Не удаётся найти файл сценария C:\ProgramData\Windows\Profile\1.vbs

@latnik7 · Регистрация: 31.01.2021

Author24 — интернет-сервис помощи студентам

Помогите, я совсем новичёк тут, могу тупить.
Первое это всплывающее окошко ошибки: Windows Script Host, с текстом:
Не удаётся найти файл сценария
"C:\ProgramData\Windows\Profile\1.vbs"

Второе у меня походу вирус майнер на компе:
Когда есть доступ к сети интернет, комп начинает шуметь через какое-то время, и сколь угодно времени. Когда отключаешь сеть проходит 2минуты и он больше не шумит. Либо когда открываешь диспетчер задач, то повидимому вирус отслеживает это и тоже приостанавливается. Dr.Web CureIt не помог, Kaspersky Small Office Security тоже.

@latnik7 · 31.01.2021, 19:24 **[ТС]**

Ах да, ещё не мог нормально скачать Dr.Web CureIt, следующие ссылки не открывались:
https://free.drweb.ru/cureit/
https://www.drweb.ua/

Скачивал с французской страницы:
https://www.drweb.fr/
https://free.drweb.fr/cureit/

@Sandor · 31.01.2021, 21:35

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя latnik7. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 DeleteSchedulerTask('Microsoft\Windows\Conexant\SA2');
 DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinDAT');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.

Компьютер перезагрузится.

Подготовьте новый CollectionLog.

@latnik7 · 31.01.2021, 22:41 **[ТС]**

Лог, после скрипта и рестарта

@Sandor · 01.02.2021, 09:44

Проблема сохраняется?

@latnik7 · 01.02.2021, 16:30 **[ТС]**

По ощущениям майнер больше не работает - включен диспетчер задач или нет, и несмотря на наличие сети комп не шумит, вот уже минут 40 всё тихо. А ошибка по прежнему всплывает. Скриншот прикрепил. Нажимал ОК, она за эти 40мин уже 4ый раз всплыла.

@Sandor · 01.02.2021, 16:38

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@latnik7 · 01.02.2021, 18:37 **[ТС]**

Отчёты

@Sandor · 02.02.2021, 09:10

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код

Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-670267732-3381171257-87566573-1000\...\MountPoints2: {77d793d1-a648-11ea-b16a-dcf5052082e4} - "F:\CDCheck.exe" 
HKU\S-1-5-21-670267732-3381171257-87566573-1000\...\MountPoints2: {7f312341-5b21-11ea-b0f3-dcf5052082e4} - "D:\setup.exe" 
HKU\S-1-5-21-670267732-3381171257-87566573-1000\...\MountPoints2: {7f312b4c-5b21-11ea-b0f3-dcf5052082e4} - "E:\CDCheck.exe" 
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
Task: {105D676A-D551-4274-81E7-97AC52E4FD87} - \Microsoft\Windows\Speech\HeadsetButtonPress -> No File <==== ATTENTION
Task: {2e82d04c-c565-4a37-9469-85d95c97b33a} - no filepath
Task: {d762cb46-333b-423b-9ec9-cca464eedd66} - no filepath
Task: {DB704BCD-C103-48A2-9074-15C951F3DC79} - \Microsoft\Windows\Maintenance\WinNAT -> No File <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
HKU\S-1-5-21-670267732-3381171257-87566573-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@latnik7 · 02.02.2021, 22:29 **[ТС]**

лог

@Sandor · 03.02.2021, 09:19

Что с проблемой?

@latnik7 · 03.02.2021, 17:17 **[ТС]**

Проблема решена. Ошибка больше не появляется. Спасибо.
Подскажите пожалуйста могла ли эта программа навредить или она безвредна? TCIMG.exe выключает монитор, до нажатия клавиши ESC

@Sandor · 03.02.2021, 17:25

Сообщение от latnik7

могла ли эта программа навредить или она безвредна?

Довольно подозрительная. Если самописная, пусть автор напишет соотв. вендорам, после чего они возможно снимут детект. Куда сообщить о ложном срабатывании антивируса?

В завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@latnik7 · 03.02.2021, 20:28 **[ТС]**

SecurityCheck.txt

@Sandor · 03.02.2021, 20:56

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
Запрос на повышение прав для обычных пользователей отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
Notepad++ (32-bit x86) v.7.8.2 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.80 (64-разрядная) v.5.80.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
WhatsApp v.0.4.930 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
qBittorrent 4.3.2 v.4.3.2 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.11 Внимание! Скачать обновления
Spotify v.1.1.48.625.g1c87c7f7 Внимание! Скачать обновления
AIMP 4.13.1895.2 v.4.13.1895.2 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat DC v.17.012.20098 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 84.0.2 (x64 ru) v.84.0.2 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
MX5 v.5.3.8.2000 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
---------------------------- [ UnwantedApps ] -----------------------------
Security Task Manager 2.1i v.2.1i Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.

Читайте Рекомендации после удаления вредоносного ПО

@latnik7 · 04.02.2021, 21:13 **[ТС]**

Ну всё, походу всё прекрасно. Malwarebytes Anti-Malware установил, просканировал, 35 файлов кинул в карантин, запрос на повышение прав включил(по умолчанию), Security Task Manager деинсталировал.

Dragokas · 05.02.2021, 15:52

latnik7, для улучшения наших инструментов анализа, пожалуйста:

1) скачайте тестовую версию HiJackThis, сделайте отчёт по инструкции, и прикрепите к вашему сообщению.

2) Запустите редактор реестра (нажать Win + R, ввести regedit, OK). Перейдите к ветке:

Код

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager

Нажмите по ветке Session Manager правой кнопкой мыши => Экспортировать.
Сохраните на рабочий стол, упакуйте в архив и прикрепите к сообщению.

@latnik7 · 06.02.2021, 21:14 **[ТС]**

AutoLogger не удаляется. Лежит на рабочем столе. Удаляешь, в корзине удаляешь, через shift+del удаляешь, через тотал коммандер запущенный с правами администратора удаляешь - при следующем запуске компьютера он как ни в чём не бывало лежит на рабочем столе. внутри CrashDumps внутри неё Maxthon.exe.4192.dmp размер 225МБ.

@latnik7 · 06.02.2021, 21:22 **[ТС]**

Session Manager из реестра и отчёт HiJackThis

@Sandor · 06.02.2021, 21:39

Сообщение от latnik7

AutoLogger не удаляется

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

var PathAutoLogger : string;
begin
clearlog;
if IsWOW64 then SetupAVZ('X64R=NX');
PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now) +#13#10+ PathAutoLogger);
RegKeyDel('HKLM', 'SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps');
RegKeyParamDel('HKLM', 'SOFTWARE\Microsoft\Windows\Windows Error Reporting', 'DontShowUI');
SaveLog(PathAutoLogger+'report.log');
end.

Отчёт report.log покажите и пробуйте удалить Autologger.

@latnik7 5 / 5 / 0 Регистрация: 31.01.2021 Сообщений: 16
	31.01.2021, 19:24 [ТС]	2
	Ах да, ещё не мог нормально скачать Dr.Web CureIt, следующие ссылки не открывались: https://free.drweb.ru/cureit/ https://www.drweb.ua/ Скачивал с французской страницы: https://www.drweb.fr/ https://free.drweb.fr/cureit/ 0

@Sandor 21868 / 15673 / 3021 Регистрация: 08.10.2012 Сообщений: 63,706
	31.01.2021, 21:35	3
	Здравствуйте! Внимание! Рекомендации написаны специально для пользователя latnik7. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); DeleteSchedulerTask('Microsoft\Windows\Conexant\SA2'); DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinDAT'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RebootWindows(false); end. Компьютер перезагрузится. Подготовьте новый CollectionLog. 0

@Sandor 21868 / 15673 / 3021 Регистрация: 08.10.2012 Сообщений: 63,706
	01.02.2021, 09:44	5
	Проблема сохраняется? 0

@latnik7 5 / 5 / 0 Регистрация: 31.01.2021 Сообщений: 16
	01.02.2021, 16:30 [ТС]	6
	По ощущениям майнер больше не работает - включен диспетчер задач или нет, и несмотря на наличие сети комп не шумит, вот уже минут 40 всё тихо. А ошибка по прежнему всплывает. Скриншот прикрепил. Нажимал ОК, она за эти 40мин уже 4ый раз всплыла. Миниатюры $Не удаётся найти файл сценария C:\ProgramData\Windows\Profilealt=.vbs$ 0

