Перейти к содержанию
Правила раздела

ВИРУС (1hqup.exe)

ArchiMAX

Автор ArchiMAX
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

snifer67 Ветеран

snifer67

Опубликовано
Опубликовано

- Закройте/выгрузите все программы кроме Internet Explorer.

Отключите

- ПК от интернета/локальной сети.

- Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('G:\1hqup.exe','');
QuarantineFile('G:\autorun.inf','');
QuarantineFile('D:\1hqup.exe','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\1hqup.exe','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\DOCUME~1\ILHAM\LOCALS~1\Temp\herss.exe','');
QuarantineFile('C:\DOCUME~1\ILHAM\LOCALS~1\Temp\cvasds1.dll','');
DeleteFile('C:\DOCUME~1\ILHAM\LOCALS~1\Temp\cvasds1.dll');
DeleteFile('C:\DOCUME~1\ILHAM\LOCALS~1\Temp\herss.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','cdoosoft');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\1hqup.exe');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\1hqup.exe');
DeleteFile('G:\autorun.inf');
DeleteFile('G:\1hqup.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

- Выполнить скрипт в AVZ.

var
 qfolder: string;
 qname: string;
begin
 qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
 qfolder := ExtractFilePath(qname);
 if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
 CreateQurantineArchive(qname);
 ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.

Вы увидите папку с архивом. Это - карантин.

- Включите Антивирус и Файрвол

- Подключите ПК к интернету/локальной сети

- Карантин отправьте на newvirus@kaspersky.com. В теле письма сообщите, что пароль на архив "virus" без кавычек. Полученный ответ сообщите здесь.

- Сделайте новые логи.

Ссылка на комментарий
Поделиться на другие сайты
Kopeicev Ветеран

Kopeicev

Опубликовано
Опубликовано (изменено)

Топикстартер ты вчера писал что отправлял на ньювирус что ответили?

Snifer67: C:\DOCUME~1\ILHAM\LOCALS~1\Temp\cvasds0.dll ? :)

Изменено пользователем Kopeicev
Ссылка на комментарий
Поделиться на другие сайты
AlexNEW Ветеран

AlexNEW

Опубликовано
Опубликовано (изменено)
Сносить можно :).Гуглить надо.

C:\DOCUME~1\<имя учётной записи>\LOCALS~1\Temp\cvasds0.dll

 

worm.autorun.a

 

Тип: Worm

 

Псевдоним: mal/frethog-b, trojan.win32.inhoo, w32.sillyfdc.bct, trojan-gamethief.win32.magania.bpqc, worm:win32/taterf.b

 

Описание: Worm.Autorun.A червь для Windows платформ. Это червь может быть отброшен другие вредоносные программы. Он может быть загружен по незнанию при посещении пользователем вредоносного веб-сайтов. Worm.Autorun.A заражающий системы таким образом, чтобы дать проблемы для пользователя. Она скрывает системные файлы, Отключить папки, скрывать расширения файлов, запретить автозапуск, отключить редактор реестра, отключение диспетчера задач и включить автоматическое исполнение само по себе.

 

Этот файл нужно удалить :lol:

 

Данную информацию взял с этого сайта http://spyware.scanspyware.net/spyware-rem....a.html?lang=ru

Изменено пользователем Alexsandr56
Ссылка на комментарий
Поделиться на другие сайты
ArchiMAX Постоялец

ArchiMAX

Опубликовано
  • Автор
Опубликовано

Выполнил скрипты.Вот новые логи.Но скрытые файлы все еще не отображается.

 

Топикстартер ты вчера писал что отправлял на ньювирус что ответили?

 

Да я отправил.Мне пришло ответ.

Это сообщение или его часть не может быть опубликована в любых

средствах массовой информации, форумах, конференциях и.т.д, без

предварительного разрешения отправителя.

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты
Falcon Ветеран

Falcon

Опубликовано
Опубликовано

Добрый день!

 

Да я отправил.Мне пришло ответ.

