Как найти вирус в планировщике заданий

Всем привет! И так, вы словили вирус msi.exe, что же делать? Можно попытаться удалить вирус из "Планировщика заданий", но у вас вряд ли что нибудь выйдет.

После распаковки открываем тот файл которые соответствует разрядности нашей системы, если x32/x86 то - Autoruns; если x64 то - Autoruns64.

Переходим во вкладку "Scheduled Tasks", и ищем файл с названием MSI

Смотрим путь к этому файлу (чуть правее), у меня он был: "c:\users\[username]\appdata\roaming\microsoft\msi.exe", переходим по этому пути.

И что же мы видим? А ничего. Нету тут этого файла, вернее он есть, но мы его не видим

Чтобы его увидеть мы должны посмотреть в левый верхний угол папки и увидеть там "Упорядочить"

Ищем пункт "Параметры папок и поиска" и нажимаем, переходим во вкладку "Вид" и идем вниз.

1. Скрывать защищенные системные файлы.

2. Скрытые файлы и папки.

В первом мы убираем галочку, а во втором ставим точку напротив "Показывать скрытые файлы и папки" как на скрине ниже:

После этого возвращаемся в папку Microsoft и видим что там появились файлы с названием msi.

Пытаемся их удалить, если не получается, переустанавливаем винду, а еще лучше выкидываем компьютер и сидим слушаем радио. Нет. Мы заходим в свойства файла msi и идем во вкладку "Безопасность", там нажимаем "Дополнительно" и видим вот такое окно:

Нам нужно, чтобы везде был полный доступ. Нажимаем "Изменить разрешения" и нажимаем на пользователя которому будем менять разрешения

Ставим галочки во всех пунктах, в столбце "Разрешить". Нажимаем "ОК", должно получится как-то так:

Нажимаем "Применить" и "ОК". И удаляем. То же самое проделываем с оставшимися файлами msi.

Ну вот мы удалили все файлы msi, а ведь задание то осталось, и при чем не удаляется! Что же делать?

Идем по пути: "C:\Windows\System32\Tasks".

Оп-па, что же мы тут видим. Наш любимый MSI. Ну что, проделываем с ним те же процедуры что и с прошлыми файлами, а после удаляем.

Затем снова идем в параметры папок и поиска, и ставим галочку напротив "Скрывать защищенные системные файлы".

Всё, от вируса в Планировщике Заданий мы избавились, как и от лишних проблем с рекламой. Вот пруфы:

Участники

Cообщений: 74

Здравствуйте,где-то подобрал данный вирус,удалить его не могу,так как он изменил права Администратора,по данному пути указаному в планировщике его нет,включаю отображение скрытых файлов и папок,все равно нет,помогите пожалуйста,а то надоело уже ежедневно удалять бред который он устанавливает,а переустанавливать систему не хочется.

Участники

Cообщений: 74

Вот добавил логи,помогите с решением,пожалуйста

Консультанты

Старожилы

Cообщений: 6257

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

После выполнения скрипта компьютер перезагрузится.

- Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

Если вдруг после фикса пропадёт интернет, то пропишите настройки DNS рекомендованные провайдером.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ( "Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt .
• Прикрепите отчет к своему следующему сообщению.

• 
  Спасибо x 1
• Показать

Участники

Cообщений: 74

Thank you for contacting Kaspersky Lab

The files have been scanned in automatic mode.

No information about the specified files can be found in the antivirus databases:
Ea3Host.exe
Вoйти в Интeрнeт.lnk
wupdate.exe

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

This is an automatically generated message. Please do not reply to it.

Anti-Virus Lab, Kaspersky Lab HQ

newvirus@kaspersky.c om [KLAN-6643976825]

Консультанты

Старожилы

Cообщений: 6257

1) Проверьте, пожалуйста, такой файл у вас есть?

4)

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools -> Options ( Инструменты -> Настройки) отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Scan" ( "Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ( "Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt .
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера . .

5) Повторите лог Автлогера.

• 
  Спасибо x 1
• Показать

Участники

Cообщений: 74

C : \Program Files \Windows Sidebar \Sidebar . exe

Нету в папке,я не вижу их,пишут,что msi мог изменить мне права.

YoutubeAdBlock [ 2017 / 08 / 11 14 : 31 : 17 ]--> C : \Program Files ( x86 ) \d CHHaxjOpqUn \tobeEnoGxl . exe

Тоже нету,но я удалил его через Uninstalltool

Выполнил
Пункт 4+5 выполнил
Вот результаты

Консультанты

Старожилы

Cообщений: 6257

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools -> Options ( Инструменты -> Настройки) отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Scan" ( "Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ( "Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt .
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера . .

