Активность

Сделал AV_block_remove_2025.09.15-09.40.log CollectionLog-2025.09.15-09.55.zip

Добрый день! Fixlog.txt

Обьект: app.dll Путь: C:\Users\Kostya\AppData\Local\Temp\2ZvUszGBODCz5KZzRQ7mSDo50rn\resources\app.asar.unpacked\dist\electron\assets\app.dll

Изначально, вчера на своём компьютере обнаружил вирус Tool.btcmine.2714 с помощью dr web cureit. Удалил его и выключил компьютер, также отрубил интернет на всякий случай. Сегодня сутра проснулся и решил проверить пк снова, tool.btcmine.2714 уже не было, но появился некий Trojan.Siggen31.46344. Его я также попытался удалить \ вылечить. Но при перезагрузке ПК вирус остаётся на месте. Что делать? И связано ли это CollectionLog-2025.09.15-09.08.zipкак то с tool.btcmine.2714? По инструкции прикрепил логи.

В целом - ничего критичного логи не показывают. Сделаем некоторую очистку мусорных записей. "Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = 127.0.0.1:10808 (enabled) R1 - HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies: (default) = 1127.0.0.1:10808 Перезагрузите компьютер. Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.

CollectionLog-2025.09.15-02.46.zip

Здравствуйте! Вложение по какой-то причине недоступно. Загрузите, пожалуйста, ещё раз. Можно следующим сообщением.

Две одинаковых чего? Флешки? Или две системы? Я всё же склоняюсь к мнению, что это неисправность самого носителя. Но посоветуйтесь в соседнем разделе форума. По нашей части в завершение: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратораЕсли увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работуДождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txtЕсли Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txtПрикрепите этот файл к своему следующему сообщению.

С Днём Рождения!

Спасибо большое!!!

Скачайте AV block remover (или с зеркала). Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем. Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads). В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению. После перезагрузки системы соберите новый CollectionLog Автологером (уже пробуйте в нормальном режиме загрузки).

+ Добавьте, пожалуйста, отчет по обнаружениям и сканированию из Касперского + дополнительно сделайте образ автозапуска системы в uVS с ! отслеживанием процессов и задач !. Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса. 1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог. 2. запустите из каталога с модулями uVS файл Start.exe (для Vista, W7- W11 выберите запуск от имени Администратора) 3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора) 3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4 Если запросили образ автозапуска с ! отслеживанием процессов и задач !: В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6. 4. Далее, меню "Файл" / Сохранить Полный образ автозапуска. 5. Дождитесь, пока процесс создания файла образа завершится. Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

Kaspersky Club | Клуб «Лаборатории Касперского» поздравляет всех празднующих сегодня день рождения юзеров. Nikiror (31)Падший Ангел (38)BAS777 (47)

Если других устройств где был найден запуск шифровальщика более нет, то на этом и завершим работу по вашей теме. Далее, вам надо будет самостоятельно привести зараженные системы в рабочее состояние, выполнить рекомендации по защите от шифровальщиков, чтобы не повторились новые атаки.

Судя по логам на этом устройстве не было запуска шифровальщиков. Нет зашифрованных файлов. Проверяйте на другим ПК, где мог быть запуск шифровальщика. В папке c:\temp должен быть файл session.tmp

Здравствуйте, в последнее время начал замечать странную работу компьютера в разных играх (незначительные просадки fps, странные баги, частые фризы). Проверил компьютер через DrWeb - было обнаружено "10 угроз" одной из которых являлся тот самый файл tool.btcmine.2714. Я решил в том же самом DrWeb обезвредить все вредоносные файлы, которые нашла программа (я уже понял, что скорее всего это никак не помогло).После того, как антивирус закончил свою работу, я решил проверить, не исчезла ли проблема. Не исчезла - в играх всё те же баги, внезапные просадки и зависания, хотя в диспетчере задач явных признаков переработки процессора и видеокарты не было. Наткнулся на информацию, что "tool.btcmine.2714" в принципе CureIt не может удалить (хотя при последующих проверках через CureIt никаких вредоносных файлов обнаружено не было). Вдобавок ко всему этому, не могу проверить компьютер через другие антивирусы (тот же самый RogueKiller), установка просто блокируется. Помогите пожалуйста разобраться в проблеме. CollectionLog-2025.09.14-23.49.zip

Здравствуйте. Качал CCleaner с официального сайта. Касперский обнаружил PDM:Trojan.Win32.Generic, и я применил лечение с перезагрузкой. После перезагрузки установщик был удалён и комп работал как обычно, но мне всё равно немного тревожно. UPD: Случайно создал тему два раза. Извините CollectionLog-2025.09.15-02.46.zip

После замены жесткого диска лазил по параметрам и заметил что в Центре обновления Windows пусто. Решил зайти в службы и заметил что у Центра обновления Windows и других служб появилась приставка _bkp. Скачал Kaspersky Virus Removal Tool и проверил ноутбук. В итоге он нашел 3 вредные программки среди которых был MEM:Trojan.Win32.SEPEH.gen, но вроде антивирус удалил его и после перезагрузки проведя повторную проверку этот троян не был обнаружен. CollectionLog-2025.09.14-21.03.zip

Вчера и сегодня удалились файлы из корзины ПК #2. Нашел журнал в одной из папок, на него ссылаются некоторые из удалённых из корзины файлы. Похоже, вирус все еще тут и живет своей жизнью, т.к журнал обновляется

Файлы загрузили FRST.txt Addition.txt

ПК 1 очищен скриптом. Эту папку C:\Users\Admin\AppData\Local\28B04320-3169-792D-9126-537F02F1B84D после разблокировки можете вручную удалить. ПК 2 так же очищен. По расшифровке файлов я ответил вам выше.

Я так понимаю, на ПК №2 угроза купирована. Как быть с ПК №1? мои действия?

Да, эта папка с шифровальщиком. Странно что ее не было в обычном списке, по логам FRST отобразилась лишь в списке заблокированных каталогов. Возможно что файлы шифровальщика были самоудалены после завершения шифрования. Так что у вас точно было как минимум два запуска: на первом и втором ПК.

Everything.db весом 70Мб

А еще есть кроме session.tmp?