0 / 0 / 0
Регистрация: 29.06.2015
Сообщений: 10
1

Подозрительные процессы в диспетчере задач

02.07.2015, 19:43. Показов 2249. Ответов 15
Метки нет (Все метки)

Author24 — интернет-сервис помощи студентам
Доброго времени суток.
Есть две машины: десктоп и ноут Lenovo Z575, в диспетчере задач обеих присутствуют подозрительные процессы без описания и доступа к расположению файлов. В обеих системах порой наблюдается подозрительная активность: самостоятельно устанавливаются расширения в браузерах, пытаются установиться какие то программы, повышается ресурсопотребление. Логи обеих машин прилагаются, в архивах дополнительно лежат скриншоты диспетчеров задач на всякий пожарный. Помогите в диагностике и лечении.
Заранее большое спасибо!
Вложения
Тип файла: zip Desktop.CollectionLog-2015.07.02-00.42.zip (180.9 Кб, 2 просмотров)
Тип файла: zip Z575.CollectionLog-2015.07.02-19.29.zip (189.3 Кб, 4 просмотров)
0
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
02.07.2015, 19:43
Ответы с готовыми решениями:

Подозрительные процессы в диспетчере задач
Сегодня появились 3 процесса: igfxsrvc.exe (C:\Users\Darth Nero\AppData\Local\Temp\Adobe) никаких...

Подозрительные процессы в диспетчере задач ноутбука
Доброго времени суток! Ноутбук Lenovo Z575, в диспетчере задач наблюдаются подозрительные процессы...

В диспетчере подозрительные процессы
Здравствуйте. С недавних пор в диспетчере начали появляются процессы которых раньше не видел,...

Подозрительные процессы в диспетчере.
Здравствуйте. Заражен сетевым червем. Помогите, пожалуйста, избавиться от него.

15
Вирусоборец
21526 / 15483 / 2982
Регистрация: 08.10.2012
Сообщений: 62,907
03.07.2015, 09:45 2
Здравствуйте!

Чтоб не было путаницы, для ноута создайте отдельную тему и приложите туда его логи. Здесь будем продолжать с десктопом.

