0 / 0 / 0
Регистрация: 22.12.2020
Сообщений: 6
1

Подозрительное приложение

23.12.2020, 04:11. Показов 446. Ответов 10
Метки нет (Все метки)

Здравствуйте. Пару дней назад аккаунты гугла всполошились, заявляют, что у меня на пк тут подозрительное приложение, которое может воровать пароли. Не могли бы вы проверить, пожалуйста, что там у меня с системой? CollectionLog-2020.12.23-04.03.zip
0

Помощь в написании контрольных, курсовых и дипломных работ здесь.

Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
23.12.2020, 04:11
Ответы с готовыми решениями:

Подозрительное поведение
Я тоже не могу зайти, но в этой папке у меня нет таких записей вообще

Подозрительное поведение компьютера
Возможно, проблемы просто с системой или железом. Но, логи смог собрать только в безопасном...

Подозрительное поведение системы
Здравствуйте ! Сижу слушаю музыку в Вконтакте и тут ни с того ни с сего начали долго загружаться...

Подозрительное поведение браузера
Здравствуйте,Уважаемые. Недели 2 назад браузер(по умолчанию) которым пользуюсь начал странно себя...

10
Вирусоборец
16633 / 13596 / 2457
Регистрация: 08.10.2012
Сообщений: 55,124
23.12.2020, 09:42 2
Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя whimsicle. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.
  1. Выполните скрипт в AVZ (Файл - Выполнить скрипт):

    Код
    {Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist}
    var
    ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
    PD_folders, PF_folders, O_folders : TStringList;
    
    procedure FillList;
    begin
     PD_folders := TStringList.Create;
     PD_folders.Add('360TotalSecurity');
     PD_folders.Add('360safe');
     PD_folders.Add('AVAST Software');
     PD_folders.Add('Avg');
     PD_folders.Add('Avira');
     PD_folders.Add('ESET');
     PD_folders.Add('Indus');
     PD_folders.Add('Kaspersky Lab Setup Files');
     PD_folders.Add('Kaspersky Lab');
     PD_folders.Add('MB3Install');
     PD_folders.Add('Malwarebytes');
     PD_folders.Add('McAfee');
     PD_folders.Add('Norton');
     PD_folders.Add('grizzly');
     PD_folders.Add('RealtekHD');
     PD_folders.Add('RunDLL');
     PD_folders.Add('Setup');
     PD_folders.Add('System32');
     PD_folders.Add('Windows');
     PD_folders.Add('WindowsTask');
     PD_folders.Add('install');
     PD_folders.Add('bebca3bc90');
     PF_folders := TStringList.Create;
     PF_folders.Add('360');
     PF_folders.Add('AVAST Software');
     PF_folders.Add('AVG');
     PF_folders.Add('ByteFence');
     PF_folders.Add('COMODO');
     PF_folders.Add('Cezurity');
     PF_folders.Add('Common Files\McAfee');
     PF_folders.Add('ESET');
     PF_folders.Add('Enigma Software Group');
     PF_folders.Add('GRIZZLY Antivirus');
     PF_folders.Add('Kaspersky Lab');
     PF_folders.Add('Malwarebytes');
     PF_folders.Add('Microsoft JDX');
     PF_folders.Add('Panda Security');
     PF_folders.Add('SpyHunter');
     PF_folders.Add('RDP Wrapper');
     O_folders := TStringList.Create;
     O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
     O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
     O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution'));
     O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
     O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
    end;
    
    procedure Del_folders(path:string; AFL : TStringList);
    var
    i : integer;
    begin
     for i := 0 to AFL.Count - 1 do
     begin
      fname := NormalDir(path + AFL[i]);
      if DirectoryExists(fname) then
    	  begin
    		  FSResetSecurity(fname);
    		  QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
    		  DeleteFileMask(fname, '*', true);
    		  DeleteDirectory(fname);
    	  end;
     end;
    end;
    
    procedure swprv;
    begin
     ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
     RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
     RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
     RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
     RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
     RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
     OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
     if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
     ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
     ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
    end;
    
    procedure  AV_block_remove;
    begin
     clearlog;
     FillList;
     ProgramData := GetEnvironmentVariable('ProgramData');
     ProgramFiles := NormalDir('%PF%');
     ProgramFiles86 := NormalDir('%PF% (x86)');
     Del_folders(ProgramData +'\', PD_folders);
     Del_folders(ProgramFiles, PF_folders);
     Del_folders(ProgramFiles86, PF_folders);
     Del_folders('', O_folders);
     if FileExists (ProgramData + 'RDPWinst.exe') then DeleteFile(ProgramData + 'RDPWinst.exe');
     ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg');
     RegKeyDel('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun');
     RegKeyParamDel('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer','DisallowRun');
     RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
     swprv;
     if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6 then
    	ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
     SaveLog(GetAVZDirectory +'AV_block_remove.log');
     PD_folders.Free;
     PF_folders.Free;
     O_folders.Free;
     ExecuteWizard('SCU', 2, 3, true);
     ExecuteSysClean;
    end;
    
    begin
     AV_block_remove;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки, выполните такой скрипт:

    Код
    begin
     DeleteFile(GetAVZDirectory+'quarantine.7z');
     ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
    end.
  2. Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
    К сообщению прикреплять файл quarantine.7z не нужно!


