Перейти к содержанию

Вирус [LOG+]


Рекомендуемые сообщения

Всем салют ;)

Прилипла вот зараза какая-то, не могу вылечить. Обнаружил файлик riodrv.sys, пробовал чистить по всякому, появляется снова. Зараза поставила отладчики процессов, конечно не страшно но не удобно работать чуть чуть. Кис с большим трудом встал, и то не обновляется и не стартует сетевой экран. В общем прыгал с бубном час и решил сюда отписать. Еще одна проблемка - связь с машиной пропала сейчас, второй лог AVZ сделать не успел;( это слишком критично? связь будет только через 16 часов, а хотелось бы иметь результат к тому времени...вотъ.

 

virusinfo_syscure.zip

hijackthis.zip

Изменено пользователем sdf
Ссылка на комментарий
Поделиться на другие сайты

Выполните:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\System32\Drivers\sfc.SYS','');
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
DeleteFile('C:\WINDOWS\System32\Drivers\sfc.SYS');
BC_Importall;
executesysclean;
BC_Activate;
RebootWindows(true);
end.

Затем:

begin
SetAVZPMStatus(true);
RebootWindows(true); 
end.

Делайте новые логи.

Сообщение от модератора User
Скрипт от thyrex добавлен
Ссылка на комментарий
Поделиться на другие сайты

sdf, добавьте в скрипт, предложенный Falcon (перед строкой BC_Importall;), следующие строки

QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Выполните:

begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\drivers\rio8drv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\riodrv.sys','');	
end.

Затем:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Карантин отправьте в Вирлаб.

 

Что с проблемами?

Ссылка на комментарий
Поделиться на другие сайты

Что с проблемами?

 

все в норме, система работает отлично, ИЕ летать стал. КИС встал без проблем, но после каждого обновления орет что поврежден блэклист ключей, хотя я его не трогал. стоит триал на месяц. Поставил на ночь полную проверку, завтра может чего найдет да излечит.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • composer1995
      Автор composer1995
      Добрый день!

      Столкнулся с вирусом CAAServices.exe. Изложу последовательно события и свои действия:

      1. Центр обновления Windows установил обновления (не знаю, связано ли это с дальнейшей проблемой)
      - Накопительное обновление для Windows 11 Version 24H2 для систем на базе процессоров x64, 2025 07 (KB5062553)
      - 2025-07 Накопительное обновление .NET Framework 3.5 и 4.8.1 для Windows 11, version 24H2 для x64-разрядных систем (KB5056579)

      2. После обновления комп перезагрузился и в простое на рабочем столе начал сильно шуметь. Я решил проверить диспетчер задач и заглянуть в автозагрузки. В этот момент комп уже остыл и вернулся к нормальному уровню шума. В списке автозагрузок обнаружил файл CAAServices.exe, расположение файла C:\ProgramData\CAAService

      3. Нагуглил, что это майнер, провёл проверку защитником Windows, обнаружил вирус:
      - Trojan:Win64/DisguisedXMRigMiner!rfn, затронутые элементы C:\ProgramData\CAAService\Microsoft Network Realtime lnspection Service.exe

      Далее, в исключениях обнаружил CAAServices.exe, убрал его из списка исключений. Вручную указал папку CAAService, и в ней он нашёл:
      - Trojan:Win32/Wacatac.H!ml, затронутые элементы C:\ProgramData\CAAService\CAAServices.exe

      Защитник удалил оба вируса. После рестарта компа в автозагрузках снова обнаружил этот CAAServices.exe. Повторил процедуру по поиску и удалению вируса, комп не перезагружал.

      4. Пришёл сюда на сайт, провёл проверку Kaspersky Virus Removal Tool, обнаружил два вируса (прикладываю скрин). После проверки данной утилитой и рестарта компа в автозагрузке майнер не появляется. В папке C:\ProgramData\CAAService исчез файл CAAServices.exe. Остались только файлы CAAServices.vdr и OpenCL.dll.

      5. Собрал логи с помощью AutoLogger, прикладываю архив.

      Скажите, пожалуйста, избавился ли я от майнера, или нужно предпринять ещё какие-то меры?

      CollectionLog-2025.07.10-12.42.zip
    • sekvoya
      Автор sekvoya
      В браузере появляется расширение AdBlock, которое ломает разметку. При удалении расширения все становится нормально. Однако, после перезапуска ПК, расширение появляется в браузере вновь. Также в папке Temp появляется папка, которую нельзя удалить "2xzjmmugjeoboytjoc0goumkkhc"
      CollectionLog-2025.07.05-18.18.zip
    • sasaks11
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Aleks yakov
      Автор Aleks yakov
      Здравствуйте  шифровальщик заразил 2 пк в локальной сети (kozanostra)
      Новая папка.zip
    • Nickopol
      Автор Nickopol
      HEUR:Trojan.Win64.Miner.gen (так определил касперский). Как избавиться без переустановки винды? Создаёт папку в ProgramData типа paperprotector-1c42cf80-e801-4c6e-8375-3b7be1b4649c. paperprotector.exe - запускаемый файл 
×
×
  • Создать...