Подозрение на вирус, блокирующий антивирус

vedaoswald · 07.12.2020, 16:33

Здравствуйте! Столкнулась со своеобразной проблемой — в браузере не могу перейти на сайт доктора веба (cureit хотела поставить, потому что kaspersky virus removal tool по какой-то причине стал сам закрываться через секунд 5 после открытия). Изначально хотела прогнать программой ПК из-за того, что как-то подозрительно он у меня сегодня пролагал во время голосовой связи через скайп, а вчера дискорд пинговал, что нехарактерно для моей повседневной жизни. Подозреваю, что катализатором всему послужило свежеустановленное стороннее приложение (каюсь), но и до его установки была тоже странность: диспетчер задач при открытии являл мне высокую нагрузку на ЦП, которая резко через пару секунд снижалась. И вот со вчерашнего дня это тоже, вроде бы, усугубилось (ещё и диспетчер сам закрывается спустя какое-то время) — стал греться ПК без видимых на то причин, температура доходит до 54°, а это я ещё никакую игру и не запускала даже. ПК был собран только летом, так что проблема не в аппаратуре. Сижу, открываю диспетчер сразу при самозакрытии, слежу за нагрузкой на ЦП — температура снизилась до 34°. Естественно, если диспетчер я вручную не открываю каждый раз заново, она снова ползет вверх. Проверка встроенным виндовским антивирусом ничего не дала.
Вопрос: как определить, что это за зверь и как мне с ним бороться?

vedaoswald · 07.12.2020, 17:17

Также есть такой вот очень подозрительный дружок:

Зловред, родненький? Не припомню просто, чтобы риалтек с иконкой у меня был. Да и путь к нему ведет в папку, которая пуста, а процесс вроде называется taskhostw.exe, короче, очень подозрительно.

Vladimir_S · 07.12.2020, 17:19

Цитата:

Сообщение от vedaoswald

Вопрос: как определить, что это за зверь и как мне с ним бороться?

Ответ: прежде всего, выполнить ВСЁ, что прописано здесь. Тогда разговор станет предметным.

vedaoswald · 07.12.2020, 17:40

Цитата:

Сообщение от Vladimir_S

Ответ: прежде всего, выполнить ВСЁ, что прописано здесь. Тогда разговор станет предметным.

Прошу прощения! Вот архив:VEDAOSWALD_2020-12-07_16-30-47_v4.11.7z

Vladimir_S · 07.12.2020, 19:47

Цитата:

Сообщение от vedaoswald

Прошу прощения! Вот архив:

Прекрасно! Теперь ждём вирусологов — как подойдут, быстро помогут. Я, к сожалению, не из них.

Vvvyg · 08.12.2020, 11:11

vedaoswald
Удалите IObit Malware Fighter 8, он тут только мешает.