  3. Подготовьте новый CollectionLog.
0
0 / 0 / 0
Регистрация: 22.12.2020
Сообщений: 6
23.12.2020, 12:31  [ТС] 3
Готово!
CollectionLog-2020.12.23-12.25.zip
0
Вирусоборец
16633 / 13596 / 2457
Регистрация: 08.10.2012
Сообщений: 55,124
23.12.2020, 12:47 4
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.
0
0 / 0 / 0
Регистрация: 22.12.2020
Сообщений: 6
23.12.2020, 13:36  [ТС] 5
23.12.rar
0
Вирусоборец
16633 / 13596 / 2457
Регистрация: 08.10.2012
Сообщений: 55,124
23.12.2020, 13:41 6
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код
    Start::
    SystemRestore: On
    CreateRestorePoint:
    Task: {089EE626-DE3E-45F6-B91A-26B99C88C8B3} - System32\Tasks\Microsoft\Windows\Wininet\Cleaner => C:\Programdata\WindowsTask\winlogon.exe <==== ATTENTION
    Task: {43C0BFC9-4F08-401A-96FB-AB1A60DA760F} - System32\Tasks\Microsoft\Windows\Wininet\RealtekHDControl => C:\Programdata\RealtekHD\taskhost.exe <==== ATTENTION
    Task: {78D4AC96-56BB-4968-8EA2-E7A94223A253} - System32\Tasks\Microsoft\Windows\Wininet\Taskhost => C:\Programdata\RealtekHD\taskhostw.exe <==== ATTENTION
    S2 RManService; C:\ProgramData\Windows\rutserv.exe [X]
    AV: Malwarebytes (Enabled - Up to date) {23007AD3-69FE-687C-2629-D584AFFAF72B}
    FirewallRules: [{A3D82785-3600-479F-8DD2-E80C261FEC7B}] => (Allow) LPort=32682
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
0
0 / 0 / 0
Регистрация: 22.12.2020
Сообщений: 6
23.12.2020, 13:47  [ТС] 7
Fixlog.txt
0
Вирусоборец
16633 / 13596 / 2457
Регистрация: 08.10.2012
Сообщений: 55,124
23.12.2020, 14:49 8
Если проблема решена, в завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
1
0 / 0 / 0
Регистрация: 22.12.2020
Сообщений: 6
23.12.2020, 22:55  [ТС] 9
SecurityCheck.txt
0
0 / 0 / 0
Регистрация: 22.12.2020
Сообщений: 6
24.12.2020, 00:36  [ТС] 10
Спасибо!
0
Вирусоборец
16633 / 13596 / 2457
Регистрация: 08.10.2012
Сообщений: 55,124
24.12.2020, 10:13 11
------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
K-Lite Mega Codec Pack 14.5.0 v.14.5.0 Внимание! Скачать обновления
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.70 (64-bit) v.5.70.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45838 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 211 v.8.0.2110.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u261-windows-i586.exe)^
------------------------------- [ Browser ] -------------------------------
Waterfox G3.0.2 (x64 en-US) v.G3.0.2 Внимание! Скачать обновления


Читайте Рекомендации после удаления вредоносного ПО
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
24.12.2020, 10:13

Подозрительное подключение к инету
Сегодня комодо выдал сообщение о некоем файле лезущем в инет. Имя было подозрительным и я блоканул....

Подозрительное предупреждение в Edius 6.0.2
Добрый день. совсем недавно начал изучать Эдиус 6.0.2. пока не очень продвинулася, но тут первый...

Подозрительное отверстие в манжете (Indesit WISL 103)
Купили машинку, обнаружили что в манжете подозрительное отверстие, требуется мнение специалистов,...

Подозрительное многократное включение-выключение после восстановления Windows 7
Доброго времени суток, уважаемые господа! На моём ноутбуке Toshiba Satellite 500 (2009 года...

Подозрительное поведение Антивируса Касперского при сканировании диска
Сегодня, заподозрив вирусное заражение компьютера, я решил просканировать диск C компьютера...

Выбор решения для проекта! Приложение для Windows + приложение для Android или Web приложение?
Здравствуйте! Один мой знакомый, владелец мебельной фирмы, обратился ко мне с серьезным...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
11
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2021, vBulletin Solutions, Inc.