Антивирус перестал проводить сканирование файлов

RSS
Для начала, опишу ситуацию.
Проводил полное сканирование всех дисков на компьютере. После долгого сканирования, антивирус обнаружил 2 вирусных файла майнеров и должен был бы предложить мне список действий в конце сканирования, однако процесс сканирования остановился на одной из файлов и открылось окно где идет выбор действий с опасными файлами, после выбора нужных действий я нажал на "Выполнить", после чего окно закрылось, но ничего не произошло. Вирусные файлы как были так и остались и процесс все еще был зависший. К тому же, он перестал как либо реагировать, при нажатии на паузу или остановку сканирования, кнопки просто ставали неактивными и ничего не происходило. Я решил перезагрузить компьютер в надежде что это поможет. Однако, после перезагрузки антивирус нормально запускается, пишет что все включено и так далее, но если я нажимаю на сканирование файлов, перетаскиваю файлы в поле для сканирования ил делаю выборочное сканирование, антивирус просто на просто ничего не делает, то есть даже ошибки не выдается, просто как будто игнорирует. Подскажите, пожалуйста, как мне это исправить и что могло привести к этому.

Ответы

Скрипт запустил, все прошло гладко. После перезагрузки антивирус "ожил" и начал сканировать как положено, добавляю лог ESETLogCollector
антивир у вас видимо зачистил активаторы:
Цитата
30.11.2021 10:51:26 Real-time file system protection file C:\Windows\SECOH-QAD.exe Win64/HackKMS.C potentially unsafe application unable to clean MYK\User Event occurred during an attempt to access the file by the application: C:\Users\User\Downloads\FRST64.exe (36A3EE4E7DF04A58E8D79DB9E318F0DF078F372C). 66C72019EAFA41BBF3E708CC3824C7C4447BDAB6 13.05.2016 23:51:42

Цитата
30.11.2021 10:51:26 Real-time file system protection file C:\Windows\SECOH-QAD.dll Win64/HackKMS.D potentially unsafe application unable to clean MYK\User Event occurred during an attempt to access the file by the application: C:\Users\User\Downloads\FRST64.exe (36A3EE4E7DF04A58E8D79DB9E318F0DF078F372C). 6EF8310627537B1D24409574BC3C398CD97C474C 13.05.2016 23:51:42

добавьте их в исключения, чтобы не удалялись

по предыдущим детектам:
Цитата
27.11.2021 23:16:38 хттп://www.restoro.com Blocked by PUA blacklist C:\Program Files (x86)\Google\Chrome\Application\chrome.exe MYK\User 50.56.4.238 8BFC5AF325534D4B4B690C4883E27E3D005EEE20
27.11.2021 22:53:25 хттп://www.restoro.com Blocked by PUA blacklist C:\Program Files (x86)\Google\Chrome\Application\chrome.exe MYK\User 50.56.4.238 8BFC5AF325534D4B4B690C4883E27E3D005EEE20

из того что в карантин попало, да, майнер, детектится как потенциально нежелательное приложение:
Цитата
D3AB34F788553A2CFFB27254EEEEECC01CA852D9.NDF "C:\Windows\RegPolicy\contosog.exe" "@NAME=Win32/CoinMiner.BE@TYPE=ApplicUnwnt@SUSP=mod" 28.11.2021 249856 bytes

----------------
из журнала угроз нужны логи сканирования, что именно находил (и удалял) антивирус при сканировании.
ок. сейчас увидел логи сканирования, добавленные выше вместе с угрозами, и логами FRST
В системе много мусора ( ссылок на отсутствующие объекты ) - почистим.

1) Сохраните  файл:  fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.

Программа FRST создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

2) Выполните лог в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

после завершения сканирования:
Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru  и Yandex снимите [V]




...
Изменено: RP55 RP55 - 30.11.2021 16:12:10
Цитата
santy написал:
антивир у вас видимо зачистил активаторы:
Цитата
30.11.2021 10:51:26 Real-time file system protection file C:\Windows\SECOH-QAD.exe Win64/HackKMS.C potentially unsafe application unable to clean MYK\User Event occurred during an attempt to access the file by the application: C:\Users\User\Downloads\FRST64.exe (36A3EE4E7DF04A58E8D79DB9E318F0DF078F372C). 66C72019EAFA41BBF3E708CC3824C7C4447BDAB6 13.05.2016 23:51:42
Цитата
30.11.2021 10:51:26 Real-time file system protection file C:\Windows\SECOH-QAD.dll Win64/HackKMS.D potentially unsafe application unable to clean MYK\User Event occurred during an attempt to access the file by the application: C:\Users\User\Downloads\FRST64.exe (36A3EE4E7DF04A58E8D79DB9E318F0DF078F372C). 6EF8310627537B1D24409574BC3C398CD97C474C 13.05.2016 23:51:42
добавьте их в исключения, чтобы не удалялись

