Перейти к содержанию
Правила раздела
Викторина по домашним продуктам "Лаборатории Касперского"

[РЕШЕНО] Вирус поразил системные файлы!

Galem333

Автор Galem333,
в Помощь в удалении вирусов

 Share Подписчики 0

Рекомендуемые сообщения

Galem333

Galem333 1

Опубликовано
Опубликовано

Здравствуйте,при лечении этих файлов происходит компьютер зависает и появляется черный экран, после перезагрузки вам приходит в норму,но вирусы не лечатся. 

1717918129972124000244417397436.jpg

1717918324796793145052519116938.jpg

 

Сообщение от модератора Mark D. Pearlstone
Тема перемещена из раздела "Помощь по персональным продуктам".
Ссылка на сообщение
Поделиться на другие сайты
safety

safety 130

Опубликовано
Опубликовано

обнаружение в каком антивирусном продукте происходит? WinDefender?

 

добавьте дополнительно логи FRST

и

образ автозапуска в uVS:

 

создайте образ автозапуска системы с помощью uVS для проверки.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 130

Опубликовано
Опубликовано (изменено)

+ файл Addition.txt +образ автозапуска в uVS+ журнал обнаружений угроз из антивируса Касперского.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
safety

safety 130

Опубликовано
Опубликовано

Судя по отчету угроз сегодня не обнаружено. Логи FRST и образ автозапуска проверю сейчас.

 

Quote

Сегодня, 09.06.2024 13:32:44    Вы установили приложение    Защита                                                                    0    
Сегодня, 09.06.2024 13:47:47    Вы активировали приложение    Защита                                                                    0    
    Включите расширение для Mozilla Firefox и управляйте защитой на лету    Защита                                                                    0    DESKTOP-9CVNU6O\ArdorPc
    Включите расширение для Яндекс.Браузер и управляйте защитой на лету    Защита                                                                    0    NT AUTHORITY\СИСТЕМА
Сегодня, 09.06.2024 15:14:08    Защита была возобновлена    Защита                                                                    0    
Сегодня, 09.06.2024 14:50:29    Вы приостановили защиту на 5 часов    Защита

 

Ссылка на сообщение
Поделиться на другие сайты
Galem333

Galem333 1

Опубликовано
  • Автор
Опубликовано

Screenshot_1.thumb.png.5d850d3bf66aef54ab7f5607c3b47aa9.png

Dr.Web CureIt я для проверки не использовал,как и kvrt

я только Kaspersky проверил и всё.

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 130

Опубликовано
Опубликовано (изменено)
6 minutes ago, Galem333 said:

Лечение что с перезагрузкой или без вызывает зависание и чёрный экран

объект указан как системный файл, поэтому лечение может быть с BSOD. Возможно, вы не тот отчет сформировали. Так как угрозы на скрине датированы 09.06, в отчете их нет, посмотрите внимательно по отчетам антивируса, чтобы сформировать список обнаружений на сегодня.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
safety

safety 130

Опубликовано
Опубликовано

по очистке в uVS:

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит систему.


  

;uVS v4.15.4v [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {818DF32A-9AED-4634-A11E-8E0F4A2D69A6}\[CLSID]
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.24050.7-0\NISSRV.EXE
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.24050.7-0\MPEVMSG.DLL
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.24050.7-0\MPSVC.DLL
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.24050.7-0\MPRTP.DLL
delref %SystemRoot%\UUS\%PROCESSOR_ARCHITECTURE%\WUAUENGCORE.DLL
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.24050.7-0\DRIVERS\WDFILTER.SYS
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.24050.7-0\MPCLIENT.DLL
delref %SystemDrive%\PROGRAM FILES\JAVA\JRE1.8.0_351\BIN\DTPLUGIN\NPDEPLOYJAVA1.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\GOOGLEUPDATE.EXE
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.24050.7-0\MPDEFENDERCORESERVICE.EXE
;-------------------------------------------------------------

restart

после перезагрузки:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Сделайте новый скрин обнаружений в центре уведомлений Касперского.

