Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Форум технической поддержки Обращение в техническую поддержку

Антивирус перестал проводить сканирование файлов

RSS
 
Валерий Спивак
Валерий Спивак
Пользователь
Сообщений: 17
Баллов: 8
Регистрация: 29.11.2021
Размещено 29.11.2021 01:52:33
Для начала, опишу ситуацию.
Проводил полное сканирование всех дисков на компьютере. После долгого сканирования, антивирус обнаружил 2 вирусных файла майнеров и должен был бы предложить мне список действий в конце сканирования, однако процесс сканирования остановился на одной из файлов и открылось окно где идет выбор действий с опасными файлами, после выбора нужных действий я нажал на "Выполнить", после чего окно закрылось, но ничего не произошло. Вирусные файлы как были так и остались и процесс все еще был зависший. К тому же, он перестал как либо реагировать, при нажатии на паузу или остановку сканирования, кнопки просто ставали неактивными и ничего не происходило. Я решил перезагрузить компьютер в надежде что это поможет. Однако, после перезагрузки антивирус нормально запускается, пишет что все включено и так далее, но если я нажимаю на сканирование файлов, перетаскиваю файлы в поле для сканирования ил делаю выборочное сканирование, антивирус просто на просто ничего не делает, то есть даже ошибки не выдается, просто как будто игнорирует. Подскажите, пожалуйста, как мне это исправить и что могло привести к этому.

Ответы

Пред. 1 2 3 4 След.
 
Валерий Спивак
Валерий Спивак
Пользователь
Сообщений: 17
Баллов: 8
Регистрация: 29.11.2021
Размещено 30.11.2021 14:52:55
Скрипт запустил, все прошло гладко. После перезагрузки антивирус "ожил" и начал сканировать как положено, добавляю лог ESETLogCollector
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 30.11.2021 15:58:26
антивир у вас видимо зачистил активаторы:
Цитата
30.11.2021 10:51:26 Real-time file system protection file C:\Windows\SECOH-QAD.exe Win64/HackKMS.C potentially unsafe application unable to clean MYK\User Event occurred during an attempt to access the file by the application: C:\Users\User\Downloads\FRST64.exe (36A3EE4E7DF04A58E8D79DB9E318F0DF078F372C). 66C72019EAFA41BBF3E708CC3824C7C4447BDAB6 13.05.2016 23:51:42

Цитата
30.11.2021 10:51:26 Real-time file system protection file C:\Windows\SECOH-QAD.dll Win64/HackKMS.D potentially unsafe application unable to clean MYK\User Event occurred during an attempt to access the file by the application: C:\Users\User\Downloads\FRST64.exe (36A3EE4E7DF04A58E8D79DB9E318F0DF078F372C). 6EF8310627537B1D24409574BC3C398CD97C474C 13.05.2016 23:51:42

добавьте их в исключения, чтобы не удалялись

по предыдущим детектам:
Цитата
27.11.2021 23:16:38 хттп://www.restoro.com Blocked by PUA blacklist C:\Program Files (x86)\Google\Chrome\Application\chrome.exe MYK\User 50.56.4.238 8BFC5AF325534D4B4B690C4883E27E3D005EEE20
27.11.2021 22:53:25 хттп://www.restoro.com Blocked by PUA blacklist C:\Program Files (x86)\Google\Chrome\Application\chrome.exe MYK\User 50.56.4.238 8BFC5AF325534D4B4B690C4883E27E3D005EEE20

из того что в карантин попало, да, майнер, детектится как потенциально нежелательное приложение:
Цитата
D3AB34F788553A2CFFB27254EEEEECC01CA852D9.NDF "C:\Windows\RegPolicy\contosog.exe" "@NAME=Win32/CoinMiner.BE@TYPE=ApplicUnwnt@SUSP=mod" 28.11.2021 249856 bytes

----------------
из журнала угроз нужны логи сканирования, что именно находил (и удалял) антивирус при сканировании.
ок. сейчас увидел логи сканирования, добавленные выше вместе с угрозами, и логами FRST
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 30.11.2021 16:10:54
В системе много мусора ( ссылок на отсутствующие объекты ) - почистим.

1) Сохраните  файл:  fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.

Программа FRST создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

2) Выполните лог в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

после завершения сканирования:
Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru  и Yandex снимите [V]




...
Изменено: RP55 RP55 - 30.11.2021 16:12:10
 
Валерий Спивак
Валерий Спивак
Пользователь
Сообщений: 17
Баллов: 8
Регистрация: 29.11.2021
Размещено 01.12.2021 14:13:38
Цитата
santy написал:
антивир у вас видимо зачистил активаторы:
Цитата
30.11.2021 10:51:26 Real-time file system protection file C:\Windows\SECOH-QAD.exe Win64/HackKMS.C potentially unsafe application unable to clean MYK\User Event occurred during an attempt to access the file by the application: C:\Users\User\Downloads\FRST64.exe (36A3EE4E7DF04A58E8D79DB9E318F0DF078F372C). 66C72019EAFA41BBF3E708CC3824C7C4447BDAB6 13.05.2016 23:51:42
Цитата
30.11.2021 10:51:26 Real-time file system protection file C:\Windows\SECOH-QAD.dll Win64/HackKMS.D potentially unsafe application unable to clean MYK\User Event occurred during an attempt to access the file by the application: C:\Users\User\Downloads\FRST64.exe (36A3EE4E7DF04A58E8D79DB9E318F0DF078F372C). 6EF8310627537B1D24409574BC3C398CD97C474C 13.05.2016 23:51:42
добавьте их в исключения, чтобы не удалялись