Дополнительно подготовьте лог сканирования AdwCleaner.
0
0 / 0 / 0
Регистрация: 29.06.2015
Сообщений: 10
03.07.2015, 22:38  [ТС] 3
Вот, что получилось:
Вложения
Тип файла: txt AdwCleaner[R0].txt (9.4 Кб, 1 просмотров)
0
Вирусоборец
13095 / 7247 / 1533
Регистрация: 06.09.2009
Сообщений: 26,472
04.07.2015, 16:04 4
Выполните скрипт в AVZ
Код
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 SetServiceStart('{db1fd023-48a0-496d-b896-22f18fc807bb}w64', 4);
 SetServiceStart('{d34f4dc3-0643-4f3e-976b-4ffc4f4be959}w64', 4);
 SetServiceStart('{8533caf6-6e43-415e-89ad-cb54cea2c657}w64', 4);
 SetServiceStart('{825d52d4-9952-422b-9196-39ef1e734926}w64', 4);
 SetServiceStart('{7f7f2c29-eeca-42c4-8c50-9c6b4697db13}w64', 4);
 SetServiceStart('{7ec8600b-ad33-4103-a01c-5f17d5a61207}w64', 4);
 SetServiceStart('{7c18b119-d64a-4b8f-90db-d1c5b5ad5acf}w64', 4);
 SetServiceStart('{7526554b-99ab-42d9-851b-ea96140cbc3f}w64', 4);
 SetServiceStart('{6f8e76a6-8d83-42da-bc6d-e2c19080f60b}w64', 4);
 SetServiceStart('{6a86ad4e-d1ee-4703-baff-f697dcc0f883}w64', 4);
 SetServiceStart('{69c4c7d9-b535-450c-adaf-acc255c3f407}w64', 4);
 SetServiceStart('{682528cd-df25-4625-a133-5f72ba9afe48}w64', 4);
 SetServiceStart('{4d04d451-b8ea-4a87-becc-f81f49396472}w64', 4);
 SetServiceStart('{42ad32fb-64da-4848-a5f2-2ed54fc96139}w64', 4);
 SetServiceStart('{3739431a-d94b-41b9-abda-8618fbaedcbf}w64', 4);
 SetServiceStart('{30389f51-b968-4243-8e7c-c69cde75ce4d}w64', 4);
 SetServiceStart('{29b136c9-938d-4d3d-8df8-d649d9b74d02}w64', 4);
 SetServiceStart('{1a6d0cfb-dce2-4165-b21a-b549f29bee27}w64', 4);
 SetServiceStart('{00b8ec06-772f-413e-8843-d69020188cd2}w64', 4);
 QuarantineFile('C:\Windows\system32\drivers\{f6182a48-b8df-4d42-8740-78bc721a67b7}w64.sys','');
 QuarantineFile('C:\Windows\system32\drivers\{db1fd023-48a0-496d-b896-22f18fc807bb}w64.sys','');
 QuarantineFile('C:\Windows\system32\drivers\{d34f4dc3-0643-4f3e-976b-4ffc4f4be959}w64.sys','');
 QuarantineFile('C:\Windows\system32\drivers\{8533caf6-6e43-415e-89ad-cb54cea2c657}w64.sys','');
 QuarantineFile('C:\Windows\system32\drivers\{825d52d4-9952-422b-9196-39ef1e734926}w64.sys','');
 QuarantineFile('C:\Windows\system32\drivers\{7f7f2c29-eeca-42c4-8c50-9c6b4697db13}w64.sys','');
 QuarantineFile('C:\Windows\system32\drivers\{7ec8600b-ad33-4103-a01c-5f17d5a61207}w64.sys','');
 QuarantineFile('C:\Windows\system32\drivers\{7c18b119-d64a-4b8f-90db-d1c5b5ad5acf}w64.sys','');
 QuarantineFile('C:\Windows\system32\drivers\{7526554b-99ab-42d9-851b-ea96140cbc3f}w64.sys','');
 QuarantineFile('C:\Windows\system32\drivers\{6f8e76a6-8d83-42da-bc6d-e2c19080f60b}w64.sys','');
 QuarantineFile('C:\Windows\system32\drivers\{6a86ad4e-d1ee-4703-baff-f697dcc0f883}w64.sys','');
 QuarantineFile('C:\Windows\system32\drivers\{69c4c7d9-b535-450c-adaf-acc255c3f407}w64.sys','');
 QuarantineFile('C:\Windows\system32\drivers\{682528cd-df25-4625-a133-5f72ba9afe48}w64.sys','');
 QuarantineFile('C:\Windows\system32\drivers\{4d04d451-b8ea-4a87-becc-f81f49396472}w64.sys','');
 QuarantineFile('C:\Windows\system32\drivers\{42ad32fb-64da-4848-a5f2-2ed54fc96139}w64.sys','');
 QuarantineFile('C:\Windows\system32\drivers\{3739431a-d94b-41b9-abda-8618fbaedcbf}w64.sys','');
 QuarantineFile('C:\Windows\system32\drivers\{30389f51-b968-4243-8e7c-c69cde75ce4d}w64.sys','');
 QuarantineFile('C:\Windows\system32\drivers\{29b136c9-938d-4d3d-8df8-d649d9b74d02}w64.sys','');
