Подозрительный dssec.exe

@mir3xxx · Регистрация: 03.03.2012

Author24 — интернет-сервис помощи студентам

Доброго времени суток!
При загрузке системы появляется командная строка и текст:
"Не удается найти
C:\...\Windows\chhtiddh\ggtbadfi.exe"
При этом в процессах висит какой-то dssec.exe
Появилась также служба со схожим именем.

ПРосьба помочь.
Заранее благодарю!

@severnyj · 10.10.2018, 22:21

Деинсталлируйте следующие приложения, если сами не устанавливали:

MediaGet
Online Application

Выполните скрипт в AVZ из папки Autologger

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\ona_v\appdata\roaming\dssec\dssec.exe');
 QuarantineFile('C:\Users\ona_v\AppData\Roaming\Microsoft\Windows\chhtiddh\ggtbadfi.exe', '');
 QuarantineFile('C:\Users\ona_v\AppData\Roaming\Versions Watcher\Versions Watcher.exe', '');
 QuarantineFile('C:\ProgramData\Quoteex\Quoteex.exe', '');
 QuarantineFile('C:\Users\ona_v\AppData\Roaming\dssec\dssec.dll', '');
 QuarantineFile('c:\users\ona_v\appdata\roaming\dssec\dssec.exe', '');
 DeleteFile('C:\Users\ona_v\AppData\Roaming\dssec\dssec.dll', '32');
 DeleteFile('C:\Users\ona_v\AppData\Roaming\dssec\dssec.exe', '64');
 DeleteFile('C:\ProgramData\Quoteex\Quoteex.exe', '64');
 DeleteFile('C:\Users\ona_v\AppData\Roaming\Versions Watcher\Versions Watcher.exe', '64');
 DeleteFile('C:\Users\ona_v\AppData\Roaming\Microsoft\Windows\chhtiddh\ggtbadfi.exe', '64');
 DeleteFile('C:\Users\ona_v\AppData\Roaming\dssec\dssec.exe', '32');
 DeleteService('Versions Watcher');
 DeleteService('Quoteex');
 DeleteService('dssec');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'DelayShred', 'x32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'DelayShred', 'x64');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ClientTask');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ServerTask');
 DeleteSchedulerTask('Opera scheduled Autoupdate 2796787680');
ExecuteSysClean;
 ExecuteWizard('TSW', 2, 3, true);
RebootWindows(true);
end.

Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Прикреплять карантин к сообщениям на форуме ЗАПРЕЩЕНО!!!

@mir3xxx · 10.10.2018, 22:28 **[ТС]**

Спасибо!
Карантин загрузил
2018.10.10_quarantine_16db220f8ae42867271820cdd6ec6a75.7z

Сообщение от severnyj

Деинсталлируйте следующие приложения

нет таких в панели управления...

Проблема после перезагрузки не решилась

@severnyj · 10.10.2018, 22:30

Подготовьте логи FRST: https://www.cyberforum.ru/post7151340.html

@mir3xxx · 10.10.2018, 22:35 **[ТС]**

Сообщение от severnyj

Подготовьте логи FRST: https://www.cyberforum.ru/post7151340.html

готово

@severnyj · 10.10.2018, 22:46

Отключите до перезагрузки антивирус.
Выделите следующий код:

