Сама открывается самораспаковывающийся архив WinRar

@AnonimUser · Регистрация: 03.11.2018

Author24 — интернет-сервис помощи студентам

Всем доброго времени суток. Недавно у меня появилась проблема с ПК - он сам стал открывать некий "Самораспаковывающийся архив WinRar", файл которого находится в C:\Windows\System32 и называется component.exe. Если его не закрыть, то он будет открывать всё новые и новые копии себя, а также при открытии он сворачивает все остальные приложения. Пытался заблокировать его запуск через реестр - не помогло. Прошу помощи у вас. Скриншоты прилагаются.

@vavun · 14.03.2019, 16:31

А удалить не судьба ?

@AnonimUser · 14.03.2019, 17:09 **[ТС]**

Пытался конечно - но она потом сама восстанавливается, даже если я ПК не перезапускаю.

gecata · 14.03.2019, 17:13

AnonimUser, А вы к вирусологам обратиться не хотите? Если соберёте требуемое тут Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему , перенесу вашу тему туда

@AnonimUser · 14.03.2019, 19:40 **[ТС]**

Логи собрал, прикрепил.

@thyrex · 15.03.2019, 18:25

Выполните скрипт в AVZ из папки Autologger

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('C:\Users\AnonimUser\AppData\Roaming\Microsoft\Components\DotNETSDK\v2.9\lib\x64\cock.exe');
 TerminateProcessByName('C:\Users\AnonimUser\AppData\Roaming\Microsoft\Components\DotNETSDK\v2.9\lib\x64\lzma.exe');
 QuarantineFile('C:\Users\AnonimUser\AppData\Roaming\Microsoft\Components\DotNETSDK\v2.9\lib\x64\lzma.exe','');
 QuarantineFile('C:\Users\AnonimUser\AppData\Roaming\Microsoft\Components\DotNETSDK\v2.9\lib\x64\cock.exe','');
 DeleteFile('C:\Users\AnonimUser\AppData\Roaming\Microsoft\Components\DotNETSDK\v2.9\lib\x64\cock.exe','32');
 DeleteFile('C:\Users\AnonimUser\AppData\Roaming\Microsoft\Components\DotNETSDK\v2.9\lib\x64\lzma.exe','32');
 RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Windows PowerShell\PowerShell','x64');
 DeleteSchedulerTask('NvidiaDriversUpdateCheckDaily');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Прикреплять карантин к сообщениям на форуме ЗАПРЕЩЕНО!!! .

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

@AnonimUser · 15.03.2019, 20:55 **[ТС]**

Всё сделал, отправил через форму, имя карантина - 2019.03.15_quarantine_dbe8a034acfcfd6ba6dd63d7939a6745.7z
Новый лог тоже приложил.

@AnonimUser · 15.03.2019, 21:01 **[ТС]**

Вот он

@thyrex · 16.03.2019, 07:29

Скачайте Farbar Recovery Scan Tool [img]https://i.**********/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
[img]https://i.**********/3munStB.png[/img]
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

@AnonimUser · 16.03.2019, 10:43 **[ТС]**

Сделано, архив прикрепляю.

@thyrex · 16.03.2019, 15:11

1. Выделите следующий код:

Код

Start::
CreateRestorePoint:
S3 cvnhaotxe; \??\C:\Windows\system32\cvnhaotxe.sys [X]
S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X]
2019-03-15 13:53 - 2019-03-15 13:53 - 000000000 __SHD C:\found.003
Folder: C:\Users\AnonimUser\AppData\Roaming\Microsoft\Components\DotNETSDK\v2.9\lib\x64
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание: будет выполнена перезагрузка компьютера.

@AnonimUser · 17.03.2019, 02:09 **[ТС]**

Всё плохо. ПК перезапустился, но вылетел BSoD Bad_System_Config_Info. Загрузка последней успешной конфигурации - та же история, безопасный режим - тоже. Что делать - без понятий. Если что, загрузочная флешка есть, но опять сносить винду ох как не хотелось бы.

