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY PASSWORD MANAGER 9.0.2\KPM.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\VB\VOICEMEETER\VBVMINS_ASIODRIVER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\VB\VOICEMEETER\VBVM_ASIODRIVER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.169\PSMACHINE.DLL
delref %SystemDrive%\MEDIA PROGRAMS\SOUND FORGE PRO 14.0\X86\SFVSTPROXYSTUBX86.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.169\GOOGLEUPDATEBROKER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\VB\VOICEMEETER\VBVMAUX_ASIODRIVER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY PASSWORD MANAGER 9.0.2\TRANSPORT_PROXY.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY PASSWORD MANAGER 9.0.2\TRANSPORT_PROXYPS.DLL
delref %SystemRoot%\SYSWOW64\MACROMED\FLASH\PEPFLASHPLAYER32_32_0_0_433.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\LAVASOFT\WEB COMPANION\APPLICATION\WEBCOMPANION.EXE
apply
restart
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).


Часовой пояс GMT +4, время: 11:21.

Powered by vBulletin® Version 4.5.3
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.