по предыдущим детектам:
Цитата
27.11.2021 23:16:38 хттп://www.restoro.com Blocked by PUA blacklist C:\Program Files (x86)\Google\Chrome\Application\chrome.exe MYK\User 50.56.4.238 8BFC5AF325534D4B4B690C4883E27E3D005EEE20
27.11.2021 22:53:25 хттп://www.restoro.com Blocked by PUA blacklist C:\Program Files (x86)\Google\Chrome\Application\chrome.exe MYK\User 50.56.4.238 8BFC5AF325534D4B4B690C4883E27E3D005EEE20
из того что в карантин попало, да, майнер, детектится как потенциально нежелательное приложение:
Цитата
D3AB34F788553A2CFFB27254EEEEECC01CA852D9.NDF "C:\Windows\RegPolicy\contosog.exe" "@NAME=Win32/CoinMiner.BE@TYPE=ApplicUnwnt@SUSP=mod" 28.11.2021 249856 bytes
----------------
из журнала угроз нужны логи сканирования, что именно находил (и удалял) антивирус при сканировании.  
ок. сейчас увидел логи сканирования, добавленные выше вместе с угрозами, и логами FRST
В исключения добавил, однако возникли проблемы с майнером. Я его через антивирус удалил и антивирус теперь там ничего не детектит, но файлы майнера(скрин) все еще в папке и сам майнер все еще живой (определяю по сильной нагрузке ЦП при открытии Диспетчера задач и ее резком падении). Как мне от него избавится если антивирус перестал его видеть?
 
Валерий Спивак
Валерий Спивак
Пользователь
Сообщений: 17
Баллов: 8
Регистрация: 29.11.2021
Размещено 01.12.2021 14:18:31
Цитата
RP55 RP55 написал:
В системе много мусора ( ссылок на отсутствующие объекты ) - почистим.

1) Сохраните  файл:  fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.

Программа FRST создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

2) Выполните лог в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

после завершения сканирования:
Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru  и Yandex снимите [V]




...
Провел Fix, вот Fixlog, но нигде не видел как сделать исключения, из-за чего потерял все закладки в Гугл Хроме, поэтому не особо уверен или хочу проводить AdwCleaner. Если скажите что еще что-то осталось, то тогда сделаю
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 01.12.2021 14:58:27
Скопируйте текст КОДа - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !


Код
;uVS v4.11.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
dirzoo %SystemRoot%\REGPOLICY
czoo
crimg
deldir %SystemRoot%\REGPOLICY

sreg

areg



После выполнения скрипта - программа сама\автоматически создаст новый образ автозапуска ( добавьте его на форум )

+

Архив из папки uVS; (с копиями вирусов для вирлаба, имя автоматически формируется от текущей даты,
например: ZOO_2021-00-20_18-49-40.rar/7z)
... отправить в почту [email protected], [email protected], [email protected]
*** если архив не был создан автоматически, самостоятельно добавьте папку Zoo в архив с паролем infected
 
Валерий Спивак
Валерий Спивак
Пользователь
Сообщений: 17
Баллов: 8
Регистрация: 29.11.2021
Размещено 01.12.2021 16:23:36
Цитата
RP55 RP55 написал:
Скопируйте текст КОДа - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
Код
 ;uVS v4.11.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
dirzoo %SystemRoot%\REGPOLICY
czoo
crimg
deldir %SystemRoot%\REGPOLICY

sreg

areg



После выполнения скрипта - программа сама\автоматически создаст новый образ автозапуска ( добавьте его на форум )

+

Архив из папки uVS; (с копиями вирусов для вирлаба, имя автоматически формируется от текущей даты,
например: ZOO_2021-00-20_18-49-40.rar/7z)
... отправить в почту [email protected], [email protected], [email protected]
*** если архив не был создан автоматически, самостоятельно добавьте папку Zoo в архив с паролем infected
Вот новый образ автозапуска.
Насчет второго, это на все 3 почты надо отправлять? + Архив не создался и папка Zoo пустая, я не уверен нормально это или нет.
И даже после этих операций "признаки майнера" в виде резкого падения загрузки ЦП с 100% все еще наблюдаются (может конечно я чего-то не понимаю).
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 01.12.2021 16:27:05
из безопасного режима системы SafeMode сделайте образ автозапуска
из нормального режима выполните такой скрипт

Код
;uVS v4.11.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
regt 41
restart


система автоматически перегрузится,
затем сделать новый образ автозапуска в uVS сразу после перезагрузки системы.
из нормального режима
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 01.12.2021 16:55:08
Цитата
Валерий Спивак написал:
Как мне от него избавится если антивирус перестал его видеть?

Прикрепленные файлы
Снимок экрана (1).png  (29.43 КБ)
в каталоги, это все файлы, которые может загрузить исполняемый файл, который судя по всему удален.
сами по себе эти файлы не загрузятся
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 01.12.2021 17:00:41
(!) Процесс нагружает CPU: C:\WINDOWS\SYSTEM32\SEARCHPROTOCOLHOST.EXE

"C:\Windows\system32\SearchProtocolHost.exe" Global\UsGthrFltPipeMssGthrPipe14_ Global\UsGthrCtrlFltPipeMssGthrPipe14 1 -2147483646 "Software\Microsoft\Windows Search" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT; MS Search 4.0 Robot)" "C:\ProgramData\Microsoft\Search\Data\Temp\usgthrsvc" "DownLevelDaemon"
 
Пред. 1 2 3 4 След.
Читают тему