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирован

• 
  Спасибо x 1
• Показать

Участники

Cообщений: 74

Не удалили. Удалите, затем

А его обязательно удалять?Это центр прост,я через него в игру играю короче,я его вручную устанавливал

Игровой центр [ 2017 / 07 / 29 10 : 46 : 27 ]--> "C:\Users\ASUS\AppData\Local\Mail.Ru\GameCenter\GameCenter@Mail.Ru.exe" - uninstall

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt .
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера . .

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирован

Вирус в планировщике задач и другая вылезающая реклама.

1. На сколько я смог разобраться как минимум от один источник того что у меня открывает сам браузер и там реклама это некая задача в планировщике задач, как я не пытался его остановить , удалить или завершить, система не дает мне этого сделать вообще (называется задача "Internet AC" действия открыть браузер и перекинуть на сайт timeinsnewsing.com/cooplandsm каждые 22 минуты до бесконечности, если надо могу скрин сделать с ним и что мне отвечает система на его удаление или завершение).

2. Так же вылезает реклама по той же схеме через другой сайт (rwtrallflebies. ru) откуда и что его открывает я без понятия. Проверил как у вас написано антивирусами, что-то было , но явно не это.

3. Не знаю проблема в вирусах или в чем, но я уверен что раньше при загрузке винды у меня не было загружена оперативная память сразу на 43-52%. Если есть варианты и тут помочь хотя бы советами , буду очень благодарен.

Последний раз редактировалось takhopm; 25.11.2016 в 20:45 .

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

Уважаемый(ая) takhopm, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

Даже в безопасном режиме загрузка памяти больше 35%.

Выполните скрипт в AVZ:(в Windows Vista/7/8/10 программу необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
+

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt .
• Прикрепите отчет к своему следующему сообщению.

Вроде все сделал как вы написали, разве что файл есть только AdwCleaner[S0], а не [S1]. Логи прикрепил.

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

+
Скачайте Farbar Recovery Scan Tool
и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.


3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

Вроде все сделал как сказали. Из планировщика пропала задача по открытию, но реклама все еще вылезает когда открыт браузер.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

Сделал как вы просили, честно говоря потерял все закрепленые пароли на сайтах , все настройки браузера и что самое печальное все вкладки, коих у меня было очень много, но это вроде можно вернуть. Проблема пока никуда не делась.

Я смотрю вообще по форуму у всех одна и та же проблема можно сказать.

Последний раз редактировалось takhopm; 26.11.2016 в 19:38 .

Некоторое время назад совсем недавно со мной произошла неприятная история. Для сферы программирования мне нужно было найти некое видео, объясняющее что делать в ситуации, которая у меня сложилась. Как обычно, я начал розыск по торрент трекерам в поисках заветного материала. На одном из них я скачал файл .exe, который надо было запустить, и он запишет в загрузки файл, для последующего открытия в программе торрент-клиент. Вообще я, как и любая антивирусная утилита, очень отрицательно относимся к такому роду документов, и если нет выхода, то запускаю их на виртуальной машине. Но из-за того, что очень большой промежуток времени (где-то более года) мне не попадался такой вид вредоносных файлов моя бдительность притупилась, и я имел неосторожность запустить данную программу на своей рабочей машине. Антивирус соответственно был отключён, т.к. со старта ругается на такие файлы. Помимо торрента программа занесла мне на компьютер вирус, причём ВНИМАНИЕ, данный вирус не определялся никакой антивирусной программой как вредоносный. Но нет худа без добра, во время борьбы с этой злокачественной опухолью для компьютера я научился некоторым новым вещам. Таким, как обнаружить и удалить вирус в компьютере вручную, про это и хочу поведать вам в данной статье.

В тот момент, когда я заходил на компьютер из-под учётной записи Microsoft, фактически сразу выскакивала командная строка (вот обнаглели прям не стесняясь), на которой появлялась линия загрузки. Вирус устанавливал ненужный софт, и ещё что-то скачивал из инета, жаль, что я не догадался запечатлеть данное событие на скриншот, по той причине, что тогда меня ещё не посетила мысль написать статью на эту тему. Все же некоторые моменты я смог сфотографировать, а то что не смог, постараюсь описать на словах. После того как полоса загрузки на командной строке доходила до конца то Cmd исчезала и появлялось окно, как вот, типа, от имени администратора появляется, на котором было написано, что некое "ООО GROMKO" хочет установить свои обновления в систему. Не будь я бывалым в этом деле то наверняка нажал бы на "ДА", без лишних сомнений.

