Перейти к содержанию
Правила раздела

Rootkit.Win64.EquationDrug.a

German228

Автор German228,
в Помощь в удалении вирусов

 Share Подписчики 0

Рекомендуемые сообщения

German228

German228 0

Опубликовано
Опубликовано

Добрый день! 

В течение нескольких месяцев касперский часто находит вирусы, как бы удаляет их, но через некоторое время они снова появляются (Rootkit.Win64.EquationDrug.a ; HEUR:Trojan-Ransom.Win32.Wanna.a (файл mssecsvc.exe), Trojan.Win32.Vehidis.wss; PDM:Exploit.Win32.Generic). Буду благодарен за помощь. 

 

1.txt

Ссылка на сообщение
Поделиться на другие сайты
regist

regist 617

Опубликовано
Опубликовано (изменено)

Порядок оформления запроса о помощи
 

И срочно ставьте обновления безопасности на windows!

Начните с этого обновления http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212
 

Изменено пользователем regist
Ссылка на сообщение
Поделиться на другие сайты
German228

German228 0

Опубликовано
  • Автор
Опубликовано (изменено)

После установки обновлений виндовс не загружается, приходится делать откат. 


Забыл добавить (возможно это будет важно): вирусы появляются только тогда, когда интернет-кабель напрямую подключен к ПК. Если сидеть через wi-fi адаптер, то вирусы никак себя не проявляют. 

CollectionLog-2017.07.25-14.49.zip

Изменено пользователем German228
Ссылка на сообщение
Поделиться на другие сайты
German228

German228 0

Опубликовано
  • Автор
Опубликовано

Вчера вечером откуда-то появился еще один запароленный пользователь на компьютере (guest). Прав адмнистратора, вроде, не имеет. 

Ссылка на сообщение
Поделиться на другие сайты
regist

regist 617

Опубликовано
Опубликовано (изменено)

@German228, без установки обновлений лечиться нет смысла. Этот вирус лезет через очень большую дыру, которые обновление закрывает. Так что устанавить этот фикс надо обязательно.

Если не боитесь телеметрии, то устанавливайте все обновления безопасности через центр обновления. И судя по логам у вас там полно и другой заразы. Пока хоть остальное почистим.


Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Public\Desktop\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\admin\Desktop\игры\World of Tanks.lnk', '');
 QuarantineFile('C:\Users\admin\Desktop\игры\Skyrim - Legendary Edition.lnk', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk', '');
 DeleteFile('a.exe&gt', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "Mysa" /F', 0, 15000, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

 

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.


 

Изменено пользователем regist
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 0
Перейти к списку тем
×
×
  • Создать...