Перейти к содержанию
Правила раздела

Уничтожение вирусов [OK]

ворчун

Автор ворчун
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

ворчун Постоялец

ворчун

Опубликовано
Опубликовано
:huh: :help: :wall: :wall: Помогите, кто, чем может!постоянно идёт уведомление о обращении к файлу(далее путь) содержащему backdoor.win32 IRCBot.jhz или .......RCBot.kpv. что делать?
Ссылка на комментарий
Поделиться на другие сайты
  • Ответов 35
  • Создана
  • Последний ответ

Топ авторов темы

  • ворчун

    17

  • миднайт

    5

  • akoK

    3

  • DaTa

    3

Популярные дни

Топ авторов темы

Популярные дни

ворчун Постоялец

ворчун

Опубликовано
  • Автор
Опубликовано
:huh: :help: :wall: :wall: Помогите, кто, чем может!постоянно идёт уведомление о обращении к файлу(далее путь) содержащему backdoor.win32 IRCBot.jhz или .......RCBot.kpv. что делать?

:) сделал логи........

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

Ссылка на комментарий
Поделиться на другие сайты
ворчун Постоялец

ворчун

Опубликовано
  • Автор
Опубликовано
Дайте путь к файлу на который "ругается" антивирус.

1. 20.06.2009 15:18:12 C:\WINDOWS\SYSTEM32\35.scr C:\WINDOWS\SYSTEM32\ SVCHOST.EXE 1512 C:\WINDOWS\System32\svchost.exe -k netsvcs Обнаружено Троянская программа Backdoor.Win32.IRCBot.jhz Высокая Точно

2. 20.06.2009 15:18:32 C:\DOCUMENTS AND SETTINGS\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\4HUVKLIJ\x[1] C:\WINDOWS\SYSTEM32\ SVCHOST.EXE 1512 C:\WINDOWS\System32\svchost.exe -k netsvcs Обнаружено Троянская программа Backdoor.Win32.IRCBot.jhz Высокая Точно

:huh: :help: :wall: :wall:

Ссылка на комментарий
Поделиться на другие сайты
миднайт Продвинутый

миднайт

Опубликовано
Опубликовано (изменено)

Предлагаю такой скрипт, в нем только карантин, также убирается служба удаленный реестр, вам не нужно же чтобы ктото удаленно чтото ставил на вашей машине? :huh:

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

[/CODE]
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\trafinspag.exe','');
QuarantineFile('C:\WINDOWS\system32\TrafInspAg_Tollbar.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM32\35.scr','');
QuarantineFile('C:\WINDOWS\SYSTEM32\ SVCHOST.EXE','');
SetServiceStart('RemoteRegistry', 4);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(true);
RebootWindows(true);
end.

 

После перезагрузки, выполнить скрипт

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

[/CODE]
[code]begin
CreateQurantineArchive(GetAVZDirectory+ 'quarantine-new.zip');
end.

 

Этот АйПи адрес вам знаком? - 172.24.1.1. Скрипт выполнять после согласования с хэлпером. Потом повторить логи.

Изменено пользователем wise-wistful
добавил ссылку, что значит выполнпить скрипт в АВЗ
Ссылка на комментарий
Поделиться на другие сайты
akoK Ветеран

akoK

Опубликовано
Опубликовано

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Ссылка на комментарий
Поделиться на другие сайты
ворчун Постоялец

ворчун

Опубликовано
  • Автор
Опубликовано (изменено)
Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

 

Спасибо за то, что помогаете :huh: , вот отчёты

 

Предлагаю такой скрипт, в нем только карантин, также убирается служба удаленный реестр, вам не нужно же чтобы ктото удаленно чтото ставил на вашей машине? :help:

 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\trafinspag.exe','');
QuarantineFile('C:\WINDOWS\system32\TrafInspAg_Tollbar.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM32\35.scr','');
QuarantineFile('C:\WINDOWS\SYSTEM32\ SVCHOST.EXE','');
SetServiceStart('RemoteRegistry', 4);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(true);
RebootWindows(true);
end.

 

После перезагрузки, выполнить скрипт

 

begin
CreateQurantineArchive(GetAVZDirectory+ 'quarantine-new.zip');
end.

 

Этот АйПи адрес вам знаком? - 172.24.1.1. Скрипт выполнять после согласования с хэлпером. Потом повторить логи.

большое спасибо за содействие, АйПи действительно знаком.....

info.txt

log.txt

Изменено пользователем ворчун
Ссылка на комментарий
Поделиться на другие сайты
ворчун Постоялец

ворчун

Опубликовано
  • Автор
Опубликовано

:huh: :huh: :huh: :huh: Уважаемые Архимеды , Пифагоры и прочие Великие мастера по удалению вирусов и червяков, что мне делать дальше.....логи и отчёты были выложены в предыдущих сообщениях.

Жду с нетерпением дальнейших указаний! :) :D :) :) :wall: :wall: :wall:

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Загрузите GMER по одной из указанных ссылок

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

  • Sections
  • IAT/EAT
  • Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Ссылка на комментарий
Поделиться на другие сайты
ворчун Постоялец

ворчун

Опубликовано
  • Автор
Опубликовано
Загрузите GMER по одной из указанных ссылок

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

  • Sections
  • IAT/EAT
  • Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

 

всё сделал :) :D

GMER.log

Ссылка на комментарий
Поделиться на другие сайты
миднайт Продвинутый

миднайт

Опубликовано
Опубликовано (изменено)

Если мой скрипт выполняли, то полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

Удалите симантек, у вас же касперский стоит. Защиту нортона надо быдумаю было на время лечения выключить.