Я копнул немного глубже и обнаружил что помимо мнимых обновлений данный вирус ещё хочет дополнительно установить свои сертификаты безопасности, которые признавались ОС и антивирусом как нормальные, то есть не вредоносные. А когда вся эта байда заканчивалась, в процессе которого я всё время отказывал в установке того или иного компонента, в браузере начинали выскакивать страницы с рекламой. Даже если браузер был закрыт, то вредоносная программа открывала его сама. Но как только всё закрывалось больше ничего не беспокоило до следующего входа в систему (может быть перезагрузка, или включение выключение тоже). А со следующим входом всё начиналось по новой. Конечно я был в замешательстве, антивирус словить не может и выскакивает всё это дело только при довольно деликатных условиях. Думал я, думал, как изловить эту заразу, Windows переустанавливать не хотелось, да и откат не сильно помог бы потому что, после последней точки восстановления я установил несколько вещей для переустановки которых нужно было бы потратить некоторое время. Вскоре я таки додумался до некого решения.

Если вы попали в такую, либо, похожую ситуацию всё можно решить встроенными средствами операционной системы. Первое что требуется это отследить какой именно файл запускает этот процесс, поэтому во время запуска вредоносного кода нужно быстро открыть "Диспетчер задач" и перейти во вкладку "Подробности". Там, в первых рядах можно будет увидеть какие процессы и у каких программ работают в эту минуту. Просто следует немного присмотреться и вы сразу увидите отличие плохого от нормальных процессов запущенных программ. В моём случае он имел название 5990957.exe. Взгляните на скриншот ниже сразу заметно отличие не так ли?

Этот скриншот я создал с помощью Фотошопа по причине, описанной выше (тогда не думал, что буду писать статью на эту тему), но, точно так, выглядело у меня на компьютере, на самом деле, когда всё произошло. После того как будет обнаружен вредитель, потребуется найти его месторасположение. Поэтому надо нажать правой кнопкой мышки на самом процессе и в появившемся списке выбрать строку "Открыть расположение файла".

После того как система переведёт вас в папку с файлом в моём случае это была системная директория "C:\Windows\SysWOW64" (о ужас), нужно его удалить вручную, то есть кликнуть на нём правой кнопкой мышки и выбрать строку "Удалить". Часть проблемы была решена был удалён сам вирус, но при входе в систему у меня всё ещё открывались окна браузера с рекламой.

Был удалён вредоносный файл, который запускал командную строку и все свои функции в ней, то есть, загрузка с интернета неких файлов и сертификатов безопасности, а также, вызов окна с помощью которого пользователь должен был дать своё разрешение на установку, а ещё создание некоторых задач если их там нет, в планировщике заданий Windows. Следующим шагом потребуется удалить последствия вредоносной работы программы. Как вы уже, наверное, догадались нужно будет выполнить некие действия в Планировщике задач Windows.

Кликнув два раза на первой строке и после того как открылось окно я перешёл во вкладку "Действия", для того чтобы просмотреть что данная задача делает. Как я и догадывался это были те остатки, от вируса которые мне мешали. Две задачи запускали командную строку, а третья открывала окно браузера соответственно при стечении определённых обстоятельств. Та что открывала браузер находится посередине, на втором скриншоте. Также вы можете увидеть, что в строке "Программа или сценарий" прописан браузер Google Chrome, а в поле "Добавить аргументы" прописан адрес (URL страницы) по которому открывалось окно с рекламой.

Дело остаётся за малым надо просто их удалить. Поэтому следует кликнуть на каждой из них правой кнопкой мышки и из появившегося контекстного меню выбрать опцию "Удалить".

До того, как был открыт "Планировщик заданий" я проверил ещё службы на наличие вредоносного программного обеспечения. Также в службах существовала строка, которая мне не понравилась. Вы можете увидеть её на скриншотах ниже.

Службы я оставил напоследок, но после того как я провёл все процедуры, про которые писал выше то она исчезла. На следующем скриншоте показан файл вируса уже у меня в корзине на рабочем столе.

Вот, так, не прибегая к дополнительным инструментам, я научился тому, как удалить все вирусы с компьютера windows. Если у вас появятся вопросы, то лучше всего пишите на email сайта pcompstart или заполните и отправьте форму со страницы "Контакты". Также вы можете оставить комментарий, и когда у меня появится время я обязательно отвечу.

Коментарии(1)

ну это ещё повезло. обычно такие файлы удалить просто не возможно ни чем. у них неправильный код и название. это может быть просто повреждённый файл но скорее всего вирус.. у автора может был и не вирус а просто надоедливая реклама по установке браузера chrome (есть такой). в принципе установить можно но если много разных программ в том числе и браузеров и антивирусов то тормозить систему будут. а пользы никакой. ведь не пользуешься же сразу несколькими браузерами одновременно. они не вирусы но сидят в рабочей панели. что тормозит загрузку. обычно после полугода накапливается всего обычно при пользовании интернетом что требуется просто переустановка системы. только не держи важные файлы на разделе С и всё.