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 130

Опубликовано
Опубликовано

+

найдите этот файл в системе:

C:\Program Files\Google\Libs\WR64.sys

загрузите для проверки на Virustotal.com

и дайте ссылку здесь на линк проверки

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 130

Опубликовано
Опубликовано
20 minutes ago, Galem333 said:

этот пункт?

Если вы планируете выполнить скрипт, и uVS в данный момент был не загружен, то да, по текущим пользователем выбираем, если start.exe был запущен от имени администратора.

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • Asya
      Возможное заражение трояном
      От Asya
      Здравствуйте, уважаемые консультанты. Появилась необходимость обратиться к вам за советом. Очень надеюсь на вашу помощь. 
      Ситуация следующая:
      На смартфон в телеге было скачано два файла epub (электронные книги) из чата по англо-китайским книжкам. После, через соцсети файлы переброшены на ноутбук. 
      27.09 - скачана первая книга. Проверка Kaspersky Security Cloud дала добро, и файл был открыт. 
      20.10 - скачана вторая книга. Проверка Касперского - окей, но ещё закидываю файл на Virustotal - и вот тут обнаруживается единственное (1/64) срабатывание у китайского Kingsoft - пишет что в файле HTA trojan. Сразу удаляю файл и перепроверяю первую книгу - результат такой же, Kingsoft ругается, остальные антивирусы молчат.
      Другие файлы, из того же чата, скачанные ранее - все целиком чистые, реакт есть только на те два файла.     
      Я бы подумала на ложное срабатывание, но вдруг вспомнила, что:
      15.10 - на мой номер телефона пришло смс с кодом верификации от китайского Wechat (которым не пользуюсь уже 10 лет) и который, естественно, не запрашивала. 
      Плюсом последние несколько дней на одну из почт (моего основного гугл-аккаунта) сыпется нервирующий иностранный спам (раньше такого не было). 

      Ноутбук проверяла своим Kaspersky Security Cloud, KVRT, Dr.Web Cureit - в них всё чисто, ничего не обнаруживается. 
       
      И теперь сомневаюсь, то ли это просто совпадение, то ли мне попался какой-то хитрый китайский вирус, который ещё никто из антивирусов не видит. И где его теперь искать: на компьютере или на смартфоне (и вот с последним я вообще не знаю, что делать)? Не очень хочется думать, что какие-то китайцы таскают мои данные. 
      Буду очень благодарна, если сможете помочь и подсказать, есть ли следы вирусной активности. Заранее спасибо за уделённое время. 
      CollectionLog-2024.11.02-23.04.zip
    • NaaR
      Не могу удалить HEUR:Trojan.Multi.GenBadur.genw
      От NaaR
      Добрый день!
      Не получается самостоятельно удалить HEUR:Trojan.Multi.GenBadur.genw . После перезагрузки обнаруживается снова.
      Буду признателен за помощь. Спасибо.CollectionLog-2024.11.01-17.38.zip
    • Dmitrij777
      [РЕШЕНО] Здравствуйте, у меня проблема, поймал троянов MEM:Trojan.Win32.SEPEH.gen, HEUR:Trojan-PSW.MSIL.DarkCloud.gen, UDS:Trojan.Win64.Reflo.edi.
      От Dmitrij777
      После загрузки образов и редактора, появилась проблема. Kaspersky Total Security выявил трояна MEM:Trojan.Win32.SEPEH.gen , после сканирования  через Virus Removal Tool выявило ещё два, удаление и лечение не помогло.
      CollectionLog-2024.10.30-19.02.zip
    • Bernardo
      Heur:Trojan.Multi.GenBadur.genw не удаляется
      От Bernardo
      Друзья привет. 
      Вот несколько дней уже у меня в ноутбуке живет троян, Касперский удаляет его, а позже вирус появляется вновь. Комп стал тормозить(
       
      Логи загрузил. 
      Спасибо
      CollectionLog-2024.10.30-10.31.zip
    • harmonrosta
      [РЕШЕНО] HEUR:Trojan.multi.GenBadur.genw не удаляется антивирусом Kaspersky
      От harmonrosta
      Добрый день, у меня аналогичная проблема, я скачал  Farbar Recovery Scan Tool, просканировал, данные в архиве прикладываю, подскажите как сделать к од для исправления проблемы?
      папка.zip Addition.txt FRST.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...