Перейти к содержанию
Правила раздела

You are infected with Rootkit.ZeroAccess!

zend7

От zend7
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

:)

странно. в логах AVZ уже нет следов активного руткита.

ответа по карантину TDSSkiller не было?

 

отключите восстановление системы.

последовательно запустите утилиты по удалению руткита (каждый раз после использования одной - перезагружаясь)

http://www.symantec.com/security_response/...-121607-4952-99

http://kb.eset.com/esetkb/index?page=content&id=SOLN2895

http://www.mcafee.com/us/downloads/free-to...kitremover.aspx

Ссылка на комментарий
Поделиться на другие сайты
  • Ответов 30
  • Created
  • Последний ответ

Top Posters In This Topic

  • zend7

    16

  • Roman_Five

    14

  • Tiare

    1

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

Roman_Five
Roman_Five

восстановите файл C:\WINDOWS\system32\wuauserv.dll с дистрибутива   исправьте ошибки в реестре через Ccleaner   деинсталлируйте SPTD driver (выбирать uninstall) http://www.duplexsecure.com/

zend7 Постоялец

zend7

Опубликовано
  • Автор
Опубликовано (изменено)

Делаю

http://www.symantec.com/security_response/...-121607-4952-99

просит перезагрузится, перезагружаюсь, получаю

17411829.png

Нажимаю repair

Перезагружаюсь

 

Делаю

http://kb.eset.com/esetkb/index?page=content&id=SOLN2895

получаю

40860853.png

 

Делаю

http://www.mcafee.com/us/downloads/free-to...kitremover.aspx

получаю

25033221.png

 

 

Делаю

combofix

получаю

20605397.png

далее ещё одно сообщение и подвисает также как было

 

ответа по карантину TDSSkiller не было?

Нет (на почте)

 

P.S.

С каждым стартом (точно немогу сказать), но порт у oracle db server меняется

Изменено пользователем zend7
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
Делаю

combofix

похоже на фолс комбофикса...

 

выполните чистую загрузку ОС и запустите комбофикс ещё раз

 

 

 

а также:

проверьте наличие файла

D:\WINDOWS\system32\Drivers\Uim_IM.sys

если он есть - проверьте его на virustotal.com

если нету - восстановите его с дистрибутива.

http://virusinfo.info/showthread.php?t=51654

Ссылка на комментарий
Поделиться на другие сайты
zend7 Постоялец

zend7

Опубликовано
  • Автор
Опубликовано
похоже на фолс комбофикса...

 

выполните чистую загрузку ОС и запустите комбофикс ещё раз

тоже самое

 

 

а также:

проверьте наличие файла

D:\WINDOWS\system32\Drivers\Uim_IM.sys

если он есть - проверьте его на virustotal.com

если нету - восстановите его с дистрибутива.

http://virusinfo.info/showthread.php?t=51654

Самого файла нет, а в дистрибуте его тоже не вижу

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
Самого файла нет, а в дистрибуте его тоже не вижу

переустановите, если требуется, Paragon Image Mounter (файл от него)

 

Нет (на почте)

будем ждать...

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано (изменено)
А что ещё можно сделать?

 

Проверьте системный раздел скандиском.

пуск-выполнить- cmd - chkdsk D: /v /f /r /x

нажать Y

перезагрузиться. подождать.

 

Проверьте целостность системы (может потребоваться диск с Windows)

пуск-выполнить - cmd - sfc /scannow

 

Установите все обновления (может потребоваться активация).

 

Скачайте Win32kDiag

http://ad13.geekstogo.com/Win32kDiag.exe

и сохраните его на рабочий стол

 

Дважды кликните по файлу Win32kDiag.exe для запуска Win32kDiag.

Откроется черное окошко, когда в нём появится надпись "Finished! Press any key to exit...", нажмите любую клавишу для закрытия окна. На вашем рабочем столе появится файл Win32kDiag.txt.

прикрепите его к новому сообщению.

Изменено пользователем Roman_Five
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
Combofix всёравно виснет

и сейчас?

если да:

 

сначала динсталлируйте ComboFix:

- нажмите Win+R

- в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

Скачайте OTCleanIt, запустите, нажмите Clean up

 

затем снова скачайте из интернета (на стадии сохранения переименуйте файл в svchost.exe) и запустите.

