Перейти к содержанию

[РЕШЕНО] Подозрение на вирусы. Вирусы в архивах


Рекомендуемые сообщения

Добрый день.

Устанавливал ОС на чужой компьютер, использовал в процессе пару флешек и пару своих компьютеров.

 

По окончанию заметил, что на моих компьютерах сбились видеокодеки и некоторые ассоциации файлов (.jpg, .png, и другие изображения отвязались от стандартного просмотрщика фотографий Windows).
Никакого нового ПО на свои компьютеры не устанавливал, так что сразу возникли подозрения.

 

Просканировав систему ESET'ом, я нашёл три крайне подозрительных архива, которые я точно не загружал:
C:\Users\Odmin\Downloads\Kotatogram Desktop\Markets Index 4k.zip
C:\Users\Odmin\Downloads\Kotatogram Desktop\Markets Index 4k (2).zip
C:\Users\Odmin\Downloads\Kotatogram Desktop\(название третьего забыл, пардон).zip


ESET'ом определяются как Win64/Packed.Themida.L и Win32/PSW.Agent.onw.

Первые два лежат до сих пор, третий антивирь удалил сразу. По данным, указанным в свойствах, лежат они там аж с 7 марта.
Внутри архивов exe-шники, ничего из этого я не запускал.

Отсюда вопрос: грозит ли мне что-то, если данные зловреды были в архивах и я их не запускал? Файрволл (simplewall) настроен на автоматический блок всего, что не подходит ни одному из существующих правил.

 

Логи сканирования прилагаю. Сканирование проводил вместе с подключенными флешками.

CollectionLog-2023.05.26-13.23.zip

Изменено пользователем Bagration
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Логи собирали на каком компьютере? На чужом или

26.05.2023 в 14:33, Bagration сказал:

на моих компьютерах

?

 

На том ПК, на котором собирались логи какие проблемы сейчас пристутствуют?

Ссылка на комментарий
Поделиться на другие сайты

5 часов назад, Sandor сказал:

Здравствуйте!

 

Логи собирали на каком компьютере? На чужом или

?

 

На том ПК, на котором собирались логи какие проблемы сейчас пристутствуют?

 

Логи собраны на одной из своих машин.

До сих пор висят два подозрительных архива, которые не знаю, как удалить так, чтоб вирус не оставил следов в системе. Помимо этого, сбитые, до сих пор, кодеки, т. к. ничего не трогал до удаления зловредов, ну и в целом подозрение, что с системой что-то не то.


Вторую свою машину пока не сканировал, но сделаю это  после очистки этой.
 

Изменено пользователем Bagration
Ссылка на комментарий
Поделиться на другие сайты

Только учтите, что действовать нужно по принципу один компьютер - одна тема.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты

17 минут назад, Sandor сказал:

Только учтите, что действовать нужно по принципу один компьютер - одна тема.


Хорошо.

Сканирование сделал, вот логи.
 

Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

1 минуту назад, Sandor сказал:

Этот файл в авто запуске вам известен?

 

Да, это программа цветовой коррекции света монитора, пользуюсь ей уже несколько лет и доверяю. Ставил в автозагрузку самостоятельно.

Ссылка на комментарий
Поделиться на другие сайты

Понятно, спасибо за разъяснение.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
    IFEO\CompatTelRunner.exe: [Debugger] %windir%\System32\taskkill.exe
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Folder:C:\Users\Odmin\Downloads\Kotatogram Desktop
    FirewallRules: [{C4F0A6A4-F09A-410E-B8B2-66088297668D}] => (Allow) LPort=3074
    FirewallRules: [{36E4471A-43C2-4C33-9C6E-CA4006A5BABC}] => (Allow) LPort=3074
    FirewallRules: [{91721FFC-B8D0-4961-9CE0-367D6D62E1BC}] => (Allow) LPort=27036
    FirewallRules: [{96CB8BB9-B8C2-416D-B54F-707F8376911E}] => (Allow) LPort=27036
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor
Поправил скрипт
Ссылка на комментарий
Поделиться на другие сайты

5 часов назад, Sandor сказал:

Понятно, спасибо за разъяснение.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    
    
    
    
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
    IFEO\CompatTelRunner.exe: [Debugger] %windir%\System32\taskkill.exe
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Folder:C:\Users\Odmin\Downloads\Kotatogram Desktop
    FirewallRules: [{C4F0A6A4-F09A-410E-B8B2-66088297668D}] => (Allow) LPort=3074
    FirewallRules: [{36E4471A-43C2-4C33-9C6E-CA4006A5BABC}] => (Allow) LPort=3074
    FirewallRules: [{91721FFC-B8D0-4961-9CE0-367D6D62E1BC}] => (Allow) LPort=27036
    FirewallRules: [{96CB8BB9-B8C2-416D-B54F-707F8376911E}] => (Allow) LPort=27036
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


Спасибо, но есть вопрос: в процессе скрипт активирует обновление Windows, или я неправильно понимаю? Если что, я выключил его специально и не хотел бы включать.