В AVZ выполните скрипт

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ClearQuarantine;
SetAVZGuardStatus(true);
QuarantineFile('C:\RECYCLER\NPROTECT\00011317.sys ','');
QuarantineFile('C:\RECYCLER\NPROTECT\00011279.sys ','');
QuarantineFile('C:\RECYCLER\NPROTECT\00012596.kdl','');
RebootWindows(true);
end.

 

После перезагрузки, выполнить скрипт

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+ 'quarantine-new2.zip');
end.

Отправить карантин в вирлаб. newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма Сюда результат анализа запостить. Если знаете что у вас за файлы там забэкаплены - еще лучше ).

Изменено пользователем миднайт
Ссылка на комментарий
Поделиться на другие сайты
ворчун Постоялец

ворчун

Опубликовано
  • Автор
Опубликовано
Если мой скрипт выполняли, то полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

:wall: :wall: :wall: :huh: я извеняюсь, но я не понял как его выполнить, если можно поподробнее с чего начать выполнения :) :D :) :)

Ссылка на комментарий
Поделиться на другие сайты
DaTa Продвинутый

DaTa

Опубликовано
Опубликовано
:wall: :wall: :wall: :huh: я извеняюсь, но я не понял как его выполнить, если можно поподробнее с чего начать выполнения :) :D :) :)

Отправте письмо на newvirus@kaslersky.com но перед отправкой незабудьте прикрепить карантин созданый при помощи антивирусной утилиты AVZ. Также в тее письма укажите пароль к архиву карантина(по умолчанию пароль: virus).

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • composer1995
      [РЕШЕНО] Вирус CAAServices.exe
      Автор composer1995
      Добрый день!

      Столкнулся с вирусом CAAServices.exe. Изложу последовательно события и свои действия:

      1. Центр обновления Windows установил обновления (не знаю, связано ли это с дальнейшей проблемой)
      - Накопительное обновление для Windows 11 Version 24H2 для систем на базе процессоров x64, 2025 07 (KB5062553)
      - 2025-07 Накопительное обновление .NET Framework 3.5 и 4.8.1 для Windows 11, version 24H2 для x64-разрядных систем (KB5056579)

      2. После обновления комп перезагрузился и в простое на рабочем столе начал сильно шуметь. Я решил проверить диспетчер задач и заглянуть в автозагрузки. В этот момент комп уже остыл и вернулся к нормальному уровню шума. В списке автозагрузок обнаружил файл CAAServices.exe, расположение файла C:\ProgramData\CAAService

      3. Нагуглил, что это майнер, провёл проверку защитником Windows, обнаружил вирус:
      - Trojan:Win64/DisguisedXMRigMiner!rfn, затронутые элементы C:\ProgramData\CAAService\Microsoft Network Realtime lnspection Service.exe

      Далее, в исключениях обнаружил CAAServices.exe, убрал его из списка исключений. Вручную указал папку CAAService, и в ней он нашёл:
      - Trojan:Win32/Wacatac.H!ml, затронутые элементы C:\ProgramData\CAAService\CAAServices.exe

      Защитник удалил оба вируса. После рестарта компа в автозагрузках снова обнаружил этот CAAServices.exe. Повторил процедуру по поиску и удалению вируса, комп не перезагружал.

      4. Пришёл сюда на сайт, провёл проверку Kaspersky Virus Removal Tool, обнаружил два вируса (прикладываю скрин). После проверки данной утилитой и рестарта компа в автозагрузке майнер не появляется. В папке C:\ProgramData\CAAService исчез файл CAAServices.exe. Остались только файлы CAAServices.vdr и OpenCL.dll.

      5. Собрал логи с помощью AutoLogger, прикладываю архив.

      Скажите, пожалуйста, избавился ли я от майнера, или нужно предпринять ещё какие-то меры?

      CollectionLog-2025.07.10-12.42.zip
    • sekvoya
      [РЕШЕНО] Подозрение на ВИРУС
      Автор sekvoya
      В браузере появляется расширение AdBlock, которое ломает разметку. При удалении расширения все становится нормально. Однако, после перезапуска ПК, расширение появляется в браузере вновь. Также в папке Temp появляется папка, которую нельзя удалить "2xzjmmugjeoboytjoc0goumkkhc"
      CollectionLog-2025.07.05-18.18.zip
    • sasaks11
      Вирус
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Aleks yakov
      Вирус шифровальщик kozanostra
      Автор Aleks yakov
      Здравствуйте  шифровальщик заразил 2 пк в локальной сети (kozanostra)
      Новая папка.zip
    • Nickopol
      Удалить вирус
      Автор Nickopol
      HEUR:Trojan.Win64.Miner.gen (так определил касперский). Как избавиться без переустановки винды? Создаёт папку в ProgramData типа paperprotector-1c42cf80-e801-4c6e-8375-3b7be1b4649c. paperprotector.exe - запускаемый файл 
×
×
  • Создать...