Перейти к содержанию
Правила раздела

Новый вирус

bogdan10110

Автор bogdan10110
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

bogdan10110 Новичок

bogdan10110

Опубликовано
Опубликовано

День добрый.

По почте прислали вирус, его отослал в лабораторию.

Хотелось бы от него избавиться, блокирует диспетчер задач, заменяет фон рабочего стола на свой HTML, блокирует доступ к списку картинок для фона, т.е. поменять не дает. Перед запуском запустил его правой кнопкой "в безопасно среде", перед запуском проверил антивирусом и вирусов не обнаружилось. Касперским удалось разблокировать диспетчер задач, вирус всё равно его убивает видимо ищет findWindow по заголовку, сидит в трее с круглой красной иконкой. процесс smss32.exe убил и всё работает, зашел в msconfig убил из автозагрузки галку убрал и всё равно никак не избавиться. Делал полную проверку с максимальным уровнем защиты ничего не найдено, базы новые, мне не сложно обновлять их хоть каждый час, и перед проверкой обновлял, базы новые.

Этот вирус скорее всего лезет в библиотеки kernel и т.д. Где сидит этот вирус мне не известно, после перезагрузки то же самое, вирус оживает и приходится так же убивать его.

Что порекомендуете?

Ссылка на комментарий
Поделиться на другие сайты
bogdan10110 Новичок

bogdan10110

Опубликовано
  • Автор
Опубликовано
Если отослали в лабораторию и он действительно заражён ждите обновлений.

да, имя DHL_label_Nr38571.exe и размерчик в 66 кб с иконкой от блокнота. более чем на 50% я уверен что это вирус, а после того что он натворил это 100% вирус!

на С наверное написан с использованием API, вы же понимаете что это?

Ссылка на комментарий
Поделиться на другие сайты
bogdan10110 Новичок

bogdan10110

Опубликовано
  • Автор
Опубликовано

Спасибо.

Обновил базы только что и определил вирус в этом exe который я оставил в экспериментальных целях.

определил этот файл как Backdoor.Win32.Bredolab.bvb.

Быстро среагировала лаборатория. Спасибо.

Ссылка на комментарий
Поделиться на другие сайты
bogdan10110 Новичок

bogdan10110

Опубликовано
  • Автор
Опубликовано

не знаю о каких логах... вирус сидит и не убьтся никак, всё продолжает выводить alert сообщение при входе и менять фон рабочего тола на свой html который удалять бесполезно.а smss32 всё добавляется в автозагрузку в msconfig... блочит диспетчер задачь 'блоченно администратором'.. вот так вот у меня начинается запуск компьютера, сначала Ok ается alert окошко, затем каспером разблокирую диспетчер, дважды его вызываю потому что первую копию вирус убьет, убиваю процесс sms32 и из трея пропадает красный значок вируса. фон поменять не получается, список карин заблокирован. Можно попробовать удалить html и обновить экран.. но я уже под устал это делать.

Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано
не знаю о каких логах...

Ещё раз перечитайте сообщение, пройдите по ссылке и сделайте как там написано.

Иначе помочь не сможем.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • croc_gon
      Вирус MEM:Trojan.Win64.ModPlayer.gen
      Автор croc_gon
      Всем привет проблема следующая каспер постоянно ругается на вирус во временной памяти и не удаляет 
       
      Тип события: Лечение невозможно
      Тип приложения: Kaspersky Endpoint Security для Windows
      Название: avp.exe
      Путь к приложению: C:\Program Files (x86)\Kaspersky Lab\KES.12.8.0
      ID процесса: 18446744073709551615
      Описание результата: Не обработано
      Тип: Троянское приложение
      Название: MEM:Trojan.Win64.ModPlayer.gen
      Пользователь: GONETS\i.zazvonov (Активный пользователь)
      Объект: pmem:\C:\Windows\System32\svchost.exe
      Причина: Пропущено
    • Dava
      Вирус
      Автор Dava
      Поймал вирус с торрента который устанавливал мне адблок в эдж, вирус и его папки я нашел и удалил, позже удалил торрент, но теперь при открытии эджа у меня пишет "Microsoft edge неожиданно завершил работу, восстановить страницы?"
      Удалять куки и сбрасывать настройки к начальным и тыкать Repair я пробовал, это не помогло. Я предполагаю что где то еще остался вирусняк который лезет в эдж, но касперский его не видит
      Addition.txt FRST.txt
    • KL FC Bot
      Ландшафт ransomware в 2025 году и новые причины не платить
      Автор KL FC Bot
      12 мая — Всемирный день борьбы с шифровальщиками. В 2025 году в этот памятный день, учрежденный Интерполом и «Лабораторией Касперского», мы хотим обсудить тенденции, которые прослеживаются в ransomware-инцидентах и служат доказательством того, что с каждым годом идея вести переговоры со злоумышленниками и совершать переводы в криптовалюте становится все хуже.
      Низкое качество расшифровщиков
      Когда инфраструктура компании зашифрована в результате атаки, бизнес в первую очередь хочет вернуться к нормальной деятельности, как можно быстрее восстановив данные на рабочих станциях и серверах. Из записок вымогателей может сложиться впечатление, что после оплаты компания получит приложение, которое быстро вернет всю информацию на свои места и можно будет практически безболезненно продолжить работу. На практике этого почти никогда не случается.
      Во-первых, часть вымогателей просто обманывает своих жертв и вообще не присылает расшифровщик. Такие случаи стали широко известны, например благодаря утечке внутренней переписки вымогателей Black Basta.
      Во-вторых, бизнес вымогателей — это шифрование, а не расшифровка, поэтому написанию декрипторов уделяется минимум внимания: они плохо и медленно работают. Может оказаться, что восстановление данных из резервной копии пройдет значительно быстрее, чем восстановление при помощи утилиты злоумышленников. Часто присланные вымогателями расшифровщики сбоят при встрече с экзотическими именами файлов, из-за конфликтов прав доступа или просто без видимой причины и при этом не имеют механизма продолжения расшифровки с того места, где она прервалась. Иногда, из-за некорректной обработки, они просто портят файлы.
      В результате образовался целый сегмент ИТ-бизнеса — нормальная расшифровка. Легитимные компании берут полученный от вымогателей сырой расшифровщик и переписывают его так, чтобы он работал нормально. Но быстро найти такую компанию и дождаться улучшенную версию утилиты — опять потери денег и времени.
       
      View the full article
    • vasia15
      вирус похож на шифровальщик
      Автор vasia15
      вирус блокирует возможность скачать антивирус,все программы заполняет кракозябрами,установить нет возможности.прошу помощи.сам не справляюсь.
    • zsvnet
      файлы зашифрованы вирусом
      Автор zsvnet
      obrazec.zipAddition.txtShortcut.txtFRST.txtДобрый день! Зашифровали файлы.
      Скорее всего проникли через RDP. Исходный ПК неработоспособен. Диск подключен к другому ПК и на нем запускали FRST.
×
×
  • Создать...