Изменено пользователем Bagration
Ссылка на комментарий
Поделиться на другие сайты

Поправил скрипт, выполняйте.

Не нужно полностью цитировать предыдущее сообщение. Пишите в нижнем поле быстрого ответа.

Ссылка на комментарий
Поделиться на другие сайты

Готово.
Однако, те подозрительные архивы, по адресу C:\Users\Odmin\Downloads\Kotatogram Desktop\ так и остались, не удалились.

Fixlog.txt

Изменено пользователем Bagration
Ссылка на комментарий
Поделиться на другие сайты

Подозрительные архивы просто удалить вы ведь можете, верно?

Расследовать то, как они оказались в этой папке мы не будем, это совсем другой вид услуг. Здесь мы только лечим заражённые системы.

 

Если других признаков заражения нет, будем завершать:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на комментарий
Поделиться на другие сайты

6 часов назад, Sandor сказал:

Подозрительные архивы просто удалить вы ведь можете, верно?

Могу, но опасаюсь, что останутся следы в системе, т. к. антивирус порой находил подозрительные файлы по адресам вида С:\RECYCLE.BIN~что-то-там\тарабарщина.
Тут уж вы мне, пожалуйста, посоветуйте, безопасно ли удалять простым удалением файлы, содержащие вирус, или только специальными вирусочистками?


Расследования от Вас не требую, понимаю.

 

Лог SecurityCheck.

SecurityCheck.txt

Изменено пользователем Bagration
Ссылка на комментарий
Поделиться на другие сайты

Да, простого удаления (с последующей очисткой Корзины) достаточно.

 

Исправьте по возможности:

------------------------------- [ HotFix ] --------------------------------
HotFix KB5026361 Внимание! Скачать обновления
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Защитника Windows (mpssvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
---------------------- [ AntiVirusFirewallInstall ] -----------------------
ESET Endpoint Security v.5.0.2272.7 Внимание! Скачать обновления
-------------------------- [ SecurityUtilities ] --------------------------
KeePassXC v.2.7.4 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.20 (64-разрядная) v.5.20.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9006 Внимание! Скачать обновления
Skype, версия 8.93 v.8.93 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.9.42606 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
Audacity 3.2.4 v.3.2.4 Внимание! Скачать обновления
K-Lite Codec Pack 17.2.0 Standard v.17.2.0 Внимание! Скачать обновления
VLC media player v.2.2.4 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox (x64 ru) v.111.0 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Google Chrome v.104.0.5112.102 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
Opera Stable 90.0.4480.84 v.90.0.4480.84 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.03 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
 

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Flawor_Swift
      От Flawor_Swift
      Доброго времени суток! В состоянии покоя через некоторое время ноутбук начинает сильно шуметь, как будто бы я на нем активно активно работаю. Из необычного еще  окно "Безопасность  Windows" При открытии фризит и выдает черный экран на пару минут. Другие проявления типичные майнеру, по типу невозможности зайти на сайты, создавать папки или запускать антивирусы отсутствуют.  KVRT и Cureit  не нашли ничего вредоносного

      CollectionLog-2024.11.14-01.14.zip
    • Salieri
      От Salieri
      Здравствуйте, столкнулся с такой проблемой что у меня начали вылазить окна cmd, долгая перезагрузка, обновления какие-то, проблемы с производительностью. Нужна ваша помощь, антивирусы не дают ничего.CollectionLog-2024.11.17-12.39.zip
    • sova.prod123
      От sova.prod123
      Здравствуйте, не знаю точно откуда подцепил эту гадость на пк, ибо придя с работы оно уже было на пк, те кто пользовался компьютером, говорят что ничего не скачивали. Kaspersky Virus Removal Tool дал лишь временный эффект, после чего всё вернулось обратно. Сильно нагружается пк, сидит в хосте - не дает нормально открыть браузер с утилитами, сворачивает диспетчер задач, препятствует установке лечащих утилит, с safe режиме дела обстоят чуть получше, но полностью вычистить вирус с пк не удается.
      CollectionLog-2024.10.10-16.48.zip
    • Belzak
      От Belzak
      Здравствуйте, у меня такая- же проблема, вот мой файл
      WIN-GSIH82VECDJ_2024-10-11_22-13-38_v4.99.2v x64.7z
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • kudyukovn
      От kudyukovn
      Добрый день, помогите пожалуйста. Словил майнер. Сначала проверил касперским, он его нашел но удалить не смог, после перезагрузки пк вообще перестал видеть его. После переустановки windows 11 майнер остался, на сайты с антивирусами не заходит, а касперский не находит, defender перестал работать.
      Так же до этого комп не включался сутки, горел CPU на материнке. Но сегодня каким то чудом включился.
      Прикрепляю файлы архив от автологера
      CollectionLog-2024.10.14-14.33.zip
      https://imgur.com/a/0O2BObP
      Это отчёт от KVRT
×
×
  • Создать...