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v4.11.3 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
addsgn BA6F9BB2BDD5FF720B9C2D754C2124FBDA75303A02FF85B08FC3813792F5BB0DD4C78774FE1196886F09811A8E1C4939355C045ABD5D982C2D3F21EFB30C9B65 8 Win64/CoinMiner.ACX [ESET-NOD32] 7
chklst
delvir
regt 14
delref %Sys32%\DRIVERS\KSAPI64.SYS
del %Sys32%\DRIVERS\KSAPI64.SYS
delref %SystemDrive%\PROGRAMDATA\MB3INSTALL\MBAMISERVICE.EXE
deldir %SystemDrive%\PROGRAMDATA\MB3INSTALL
delref %SystemDrive%\PROGRAMDATA\WINDOWS\RUTSERV.EXE
deldir %SystemDrive%\PROGRAMDATA\WINDOWS
delref %SystemDrive%\PROGRAM FILES\RDP WRAPPER\RDPWRAP.DLL
deldir  %SystemDrive%\PROGRAM FILES\RDP WRAPPER
deldir %SystemDrive%\PROGRAMDATA\WINDOWSTASK
deldir %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB
deldir %SystemDrive%\PROGRAM FILES (X86)\LAVASOFT
deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\INTEL\INTEL(R) UPDATE MANAGER\BIN\IUMSVC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GIGABYTE\AORUS ENGINE\AORUS.EXE
delref %SystemDrive%\PROGRAMDATA\WINDOWSTASK\WINLOGON.EXE
delref %SystemDrive%\PROGRAM FILES\KAIROS\DUET DISPLAY\DUET.EXE
delref %SystemDrive%\USERS\VEDAO\APPDATA\LOCAL\YANDEX\SEARCHBAND\APPLICATION\5.5.0.1923\SEARCHBANDAPP64.EXE
delref %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\HMMAPI.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MAGIX\SHARED PLUG-INS\AUDIO_X64\SFXPFX2_X64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MAGIX\SHARED PLUG-INS\AUDIO_X64\SFXPFX1_X64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MAGIX\SHARED PLUG-INS\AUDIO_X64\SFXPFX3_X64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MAGIX\SHARED PLUG-INS\AUDIO_X64\SFPPACK2_X64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MAGIX\SHARED PLUG-INS\AUDIO_X64\SFPPACK1_X64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MAGIX\SHARED PLUG-INS\AUDIO_X64\SFPPACK3_X64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MAGIX\SHARED PLUG-INS\AUDIO_X64\SFRESFILTER_X64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MAGIX\SHARED PLUG-INS\AUDIO_X64\SFFRGPNV_X64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MAGIX\SHARED PLUG-INS\AUDIO_X64\MCHAMMER_X64.DLL
delref %Sys32%\DRIVERS\01855246.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\GIGABYTE\AORUS ENGINE\GVCIDRV64.SYS
delref %SystemDrive%\USERS\VEDAO\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\20.064.0329.0008\AMD64\FILESYNCSHELL64.DLL
delref %SystemDrive%\USERS\VEDAO\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\20.064.0329.0008\FILECOAUTH.EXE
delref %SystemDrive%\USERS\VEDAO\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\20.064.0329.0008\FILESYNCSHELL.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\VB\VOICEMEETER\VBVMINS_ASIODRIVER64.DLL
delref %SystemDrive%\MEDIA PROGRAMS\ADOBE\ADOBE PREMIERE PRO 2020\WMENCODINGHELPER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\VB\VOICEMEETER\VBVM_ASIODRIVER64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\VB\VOICEMEETER\VBVMAUX_ASIODRIVER64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY PASSWORD MANAGER 9.0.2\X64\TRANSPORT_PROXYPS.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY PASSWORD MANAGER 9.0.2\KPM.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\VB\VOICEMEETER\VBVMINS_ASIODRIVER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\VB\VOICEMEETER\VBVM_ASIODRIVER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.169\PSMACHINE.DLL
delref %SystemDrive%\MEDIA PROGRAMS\SOUND FORGE PRO 14.0\X86\SFVSTPROXYSTUBX86.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.169\GOOGLEUPDATEBROKER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\VB\VOICEMEETER\VBVMAUX_ASIODRIVER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY PASSWORD MANAGER 9.0.2\TRANSPORT_PROXY.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY PASSWORD MANAGER 9.0.2\TRANSPORT_PROXYPS.DLL
delref %SystemRoot%\SYSWOW64\MACROMED\FLASH\PEPFLASHPLAYER32_32_0_0_433.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\LAVASOFT\WEB COMPANION\APPLICATION\WEBCOMPANION.EXE
apply
restart

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

07.12.2020, 16:33	#1 (permalink)
vedaoswald Новичок Регистрация: 07.12.2020 Сообщений: 3 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	Подозрение на вирус, блокирующий антивирус Здравствуйте! Столкнулась со своеобразной проблемой — в браузере не могу перейти на сайт доктора веба (cureit хотела поставить, потому что kaspersky virus removal tool по какой-то причине стал сам закрываться через секунд 5 после открытия). Изначально хотела прогнать программой ПК из-за того, что как-то подозрительно он у меня сегодня пролагал во время голосовой связи через скайп, а вчера дискорд пинговал, что нехарактерно для моей повседневной жизни. Подозреваю, что катализатором всему послужило свежеустановленное стороннее приложение (каюсь), но и до его установки была тоже странность: диспетчер задач при открытии являл мне высокую нагрузку на ЦП, которая резко через пару секунд снижалась. И вот со вчерашнего дня это тоже, вроде бы, усугубилось (ещё и диспетчер сам закрывается спустя какое-то время) — стал греться ПК без видимых на то причин, температура доходит до 54°, а это я ещё никакую игру и не запускала даже. ПК был собран только летом, так что проблема не в аппаратуре. Сижу, открываю диспетчер сразу при самозакрытии, слежу за нагрузкой на ЦП — температура снизилась до 34°. Естественно, если диспетчер я вручную не открываю каждый раз заново, она снова ползет вверх. Проверка встроенным виндовским антивирусом ничего не дала. Вопрос: как определить, что это за зверь и как мне с ним бороться?

Опции темы
Версия для печати Отправить по электронной почте
Опции просмотра
Линейный вид Комбинированный вид Древовидный вид

07.12.2020, 16:33
Helpmaster Member Регистрация: 08.03.2016 Сообщений: 0	На нашем форуме создается много подобных тем Неприятный вирус, блокирующий почту Вирус блокирующий поисковики и контакт!

07.12.2020, 17:17	#2 (permalink)
vedaoswald Новичок Регистрация: 07.12.2020 Сообщений: 3 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	Также есть такой вот очень подозрительный дружок: Зловред, родненький? Не припомню просто, чтобы риалтек с иконкой у меня был. Да и путь к нему ведет в папку, которая пуста, а процесс вроде называется taskhostw.exe, короче, очень подозрительно.

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070