Ссылка на комментарий
Поделиться на другие сайты
zend7 Постоялец

zend7

Опубликовано
  • Автор
Опубликовано

тоже самое

 

Т.е. после "Be patient as this may take some moments" сначала замерают окна, а после курсор

 

yorkyt, Zero Access fix tool и Combofix, говорят что есть Rootkit. Первые два говорят что удалют успешно, но этого не происходит. А последний подвисает

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

включите обратно восстановление системы.

экспортируйте ветку реестра

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\acs\

приложите reg-файл, сменив раширение на txt

 

 

 

загрузившись в безопасном режиме, удалите остатки Kaspersky Virus Removal Tool с помощью утилиты

http://support.kaspersky.ru/faq/?qid=208635705

Выбирайте удаление AVP Tool driver

 

 

 

сделайте такой лог - http://safezone.cc/forum/showthread.php?t=12019

 

 

а также такой - в режиме extendet

http://safezone.cc/forum/showthread.php?t=14172

Ссылка на комментарий
Поделиться на другие сайты
zend7 Постоялец

zend7

Опубликовано
  • Автор
Опубликовано (изменено)
включите обратно восстановление системы.

 

экспортируйте ветку реестра

Код

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\acs\

 

приложите reg-файл, сменив раширение на txt

Прикрепил

 

загрузившись в безопасном режиме, удалите остатки Kaspersky Virus Removal Tool с помощью утилиты

http://support.kaspersky.ru/faq/?qid=208635705

Выбирайте удаление AVP Tool driver

Сделал

 

сделайте такой лог - http://safezone.cc/forum/showthread.php?t=12019

 

 

а также такой - в режиме extendet

http://safezone.cc/forum/showthread.php?t=14172

Поставил дривер, перезагрузился, начинаю проверку но просто на какомто этапе проверки комп перезагружаеться внезапно и ничего не получаю

acs.txt

Изменено пользователем zend7
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

удалите драйвер VBA32 Antirootkit

Settings -> Extended Driver -> UnInstall.

пробуйте делать лог в режиме Ordinary

 

сделайте такой лог - http://safezone.cc/forum/showthread.php?t=12019

а где лог OTL?

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

восстановите файл

C:\WINDOWS\system32\wuauserv.dll

с дистрибутива

 

исправьте ошибки в реестре через Ccleaner

 

деинсталлируйте SPTD driver (выбирать uninstall)

http://www.duplexsecure.com/download/SPTDinst-v180-x86.exe

 

деинсталлируйте Combofix

 

проверьте, удали ли Paragon и Acronis

 

сделайте для контроля лог OSAM

http://www2.online-solutions.ru/ru/download_file.php?p=65580

установить - запустить - save log

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Tetis
      Вирус троян updater.exe infected with Trojan.Siggen29.46190
      От Tetis
      Здравствуйте. Винда 10,  антивирус 360 Total Security, каким то образом у меня появился браузер 360 от этого китайского антивируса, примерно 10 дней назад. 14.10.24  появилась программа WPS office. Появились сами. Решил удалить WPS office, но их небыло в списках программ. Удалил с Revo Uninstaller. Перестал работать microsoft office, файлы не открывались. Я скачал 3 варианта microsoft office 2013 в интернете, все пробовал установить, получилось только с 1. Также скачивал прогру для подбора ключа, в итоге подобрал, но потом он слетел. Офис заработал. Комп стал медленее работать, постоянно на максимум вентилятор, греется, жесткий диск крутит . Включил сегодня антивирус, обнаружил вирус updater.exe infected with Trojan.Siggen29.46190, он его удаляет, а вирус постоянно снова появляется в папке C:\ProgramData\Google\Chrome\updater.exe , появляются окна что троян, нажимаю удалить... и так бескнечно, каждые 5 сек. появляется окно антивируса с трояном, я нажимаю удалить.  Dr.Web CureIt ничего не находит, скачал Eset Online Scanner и указал проверку диска С, он нашел вирусы, сейчас процесс проверки пока пишу. CollectionLog-2024.10.20-21.33.zip Что делать, подскажите пожалуйста.
       
    • SorZol
      Need help with decrypting MedusaLocker (I have private/public keys in base64 format)
      От SorZol
      I am writing to you today regarding a recent MedusaLocker attack on my personal computer on December [date] 2023.

      Unfortunately, the attack resulted in the encryption of a significant number of my files.
      However, during the incident, an unusual turn of events occurred. My laptop froze midway through the encryption process, causing the attacker to leave some files behind. Among these files, I was able to identify and run the encryption executable (within a controlled virtual machine environment, of course). This allowed me to extract the public key associated with the attack.