Код

Start::
CreateRestorePoint:
Startup: C:\Users\ona_v\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\chhtiddh.lnk [2018-10-09]
ShortcutTarget: chhtiddh.lnk -> C:\Windows\System32\cmd.exe (Microsoft Corporation)
SearchScopes: HKU\S-1-5-21-2823723291-1554707507-2781126373-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
CHR HKLM-x32\...\Chrome\Extension: [ablpcikjmhamjanpibkccdmpoekjigja] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf] - hxxp://clients2.google.com/service/update2/crx
2018-10-09 21:06 - 2018-10-11 00:25 - 000000000 ____D C:\Users\ona_v\AppData\Roaming\Versions Watcher
2018-10-09 21:06 - 2018-10-11 00:24 - 000000000 ____D C:\Users\ona_v\AppData\Roaming\dssec
2018-10-09 21:06 - 2018-10-09 21:06 - 007787008 _____ () C:\Users\ona_v\AppData\Local\agent.dat
2018-10-09 21:06 - 2018-10-09 21:06 - 000070896 _____ () C:\Users\ona_v\AppData\Local\Config.xml
2018-10-09 21:06 - 2018-10-09 21:06 - 002018352 _____ () C:\Users\ona_v\AppData\Local\Greenstrong.tst
2018-10-09 21:06 - 2018-10-09 21:06 - 000005568 _____ () C:\Users\ona_v\AppData\Local\md.xml
2018-10-09 21:06 - 2018-10-09 21:06 - 000126464 _____ () C:\Users\ona_v\AppData\Local\noah.dat
2018-10-09 21:06 - 2018-10-09 21:06 - 001413120 _____ () C:\Users\ona_v\AppData\Local\sham.db
2018-10-09 21:07 - 2018-10-09 21:07 - 001895384 _____ () C:\Users\ona_v\AppData\Local\Strongkix.bin
2018-10-09 21:07 - 2018-10-09 21:07 - 000032038 _____ () C:\Users\ona_v\AppData\Local\uninstall_temp.ico
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

@mir3xxx · 10.10.2018, 22:51 **[ТС]**

Выполнено!
После перезагрузки проблема исчезла!
Спасибо огромное!

@severnyj · 10.10.2018, 22:53

Переименуйте FRST.exe в Uninstall.exe и запустите.

Подготовьте лог SecurityCheck by glax24: https://safezone.cc/resources/... 5/download

@mir3xxx · 10.10.2018, 22:57 **[ТС]**

Сообщение от severnyj

Переименуйте FRST.exe в Uninstall.exe и запустите.

Ничего не изменилось.
Запустилась программы FRST64

@mir3xxx · 10.10.2018, 23:01 **[ТС]**

Прошу прощения, опечатался при переименовании программы.
Все удалилось

@severnyj · 10.10.2018, 23:04

Обновляйте:

NVIDIA GeForce Experience 3.11.0.73 v.3.11.0.73 Внимание! Скачать обновления
Yandex v.18.7.1.920 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

И читайте: Рекомендации после удаления вредоносного ПО

@mir3xxx · 10.10.2018, 23:04 **[ТС]**

Более ничего не нужно делать?

@severnyj · 10.10.2018, 23:07

Случайно удалил Вам cmd.exe скачайте и распакуйте в папку C:\Windows\System32

@mir3xxx · 10.10.2018, 23:08 **[ТС]**

Сообщение от severnyj

скачайте и распакуйте в папку C:\Windows\System32

готово!

@severnyj · 10.10.2018, 23:09

Тогда удачи))

@mir3xxx · 10.10.2018, 23:09 **[ТС]**

СПАСИБо Вам огроменное! =)