по предыдущим детектам:
Цитата
27.11.2021 23:16:38 хттп://www.restoro.com Blocked by PUA blacklist C:\Program Files (x86)\Google\Chrome\Application\chrome.exe MYK\User 50.56.4.238 8BFC5AF325534D4B4B690C4883E27E3D005EEE20
27.11.2021 22:53:25 хттп://www.restoro.com Blocked by PUA blacklist C:\Program Files (x86)\Google\Chrome\Application\chrome.exe MYK\User 50.56.4.238 8BFC5AF325534D4B4B690C4883E27E3D005EEE20
из того что в карантин попало, да, майнер, детектится как потенциально нежелательное приложение:
Цитата
D3AB34F788553A2CFFB27254EEEEECC01CA852D9.NDF "C:\Windows\RegPolicy\contosog.exe" "@NAME=Win32/CoinMiner.BE@TYPE=ApplicUnwnt@SUSP=mod" 28.11.2021 249856 bytes
----------------
из журнала угроз нужны логи сканирования, что именно находил (и удалял) антивирус при сканировании.  
ок. сейчас увидел логи сканирования, добавленные выше вместе с угрозами, и логами FRST
В исключения добавил, однако возникли проблемы с майнером. Я его через антивирус удалил и антивирус теперь там ничего не детектит, но файлы майнера(скрин) все еще в папке и сам майнер все еще живой (определяю по сильной нагрузке ЦП при открытии Диспетчера задач и ее резком падении). Как мне от него избавится если антивирус перестал его видеть?
Цитата
RP55 RP55 написал:
В системе много мусора ( ссылок на отсутствующие объекты ) - почистим.

1) Сохраните  файл:  fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.

Программа FRST создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

2) Выполните лог в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

после завершения сканирования:
Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru  и Yandex снимите [V]




...
Провел Fix, вот Fixlog, но нигде не видел как сделать исключения, из-за чего потерял все закладки в Гугл Хроме, поэтому не особо уверен или хочу проводить AdwCleaner. Если скажите что еще что-то осталось, то тогда сделаю
Скопируйте текст КОДа - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !


Код
;uVS v4.11.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
dirzoo %SystemRoot%\REGPOLICY
czoo
crimg
deldir %SystemRoot%\REGPOLICY

sreg

areg






После выполнения скрипта - программа сама\автоматически создаст новый образ автозапуска ( добавьте его на форум )

+

Архив из папки uVS; (с копиями вирусов для вирлаба, имя автоматически формируется от текущей даты,
например: ZOO_2021-00-20_18-49-40.rar/7z)
... отправить в почту safety@chklst.ru, sendvirus2011@gmail.com, support@esetnod32.ru
*** если архив не был создан автоматически, самостоятельно добавьте папку Zoo в архив с паролем infected
Цитата
RP55 RP55 написал:
Скопируйте текст КОДа - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
Код
 ;uVS v4.11.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
dirzoo %SystemRoot%\REGPOLICY
czoo
crimg
deldir %SystemRoot%\REGPOLICY

sreg

areg



 



После выполнения скрипта - программа сама\автоматически создаст новый образ автозапуска ( добавьте его на форум )

+

Архив из папки uVS; (с копиями вирусов для вирлаба, имя автоматически формируется от текущей даты,
например: ZOO_2021-00-20_18-49-40.rar/7z)
... отправить в почту safety@chklst.ru, sendvirus2011@gmail.com, support@esetnod32.ru
*** если архив не был создан автоматически, самостоятельно добавьте папку Zoo в архив с паролем infected
Вот новый образ автозапуска.
Насчет второго, это на все 3 почты надо отправлять? + Архив не создался и папка Zoo пустая, я не уверен нормально это или нет.
И даже после этих операций "признаки майнера" в виде резкого падения загрузки ЦП с 100% все еще наблюдаются (может конечно я чего-то не понимаю).
из безопасного режима системы SafeMode сделайте образ автозапуска
из нормального режима выполните такой скрипт

Код
;uVS v4.11.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
regt 41
restart


система автоматически перегрузится,
затем сделать новый образ автозапуска в uVS сразу после перезагрузки системы.
из нормального режима
Цитата
Валерий Спивак написал:
Как мне от него избавится если антивирус перестал его видеть?

Прикрепленные файлы
Снимок экрана (1).png  (29.43 КБ)
в каталоги, это все файлы, которые может загрузить исполняемый файл, который судя по всему удален.
сами по себе эти файлы не загрузятся
(!) Процесс нагружает CPU: C:\WINDOWS\SYSTEM32\SEARCHPROTOCOLHOST.EXE

"C:\Windows\system32\SearchProtocolHost.exe" Global\UsGthrFltPipeMssGthrPipe14_ Global\UsGthrCtrlFltPipeMssGthrPipe14 1 -2147483646 "Software\Microsoft\Windows Search" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT; MS Search 4.0 Robot)" "C:\ProgramData\Microsoft\Search\Data\Temp\usgthrsvc" "DownLevelDaemon"
Читают тему (гостей: 1)