Смело постите сюда, мы филиал, имеем право.

 

Но скрытые файлы все еще не отображается.

Выполните в AVZ:

begin
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.

ПК перезагрузится.

 

Посмотрите на реакцию. Если не поможет, то:

 

- Зайдите в Файл - Мастер поиска и устранения проблем - Системные проблемы - Все проблемы

 

b19d683ed2b0.jpg

 

У вас нарушены ассоциациии REG-файлов. Отметьте проблему, нажмите "Исправить".

 

Запустите файлик из вложения:

tweak.rar

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • composer1995
      [РЕШЕНО] Вирус CAAServices.exe
      Автор composer1995
      Добрый день!

      Столкнулся с вирусом CAAServices.exe. Изложу последовательно события и свои действия:

      1. Центр обновления Windows установил обновления (не знаю, связано ли это с дальнейшей проблемой)
      - Накопительное обновление для Windows 11 Version 24H2 для систем на базе процессоров x64, 2025 07 (KB5062553)
      - 2025-07 Накопительное обновление .NET Framework 3.5 и 4.8.1 для Windows 11, version 24H2 для x64-разрядных систем (KB5056579)

      2. После обновления комп перезагрузился и в простое на рабочем столе начал сильно шуметь. Я решил проверить диспетчер задач и заглянуть в автозагрузки. В этот момент комп уже остыл и вернулся к нормальному уровню шума. В списке автозагрузок обнаружил файл CAAServices.exe, расположение файла C:\ProgramData\CAAService

      3. Нагуглил, что это майнер, провёл проверку защитником Windows, обнаружил вирус:
      - Trojan:Win64/DisguisedXMRigMiner!rfn, затронутые элементы C:\ProgramData\CAAService\Microsoft Network Realtime lnspection Service.exe

      Далее, в исключениях обнаружил CAAServices.exe, убрал его из списка исключений. Вручную указал папку CAAService, и в ней он нашёл:
      - Trojan:Win32/Wacatac.H!ml, затронутые элементы C:\ProgramData\CAAService\CAAServices.exe

      Защитник удалил оба вируса. После рестарта компа в автозагрузках снова обнаружил этот CAAServices.exe. Повторил процедуру по поиску и удалению вируса, комп не перезагружал.

      4. Пришёл сюда на сайт, провёл проверку Kaspersky Virus Removal Tool, обнаружил два вируса (прикладываю скрин). После проверки данной утилитой и рестарта компа в автозагрузке майнер не появляется. В папке C:\ProgramData\CAAService исчез файл CAAServices.exe. Остались только файлы CAAServices.vdr и OpenCL.dll.

      5. Собрал логи с помощью AutoLogger, прикладываю архив.

      Скажите, пожалуйста, избавился ли я от майнера, или нужно предпринять ещё какие-то меры?

      CollectionLog-2025.07.10-12.42.zip
    • sekvoya
      [РЕШЕНО] Подозрение на ВИРУС
      Автор sekvoya
      В браузере появляется расширение AdBlock, которое ломает разметку. При удалении расширения все становится нормально. Однако, после перезапуска ПК, расширение появляется в браузере вновь. Также в папке Temp появляется папка, которую нельзя удалить "2xzjmmugjeoboytjoc0goumkkhc"
      CollectionLog-2025.07.05-18.18.zip
    • sasaks11
      Вирус
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Aleks yakov
      Вирус шифровальщик kozanostra
      Автор Aleks yakov
      Здравствуйте  шифровальщик заразил 2 пк в локальной сети (kozanostra)
      Новая папка.zip
    • Nickopol
      Удалить вирус
      Автор Nickopol
      HEUR:Trojan.Win64.Miner.gen (так определил касперский). Как избавиться без переустановки винды? Создаёт папку в ProgramData типа paperprotector-1c42cf80-e801-4c6e-8375-3b7be1b4649c. paperprotector.exe - запускаемый файл 
×
×
  • Создать...