@thyrex · 17.03.2019, 07:59

Ничего критичного для системы последний скрипт не трогал. Попробуйте с загрузочной флешки сделать откат на ранее созданную точку восстановления

@AnonimUser · 17.03.2019, 09:20 **[ТС]**

Теперь при обычном запуске проходит CHKDSK, но на диске С: вылезает такая штука ( файл прикрепил ). А точку восстановления с звгрузочной флешки он не видит. Если можно, то прошу подробную инструкцию по восстановлению ПК через точку восстановления. Вот запускаюсь я через загрузочную флешку, выбираю восстановление системы, потом восстановление системы. Он пишет, что на системном диске нет точек восстановления. Если использовать восстановление образа системы, то он не находит образов системы.

@thyrex · 17.03.2019, 12:56

Похоже на проблему с винчестером (или с одним из хотфиксов 766f6c756d652e63 3f1 при проверке диска)

@AnonimUser · 17.03.2019, 15:15 **[ТС]**

Да, скорее всего винт полетел, последнее время много BSoD с ним вылетало. В любом случае, попробую скормить ему фикс, а если не выйдет - снесу другой винт и поставлю туда чистую семёрку с флешки.

Добавлено через 1 час 46 минут
Интересно. Вытащил неработающий винт из ПК, снёс винду на другом, запустился, а в Компьютере показывает, что сломанный винт подключен, но один его том не работает ( "Структура диска повреждена" ), а том со старой системой живой и с файлами на нём работать можно, несмотря на то, что физически он отключен. Что за магия?

@AnonimUser · 17.03.2019, 15:48 **[ТС]**

Сделал скрин

@thyrex · 17.03.2019, 16:01

В любом случае это не вирусная проблема уже.

@AnonimUser · 17.03.2019, 16:34 **[ТС]**

Всё, разобрался, в общем, там в корпусе за стенкой провода так перепутались и казалось, что отключён жёсткий диск, а на самом деле - дисковод. Ладно, тема закрыта, спасибо за помощь.

@AnonimUser 0 / 0 / 0 Регистрация: 03.11.2018 Сообщений: 18
		1
	Сама открывается самораспаковывающийся архив WinRar 14.03.2019, 16:30. Показов 13374. Ответов 18 Метки нет (Все метки) Всем доброго времени суток. Недавно у меня появилась проблема с ПК - он сам стал открывать некий "Самораспаковывающийся архив WinRar", файл которого находится в C:\Windows\System32 и называется component.exe. Если его не закрыть, то он будет открывать всё новые и новые копии себя, а также при открытии он сворачивает все остальные приложения. Пытался заблокировать его запуск через реестр - не помогло. Прошу помощи у вас. Скриншоты прилагаются. Миниатюры 0

@vavun 10585 / 5548 / 864 Регистрация: 07.04.2013 Сообщений: 15,660
	14.03.2019, 16:31	2
	А удалить не судьба ? 0

@AnonimUser 0 / 0 / 0 Регистрация: 03.11.2018 Сообщений: 18
	14.03.2019, 17:09 [ТС]	3
	Пытался конечно - но она потом сама восстанавливается, даже если я ПК не перезапускаю. 0

gecata Модератор 15901 / 7923 / 755 Регистрация: 03.01.2012 Сообщений: 32,863
	14.03.2019, 17:13	4
	AnonimUser, А вы к вирусологам обратиться не хотите? Если соберёте требуемое тут Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему , перенесу вашу тему туда 0

@AnonimUser 0 / 0 / 0 Регистрация: 03.11.2018 Сообщений: 18
	15.03.2019, 20:55 [ТС]	7
	Всё сделал, отправил через форму, имя карантина - 2019.03.15_quarantine_dbe8a034acfcfd6ba6dd63d7939a6745.7z Новый лог тоже приложил. 0

@thyrex 13216 / 7346 / 1558 Регистрация: 06.09.2009 Сообщений: 26,868
	16.03.2019, 07:29	9
	Скачайте Farbar Recovery Scan Tool [img]https://i.********/NAAC5Ba.png[/img] и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan** отмечены List BCD, Driver MD5 и 90 Days Files. [img]https://i.********/3munStB.png[/img] 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив**) и прикрепите к сообщению. 1