 QuarantineFile('C:\Windows\system32\drivers\{1a6d0cfb-dce2-4165-b21a-b549f29bee27}w64.sys','');
 QuarantineFile('C:\Windows\system32\drivers\{00b8ec06-772f-413e-8843-d69020188cd2}w64.sys','');
 DeleteFile('C:\Windows\system32\drivers\{00b8ec06-772f-413e-8843-d69020188cd2}w64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{1a6d0cfb-dce2-4165-b21a-b549f29bee27}w64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{29b136c9-938d-4d3d-8df8-d649d9b74d02}w64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{30389f51-b968-4243-8e7c-c69cde75ce4d}w64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{3739431a-d94b-41b9-abda-8618fbaedcbf}w64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{42ad32fb-64da-4848-a5f2-2ed54fc96139}w64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{4d04d451-b8ea-4a87-becc-f81f49396472}w64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{682528cd-df25-4625-a133-5f72ba9afe48}w64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{69c4c7d9-b535-450c-adaf-acc255c3f407}w64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{6a86ad4e-d1ee-4703-baff-f697dcc0f883}w64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{6f8e76a6-8d83-42da-bc6d-e2c19080f60b}w64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{7526554b-99ab-42d9-851b-ea96140cbc3f}w64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{7c18b119-d64a-4b8f-90db-d1c5b5ad5acf}w64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{7ec8600b-ad33-4103-a01c-5f17d5a61207}w64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{7f7f2c29-eeca-42c4-8c50-9c6b4697db13}w64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{825d52d4-9952-422b-9196-39ef1e734926}w64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{8533caf6-6e43-415e-89ad-cb54cea2c657}w64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{d34f4dc3-0643-4f3e-976b-4ffc4f4be959}w64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{db1fd023-48a0-496d-b896-22f18fc807bb}w64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{f6182a48-b8df-4d42-8740-78bc721a67b7}w64.sys','32');
 DeleteFile('C:\Program Files (x86)\Mobogenie\DaemonProcess.exe','32');
 DeleteService('{db1fd023-48a0-496d-b896-22f18fc807bb}w64');
 DeleteService('{d34f4dc3-0643-4f3e-976b-4ffc4f4be959}w64');
 DeleteService('{8533caf6-6e43-415e-89ad-cb54cea2c657}w64');
 DeleteService('{825d52d4-9952-422b-9196-39ef1e734926}w64');
 DeleteService('{7f7f2c29-eeca-42c4-8c50-9c6b4697db13}w64');
 DeleteService('{7ec8600b-ad33-4103-a01c-5f17d5a61207}w64');
 DeleteService('{7c18b119-d64a-4b8f-90db-d1c5b5ad5acf}w64');
 DeleteService('{7526554b-99ab-42d9-851b-ea96140cbc3f}w64');
 DeleteService('{6f8e76a6-8d83-42da-bc6d-e2c19080f60b}w64');
 DeleteService('{6a86ad4e-d1ee-4703-baff-f697dcc0f883}w64');
 DeleteService('{69c4c7d9-b535-450c-adaf-acc255c3f407}w64');
 DeleteService('{682528cd-df25-4625-a133-5f72ba9afe48}w64');
 DeleteService('{4d04d451-b8ea-4a87-becc-f81f49396472}w64');
 DeleteService('{42ad32fb-64da-4848-a5f2-2ed54fc96139}w64');
 DeleteService('{3739431a-d94b-41b9-abda-8618fbaedcbf}w64');
 DeleteService('{30389f51-b968-4243-8e7c-c69cde75ce4d}w64');
 DeleteService('{29b136c9-938d-4d3d-8df8-d649d9b74d02}w64');
 DeleteService('{1a6d0cfb-dce2-4165-b21a-b549f29bee27}w64');
 DeleteService('{00b8ec06-772f-413e-8843-d69020188cd2}w64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip при помощи этой формы