Новые блоги и статьи
Как использовать глобальную переменную в функции в Python bytestream 25.01.2025 В программировании на Python глобальные переменные представляют собой особый тип переменных, которые доступны для использования во всех частях программы, включая различные функции, классы и модули. . . .	Как в цикле обойти все элементы map в Java bytestream 25.01.2025 В разработке на Java одной из наиболее востребованных структур данных является интерфейс Map, который предоставляет эффективный способ хранения и управления парами "ключ-значение". Разработчики. . .	Для чего нужен UserManager.isUserAGoat() в Android и как это использовать bytestream 25.01.2025 В мире Android-разработки существует множество интересных и порой загадочных функций, о которых знают далеко не все разработчики. Одной из таких функций является метод UserManager. isUserAGoat(),. . .	Как обойти масси в JavaScript. Всё о циклах bytestream 25.01.2025 JavaScript представляет собой мощный язык программирования, широко используемый в веб-разработке, где массивы и циклы являются фундаментальными концепциями для эффективной работы с данными. Массив в. . .	Как сделать, чтобы существующая ветка отслеживала удалённую в Git. Связывание локальных и удалённых веток bytestream 25.01.2025 В разработке программного обеспечения системы контроля версий стали неотъемлемой частью процесса создания качественного программного продукта. Эти инструменты позволяют разработчикам эффективно. . .	Как проверить, что файл НЕ существует с помощью Bash bytestream 25.01.2025 В системном администрировании проверка существования файлов является фундаментальной операцией, особенно при написании скриптов на Bash. Правильная обработка ситуаций, когда файл отсутствует,. . .
Как проверить, что строка пустая, неопределена или null в JavaScript bytestream 25.01.2025 При разработке веб-приложений на JavaScript разработчики регулярно сталкиваются с необходимостью проверки строковых значений на различные состояния. Валидация данных является критически важным. . .	Как проверить существование ключа в объекте или массиве в JavaScript bytestream 25.01.2025 При разработке веб-приложений на JavaScript программисты постоянно сталкиваются с необходимостью работать с объектами и массивами. Эти структуры данных являются фундаментальными элементами языка и. . .	Как создать ArrayList из массива (array) в Java bytestream 25.01.2025 При разработке программного обеспечения на языке Java программисты часто сталкиваются с необходимостью эффективного управления наборами данных. Массивы и ArrayList являются двумя фундаментальными. . .	Как сгенерировать случайные целые числа (int) в указанном диапазоне в Java bytestream 25.01.2025 В программировании генерация случайных чисел является важнейшим инструментом для решения множества практических задач. От создания игровых механик до реализации алгоритмов машинного обучения, от. . .	Как сделать, чтобы grep выводил строки до и после найденной hw_wired 25.01.2025 Утилита grep стала незаменимым инструментом для поиска и фильтрации информации в Unix-подобных операционных системах. Эта командная утилита позволяет осуществлять поиск строк, соответствующих. . .	Как клонировать определенную ветку в Git bytestream 24.01.2025 Одной из ключевых функций Git является возможность клонирования веток, что позволяет создавать локальные копии удаленных репозиториев и работать с определенными версиями проекта. Этот механизм. . .

Подозрительный dssec.exe

Решение

Решение

@mir3xxx 5 / 5 / 1 Регистрация: 03.03.2012 Сообщений: 118
	10.10.2018, 22:28 [ТС]	3
	Спасибо! Карантин загрузил 2018.10.10_quarantine_16db220f8ae42867271820cdd6ec6a75.7z Сообщение от severnyj Деинсталлируйте следующие приложения нет таких в панели управления... Проблема после перезагрузки не решилась 0

@severnyj 4984 / 2283 / 399 Регистрация: 04.04.2012 Сообщений: 8,322
	10.10.2018, 22:30	4
	Подготовьте логи FRST: https://www.cyberforum.ru/post7151340.html 1

@severnyj 4984 / 2283 / 399 Регистрация: 04.04.2012 Сообщений: 8,322
	10.10.2018, 22:53	8
	Переименуйте FRST.exe в Uninstall.exe и запустите. Подготовьте лог SecurityCheck by glax24: https://safezone.cc/resources/... 5/download 1

@mir3xxx 5 / 5 / 1 Регистрация: 03.03.2012 Сообщений: 118
	10.10.2018, 23:01 [ТС]	10
	Прошу прощения, опечатался при переименовании программы. Все удалилось 0

@severnyj 4984 / 2283 / 399 Регистрация: 04.04.2012 Сообщений: 8,322
	10.10.2018, 23:04	11
	Обновляйте: NVIDIA GeForce Experience 3.11.0.73 v.3.11.0.73 Внимание! Скачать обновления Yandex v.18.7.1.920 Внимание! Скачать обновления ^Проверьте обновления через меню Дополнительно - О браузере Yandex!^ И читайте: Рекомендации после удаления вредоносного ПО 1

@mir3xxx 5 / 5 / 1 Регистрация: 03.03.2012 Сообщений: 118
	10.10.2018, 23:04 [ТС]	12
	Более ничего не нужно делать? 0

@mir3xxx 5 / 5 / 1 Регистрация: 03.03.2012 Сообщений: 118
	10.10.2018, 23:08 [ТС]	14
	Сообщение от severnyj скачайте и распакуйте в папку C:\Windows\System32 готово! 0

@severnyj 4984 / 2283 / 399 Регистрация: 04.04.2012 Сообщений: 8,322
	10.10.2018, 23:09	15
	Сообщение было отмечено mir3xxx как решение Решение Тогда удачи)) 1

@mir3xxx 5 / 5 / 1 Регистрация: 03.03.2012 Сообщений: 118
	10.10.2018, 23:09 [ТС]	16
	СПАСИБо Вам огроменное! =) 1