      Furthermore, through an additional, unexpected development, I also managed to obtain the corresponding private key. While this presents a potential opportunity for decryption, there exists a hurdle: both the public and private keys are encoded in Base64 format, rather than the standard XML format with Exponent and Modulus components.

      Recognizing the expertise and capabilities of your team in the field of ransomware decryption, I am reaching out with a proposal for collaboration. I am eager to share my unique experience and the acquired keys with your experts in the hope of finding a way to decrypt my files and potentially aid others affected by the same attacker or public key.

      I understand the inherent challenges and complexities involved in this endeavor. However, I believe that combining my firsthand experience with your technical know-how could lead to a breakthrough. I am open to discussing various collaboration models that would mutually benefit both parties.
      Thank you for considering my request. I am available at your convenience to discuss this further and provide any additional information you may require.
    • Iddinz
      Ransomware with Extension .3R9qG8i3Z
      От Iddinz
      Hi... Is there anyone can help me with this kind of Ransomware with extension .3R9qG8i3Z. Please guide me how to decrypt my file that been infected with this virus.. 
       
          ~~~ PC Locker 3.0 by Mr.Robot~~~
      >>>> Your data are stolen and encrypted
          To get your files back you will have to pay a one-time fee of $45 in bitcoin or monero.

      >>>> You need contact us and decrypt one file for free on these platforms with your personal DECRYPTION ID
          Contact the following account on telegram
          @mr_robot_unlock
          or paste this link in your browser
          https://t.me/mr_robot_unlock
          
          
      >>>> Your personal DECRYPTION ID: 4B75BFA39AA770FCE8B6C4C67E83BE3F
      >>>> Warning! Do not DELETE or MODIFY any files, it can lead to recovery problems!
      >>>> Warning! If you do not pay the ransom you will not receive you files NO EXCEPTIONS!
      >>>> Warning! Any attempt to negotiate or you don't want to pay is INSTANT BLOCK!
      >>>> Advertisement
          
          Would you like to earn thousands of dollars $$$ ?
          We sell mentorship for stealers, DDOS and ransomware.
          We only work with professionals and people with money DO NOT WASTE OUR TIME.
       
      Example of file name which been infected...
      1. Agihan Tudung 2023.xlsx.3R9qG8i3Z
      2. Cadangan Kekerapan Kontena.pdf.3R9qG8i3Z
    • Алексей Симферополь
      Не обновляется/устанавливается Агент, ошибка "Parameter with name "86" not exist. Решение.
      От Алексей Симферополь
      Добрый день. 
      На компьютере был обнаружен антивирус старой версии и при выяснении причин отказа обновления через задачу обновления было обнаружено, что не обновляется Агент Администрирования Kaspersky Security center 11.0.0.1131.
       
       При переустановке вручную, этой версии или более новой выходила ошибка какая указана в теме и на принтскрине. Так же были фатальные строки в логах;
         $klnagent-2023-12-25-10-22-13
      Executing op: CustomActionSchedule(Action=RegisterNagentMsi,ActionType=17409,Source=BinaryData,Target=RegisterNagentMsi,CustomActionData=....
      Invoking remote custom action. DLL: C:\Windows\Installer\MSIA566.tmp, Entrypoint: RegisterNagentMsi
      Ошибка 25002. В процессе установки произошла ошибка: Parameter with name "86" not exist..
        $klssinstlib
      KLERR: #1, Error was caught in RemoveNagentBasesCA, e:\bs\1529\14716\sources\cs adminkit\development2\inst_libs\nag_inst\nag_inst_msi.cpp@3116. Error params: (1186/0x0 ("Object not found"), "KLSTD", e:\bs\1529\14716\sources\cs adminkit\development2\inst_libs\common\msi_utils.cpp@125)
          Error loc: ''.)
       
        Решение было найдено через трассировку - в реестре, не смотря, что на диске отсутствовали файлы, их по неудачной установке откатывал установщик агента, в реестре установщик не откатывал и не 
      удалял ветви реестра, что относятся к системному разделу для установленных продуктов. Нужно поискать "ID ED1C2D7E-5C7A-48D8-A697-57D1C080ABA7" в реестре, в ветви HKLM\software\Classes\Installer и удалить его
      а так же связанный  раздел uninstall, который тоже находится по поиску. 
      После удаления все обновлённые версии агент+антивирус установились в обычном режиме. 

    • sid_corei7
      affected with .LOCKYOU extension. (decryptforyou@aol.com)
      От sid_corei7
      i am affected with .lockyou extension ransomware. - can anyone have solution for this? plz guide.
       
×
×
  • Создать...