Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Есть ли вирусы?

Modenaz

Автор Modenaz
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Modenaz Новичок

Modenaz

Опубликовано
Опубликовано (изменено)

Приветствую! Недавно система подверглась заражению, антивирусом пролечил, но возможно вирусы на ноутбуке остались. Плюс ко всему до этого( около трех недель назад) перестали работать USB-порты, так до сих пор и не работают, обновление драйверов в диспетчере устройств не помогает. Может система повреждена? Вот, посмотрите, пожалуйста, логи на всякий случай.

 

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено пользователем Modenaz
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано (изменено)

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
SetServiceStart('sysdrv32', 4);
SetServiceStart('yjqohh', 4);
SetServiceStart('wbgwj', 4);
SetServiceStart('spzmsu', 4);
SetServiceStart('rtwvrm', 4);
SetServiceStart('gadfeg', 4);
SetServiceStart('azypjtmc', 4);
QuarantineFile('c:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\Drive13.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\XF0FmEA.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\FchULCF.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\d348bus.SYS','');
QuarantineFile('C:\WINDOWS\system32\01.tmp','');
QuarantineFile('C:\WINDOWS\system32\drivers\av5flt.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\numnpn.sys','');
QuarantineFile('c:\DOCUME~1\heirees\LOCALS~1\Temp\Rar$EX01.797\vfd.sys','');
DeleteFile('C:\WINDOWS\system32\01.tmp');
DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys');
DeleteFile('\\?\globalroot\systemroot\system32\FchULCF.exe');
DeleteFile('\\?\globalroot\systemroot\system32\XF0FmEA.exe');
DeleteFile('c:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\Drive13.exe');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-21CX1C635622}');
DeleteService('sysdrv32');
DeleteService('yjqohh');
DeleteService('wbgwj');
DeleteService('spzmsu');
DeleteService('rtwvrm');
DeleteService('gadfeg');
DeleteService('azypjtmc');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(1);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

 

Отправьте на проверку файл Quarantine.zip из папки AVZ

Сообщение от модератора thyrex
на newvirus@kaspersky.com

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

F2 - REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe,\?globalrootsystemrootsystem32XF0 FmEA.exe,\?globalrootsystemrootsystem32FchULCF.exe,
R3 - URLSearchHook: (no name) - - (no file)

 

Сообщение от модератора thyrex
Сделайте новые логи

 

Сделайте лог GMER.

Изменено пользователем thyrex
Ссылка на комментарий
Поделиться на другие сайты
Modenaz Новичок

Modenaz

Опубликовано
  • Автор
Опубликовано

begin

CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');

end.

- почему-то этот скрипт дает такой файл, на который сервер ругается: "Файл не является архивом с карантином AVZ !"

Ссылка на комментарий
Поделиться на другие сайты
Modenaz Новичок

Modenaz

Опубликовано
  • Автор
Опубликовано

Пытался отправить на virusinfo.info, не получилось

 

А потом просто отправил на newvirus@kaspersky.com. Пока только ответ автоматической системы пришел. Папка Qurantine весит 5, 21 кб

Ссылка на комментарий
Поделиться на другие сайты
Modenaz Новичок

Modenaz

Опубликовано
  • Автор
Опубликовано (изменено)

Вот сделал новые логи. Лог gmer сделать не получается, во время работы этой утилиты зависает система. Кстати, пока делал логи, отключил, как и рекомендуется, антивир и брандмауэр( интернет остался подключенным). Как результат - новое заражение. Сейчас сделал полную проверку антивирусом, кое-какие вирусы удалились. Но думаю зараза еще осталась

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено пользователем Modenaz
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

В 911 Ваша тема?

 

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.

Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Ссылка на комментарий
Поделиться на другие сайты
Modenaz Новичок

Modenaz

Опубликовано
  • Автор
Опубликовано (изменено)

В 911 тема называется "вирусы". Могу я перед запуском combo, отключить интернет, чтобы не было нового заражения и можно ли делать логи в avz c отключенным интернетом ?

Изменено пользователем Modenaz
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. 

KillAll::

File::

Driver::
mzxmcmia
nqbjjvub
jjefdbg
nrcbezakz
wljpyt
riwvouoa
gmbdlkli
wcvuzou
tjvqkq
hzmbekho
gsatbpq
eisfs
hamzeuyv
odvvidyjk
cepoozjrt
mwtklkajh
nwqofnupo
kiuimwi
aoimrkwyt
kzuhc
caurm
bbxggyqvl
wwvfe
xvlywcarc
wzlzenx
xqwlxpalq
lzyzem
lhjqyhij
trltgq
bbofoympn
ubvvj
xqajft
pyypr
kovlqzn
bqaybwr
swomt
ijvtb
pxndox
btlwf
rptmx
etgznigsb
evpnbgsau
fjsmyorna
sypmqtz
qgvirefez
ouipsb
czawhjvm
pvscr
nbcjj
vryrcv
bcbtrl
rvachqd
bccnyc
hkqoftfj
owjbbd
cuhagv
jwaqoyjjz

NetSvc::
mzxmcmia
nqbjjvub
jjefdbg
nrcbezakz
wljpyt
riwvouoa
gmbdlkli
wcvuzou
tjvqkq
hzmbekho
gsatbpq
eisfs
hamzeuyv
odvvidyjk
cepoozjrt
mwtklkajh
nwqofnupo
kiuimwi
aoimrkwyt
kzuhc
caurm
bbxggyqvl
wwvfe
xvlywcarc
wzlzenx
xqwlxpalq
lzyzem
lhjqyhij
trltgq
bbofoympn
ubvvj
xqajft
pyypr
kovlqzn
bqaybwr
swomt
ijvtb
pxndox
btlwf
rptmx
etgznigsb
evpnbgsau
fjsmyorna
sypmqtz
qgvirefez
ouipsb
czawhjvm
pvscr
nbcjj
vryrcv
bcbtrl
rvachqd
bccnyc
hkqoftfj
owjbbd
cuhagv
jwaqoyjjz

Folder::
C:\FOUND.005
C:\FOUND.004
C:\FOUND.003
C:\FOUND.002

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3305:TCP"=-

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

cfscript.gif

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. 