@thyrex 13216 / 7346 / 1558 Регистрация: 06.09.2009 Сообщений: 26,868
	16.03.2019, 15:11	11
	1. Выделите следующий код: Код Start:: CreateRestorePoint: S3 cvnhaotxe; \??\C:\Windows\system32\cvnhaotxe.sys [X] S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X] 2019-03-15 13:53 - 2019-03-15 13:53 - 000000000 __SHD C:\found.003 Folder: C:\Users\AnonimUser\AppData\Roaming\Microsoft\Components\DotNETSDK\v2.9\lib\x64 Reboot: End:: 2. Скопируйте выделенный текст (правая кнопка мыши – Копировать). 3. Запустите Farbar Recovery Scan Tool. 4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера. 1

@AnonimUser 0 / 0 / 0 Регистрация: 03.11.2018 Сообщений: 18
	17.03.2019, 02:09 [ТС]	12
	Всё плохо. ПК перезапустился, но вылетел BSoD Bad_System_Config_Info. Загрузка последней успешной конфигурации - та же история, безопасный режим - тоже. Что делать - без понятий. Если что, загрузочная флешка есть, но опять сносить винду ох как не хотелось бы. 0

@thyrex 13216 / 7346 / 1558 Регистрация: 06.09.2009 Сообщений: 26,868
	17.03.2019, 07:59	13
	Ничего критичного для системы последний скрипт не трогал. Попробуйте с загрузочной флешки сделать откат на ранее созданную точку восстановления 1

@AnonimUser 0 / 0 / 0 Регистрация: 03.11.2018 Сообщений: 18
	17.03.2019, 09:20 [ТС]	14
	Теперь при обычном запуске проходит CHKDSK, но на диске С: вылезает такая штука ( файл прикрепил ). А точку восстановления с звгрузочной флешки он не видит. Если можно, то прошу подробную инструкцию по восстановлению ПК через точку восстановления. Вот запускаюсь я через загрузочную флешку, выбираю восстановление системы, потом восстановление системы. Он пишет, что на системном диске нет точек восстановления. Если использовать восстановление образа системы, то он не находит образов системы. Миниатюры 0

	17.03.2019, 16:34

@thyrex 13216 / 7346 / 1558 Регистрация: 06.09.2009 Сообщений: 26,868
	17.03.2019, 12:56	15
	Сообщение было отмечено AnonimUser как решение Решение Похоже на проблему с винчестером (или с одним из хотфиксов 766f6c756d652e63 3f1 при проверке диска) 1

@AnonimUser 0 / 0 / 0 Регистрация: 03.11.2018 Сообщений: 18
	17.03.2019, 15:15 [ТС]	16
	Да, скорее всего винт полетел, последнее время много BSoD с ним вылетало. В любом случае, попробую скормить ему фикс, а если не выйдет - снесу другой винт и поставлю туда чистую семёрку с флешки. Добавлено через 1 час 46 минут Интересно. Вытащил неработающий винт из ПК, снёс винду на другом, запустился, а в Компьютере показывает, что сломанный винт подключен, но один его том не работает ( "Структура диска повреждена" ), а том со старой системой живой и с файлами на нём работать можно, несмотря на то, что физически он отключен. Что за магия? 0

@AnonimUser 0 / 0 / 0 Регистрация: 03.11.2018 Сообщений: 18
	17.03.2019, 15:48 [ТС]	17
	Сделал скрин Миниатюры 0

@thyrex 13216 / 7346 / 1558 Регистрация: 06.09.2009 Сообщений: 26,868
	17.03.2019, 16:01	18
	В любом случае это не вирусная проблема уже. 1

@AnonimUser 0 / 0 / 0 Регистрация: 03.11.2018 Сообщений: 18
	17.03.2019, 16:34 [ТС]	19
	Всё, разобрался, в общем, там в корпусе за стенкой провода так перепутались и казалось, что отключён жёсткий диск, а на самом деле - дисковод. Ладно, тема закрыта, спасибо за помощь. 0

Сама открывается самораспаковывающийся архив WinRar

Решение