Сделайте НОВЫЕ логи ПО ПРАВИЛАМ
0
0 / 0 / 0
Регистрация: 29.06.2015
Сообщений: 10
07.07.2015, 19:16  [ТС] 5
Все выполнил
Вложения
Тип файла: zip CollectionLog-2015.07.07-19.09.zip (71.1 Кб, 1 просмотров)
Тип файла: txt AdwCleaner[R1].txt (6.7 Кб, 1 просмотров)
0
Вирусоборец
3877 / 2093 / 342
Регистрация: 04.04.2012
Сообщений: 7,681
07.07.2015, 20:54 6
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.


Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".




  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Подробнее читайте в этом руководстве.
0
0 / 0 / 0
Регистрация: 29.06.2015
Сообщений: 10
07.07.2015, 21:20  [ТС] 7
Выполнил
Вложения
Тип файла: txt AdwCleaner[S0].txt (6.6 Кб, 1 просмотров)
Тип файла: rar FRST.rar (14.1 Кб, 1 просмотров)
Тип файла: rar Addition.rar (7.0 Кб, 1 просмотров)
0
Вирусоборец
3877 / 2093 / 342
Регистрация: 04.04.2012
Сообщений: 7,681
07.07.2015, 21:31 8
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Код
start
CreateRestorePoint:
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
Toolbar: HKU\S-1-5-21-2188508022-4022137924-96820737-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
CHR Extension: (Adblock Plus) - C:\Users\Игорь\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2015-07-01]
CHR Extension: (Дополнительные настройки ВКонтакте) - C:\Users\Игорь\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\djhgiahomjkabjdodlemhnhbnbfcomam [2015-07-01]
CHR Extension: (Chrome Hotword Shared Module) - C:\Users\Игорь\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-07-01]
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - http://clients2.google.com/service/update2/crx

cmd: ipconfig /flushdns
cmd: ipconfig /release
cmd: ipconfig /renew
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.
0
0 / 0 / 0
Регистрация: 29.06.2015
Сообщений: 10
07.07.2015, 21:40  [ТС] 9
Готово
Вложения
Тип файла: txt Fixlog.txt (4.1 Кб, 1 просмотров)
0
Вирусоборец
3877 / 2093 / 342
Регистрация: 04.04.2012
Сообщений: 7,681
07.07.2015, 21:41 10
Что с проблемами?
0
0 / 0 / 0
Регистрация: 29.06.2015
Сообщений: 10
07.07.2015, 21:43  [ТС] 11
Больше не наблюдаются, похоже, сработало. Теперь профилактикой надо заняться?
0
Вирусоборец
3877 / 2093 / 342
Регистрация: 04.04.2012
Сообщений: 7,681
07.07.2015, 21:48 12
  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
0
0 / 0 / 0
Регистрация: 29.06.2015
Сообщений: 10
07.07.2015, 21:55  [ТС] 13
Сделал
Вложения
Тип файла: txt SecurityCheck.txt (4.7 Кб, 1 просмотров)
0
Вирусоборец
3877 / 2093 / 342
Регистрация: 04.04.2012
Сообщений: 7,681
07.07.2015, 21:58 14
Обновляйте:

Skype™ 7.0 v.7.0.102 Внимание! Скачать обновления
Необязательное обновление.
Google Chrome v.43.0.2357.130 Внимание! Скачать обновления

+

читайте: Рекомендации после удаления вредоносного ПО
1
0 / 0 / 0
Регистрация: 29.06.2015
Сообщений: 10
07.07.2015, 22:06  [ТС] 15
Спасибо большое за помощь!
0
Вирусоборец
3877 / 2093 / 342
Регистрация: 04.04.2012
Сообщений: 7,681
07.07.2015, 22:06 16
Удачи
0
07.07.2015, 22:06
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
07.07.2015, 22:06
Помогаю со студенческими работами здесь

В диспетчере задач, непонятные процессы
называются они по разному qwkd21sd.exe. Что то типа этого

Странные процессы в диспетчере задач
Добрый день! Пригласили почистить комп от вирусов. Сначала в диспетчере задач висели непонятные...

Неизвестные процессы в диспетчере задач
Здравствуйте. Как то я искал сайт с новым фильмом и нашёл подходящий. Начал смотреть фильм и вдруг...

В диспетчере задач непонятные процессы
Добрый день! В диспетчере задач непонятные процессы *.tmp , можно снять но после перезагрузки...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
16
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin
Copyright ©2000 - 2024, CyberForum.ru