KillAll::

File::
c:\windows\system32\4AF08F1659.sys

Driver::

Folder::
C:\FOUND.007
C:\FOUND.006

Registry::

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

cfscript.gif

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • composer1995
      [РЕШЕНО] Вирус CAAServices.exe
      Автор composer1995
      Добрый день!

      Столкнулся с вирусом CAAServices.exe. Изложу последовательно события и свои действия:

      1. Центр обновления Windows установил обновления (не знаю, связано ли это с дальнейшей проблемой)
      - Накопительное обновление для Windows 11 Version 24H2 для систем на базе процессоров x64, 2025 07 (KB5062553)
      - 2025-07 Накопительное обновление .NET Framework 3.5 и 4.8.1 для Windows 11, version 24H2 для x64-разрядных систем (KB5056579)

      2. После обновления комп перезагрузился и в простое на рабочем столе начал сильно шуметь. Я решил проверить диспетчер задач и заглянуть в автозагрузки. В этот момент комп уже остыл и вернулся к нормальному уровню шума. В списке автозагрузок обнаружил файл CAAServices.exe, расположение файла C:\ProgramData\CAAService

      3. Нагуглил, что это майнер, провёл проверку защитником Windows, обнаружил вирус:
      - Trojan:Win64/DisguisedXMRigMiner!rfn, затронутые элементы C:\ProgramData\CAAService\Microsoft Network Realtime lnspection Service.exe

      Далее, в исключениях обнаружил CAAServices.exe, убрал его из списка исключений. Вручную указал папку CAAService, и в ней он нашёл:
      - Trojan:Win32/Wacatac.H!ml, затронутые элементы C:\ProgramData\CAAService\CAAServices.exe

      Защитник удалил оба вируса. После рестарта компа в автозагрузках снова обнаружил этот CAAServices.exe. Повторил процедуру по поиску и удалению вируса, комп не перезагружал.

      4. Пришёл сюда на сайт, провёл проверку Kaspersky Virus Removal Tool, обнаружил два вируса (прикладываю скрин). После проверки данной утилитой и рестарта компа в автозагрузке майнер не появляется. В папке C:\ProgramData\CAAService исчез файл CAAServices.exe. Остались только файлы CAAServices.vdr и OpenCL.dll.

      5. Собрал логи с помощью AutoLogger, прикладываю архив.

      Скажите, пожалуйста, избавился ли я от майнера, или нужно предпринять ещё какие-то меры?

      CollectionLog-2025.07.10-12.42.zip
    • sekvoya
      [РЕШЕНО] Подозрение на ВИРУС
      Автор sekvoya
      В браузере появляется расширение AdBlock, которое ломает разметку. При удалении расширения все становится нормально. Однако, после перезапуска ПК, расширение появляется в браузере вновь. Также в папке Temp появляется папка, которую нельзя удалить "2xzjmmugjeoboytjoc0goumkkhc"
      CollectionLog-2025.07.05-18.18.zip
    • sasaks11
      Вирус
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Ferri
      Обнауржен вирус CAAServieces.exe
      Автор Ferri
      Доброго времени суток.

      Столкнулась с проблемой майнер CAAServieces.exe. Начала искать способы по отключению, удалению вируса. Отключить отключила, Из реестра удалила, Удалила. Провела несколько проверок через антивирусы - чисто. Только при перезагрузке и некоторого времени (1-2 минуты) создается снова папка и файл с вирусом (но не запускается) по расположению: C:\ProgramData\CAAService.

      Прикладываю проверку с KVRT и AutoLogger.

      Найдя на форуме такую же проблему - уже решённую ранее - прикрепляю логи из FRST64

      CollectionLog-2025.07.19-02.48.zip Addition.txt FRST.txt
    • lostintired
      Вирус-майнер CAAServices.exe
      Автор lostintired
      Здравствуйте!
       
      Обращаюсь за помощью в полном удалении вредоносного ПО. Ранее на компьютере был обнаружен вирус, связанный с процессом CAAService.exe, который осуществлял майнинг. На тот момент мне удалось остановить вредоносную активность, и майнинг-процессы больше не наблюдаются.
      Однако, несмотря на это, файл CAAService.exe продолжает самовосстанавливаться по следующему пути: "C:\ProgramData\CAAService\CAAService.exe"
       
      Удалял вручную — файл вновь появляется сам, также сам себя добавляет в исключения защитника Windows. Также пытался выполнить рекомендации, приведённые в ТЕМЕ, но проблема не была полностью решена — папка и исполняемый файл восстанавливаются.
      Прошу помощи в полном удалении остаточных компонентов этой угрозы. Готов предоставить все необходимые логи и выполнить диагностику согласно требованиям форума.
      Заранее благодарю за помощь.
      CollectionLog-2025.07.18-23.17.zip
      Addition.txt FRST.txt
×
×
  • Создать...