@Sandor 21868 / 15673 / 3021 Регистрация: 08.10.2012 Сообщений: 63,706
	01.02.2021, 16:38	7
	Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@Sandor 21868 / 15673 / 3021 Регистрация: 08.10.2012 Сообщений: 63,706
	03.02.2021, 09:19	11
	Что с проблемой? 0

@Sandor 21868 / 15673 / 3021 Регистрация: 08.10.2012 Сообщений: 63,706
	03.02.2021, 17:25	13
	Сообщение от latnik7 могла ли эта программа навредить или она безвредна? Довольно подозрительная. Если самописная, пусть автор напишет соотв. вендорам, после чего они возможно снимут детект. Куда сообщить о ложном срабатывании антивируса? В завершение: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@Sandor 21868 / 15673 / 3021 Регистрация: 08.10.2012 Сообщений: 63,706
	03.02.2021, 20:56	15
	------------------------------- [ Windows ] ------------------------------- Контроль учётных записей пользователя включен Запрос на повышение прав для администраторов отключен Запрос на повышение прав для обычных пользователей отключен ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ --------------------------- [ OtherUtilities ] ---------------------------- Notepad++ (32-bit x86) v.7.8.2 Внимание! Скачать обновления ------------------------------ [ ArchAndFM ] ------------------------------ WinRAR 5.80 (64-разрядная) v.5.80.0 Внимание! Скачать обновления -------------------------- [ IMAndCollaborate ] --------------------------- WhatsApp v.0.4.930 Внимание! Скачать обновления --------------------------------- [ P2P ] --------------------------------- qBittorrent 4.3.2 v.4.3.2 Внимание! Скачать обновления -------------------------------- [ Media ] -------------------------------- VLC media player v.3.0.11 Внимание! Скачать обновления Spotify v.1.1.48.625.g1c87c7f7 Внимание! Скачать обновления AIMP 4.13.1895.2 v.4.13.1895.2 Внимание! Скачать обновления --------------------------- [ AdobeProduction ] --------------------------- Adobe Acrobat DC v.17.012.20098 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - Проверить обновления!^ ------------------------------- [ Browser ] ------------------------------- Mozilla Firefox 84.0.2 (x64 ru) v.84.0.2 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Firefox!^ MX5 v.5.3.8.2000 Внимание! Скачать обновления ^Проверьте обновления через меню О программе!^ ---------------------------- [ UnwantedApps ] ----------------------------- Security Task Manager 2.1i v.2.1i Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Читайте Рекомендации после удаления вредоносного ПО 0

@latnik7 5 / 5 / 0 Регистрация: 31.01.2021 Сообщений: 16
	04.02.2021, 21:13 [ТС]	16
	Ну всё, походу всё прекрасно. Malwarebytes Anti-Malware установил, просканировал, 35 файлов кинул в карантин, запрос на повышение прав включил(по умолчанию), Security Task Manager деинсталировал. 0

Dragokas 18007 / 7708 / 892 Регистрация: 25.12.2011 Сообщений: 11,481 Записей в блоге: 16
	05.02.2021, 15:52	17
	latnik7, для улучшения наших инструментов анализа, пожалуйста: 1) скачайте тестовую версию HiJackThis, сделайте отчёт по инструкции, и прикрепите к вашему сообщению. 2) Запустите редактор реестра (нажать Win + R, ввести regedit, OK). Перейдите к ветке: Код HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager Нажмите по ветке Session Manager правой кнопкой мыши => Экспортировать. Сохраните на рабочий стол, упакуйте в архив и прикрепите к сообщению. 0

@latnik7 5 / 5 / 0 Регистрация: 31.01.2021 Сообщений: 16
	06.02.2021, 21:14 [ТС]	18
	AutoLogger не удаляется. Лежит на рабочем столе. Удаляешь, в корзине удаляешь, через shift+del удаляешь, через тотал коммандер запущенный с правами администратора удаляешь - при следующем запуске компьютера он как ни в чём не бывало лежит на рабочем столе. внутри CrashDumps внутри неё Maxthon.exe.4192.dmp размер 225МБ. Миниатюры $Не удаётся найти файл сценария C:\ProgramData\Windows\Profilealt=.vbs$ 0