Перейти к содержанию

Вирус снова дал о себе знать.


Рекомендуемые сообщения

Добрый день.Уже были проблемы с вирусами.На вашем сайте мне помогли,всё было нормально почти неделю,но опять,когда я сидел за компютером антивирусник начинает блокировать разные файлы и "пищит" о вирусной угрозе.И снова на комптютере куча левых программ которые я не устонавливал.логи скинул.

 

CollectionLog-2015.03.15-14.46.zip

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Кирилл\AppData\Local\SmartWeb\SmartWebHelper.exe','');
QuarantineFile('C:\Windows\system32\BDL.dll','');
DeleteFile('C:\Windows\system32\BDL.dll','32');
DeleteFile('C:\Users\Кирилл\AppData\Local\SmartWeb\SmartWebHelper.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SmartWeb');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(15);
RebootWindows(true);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "По просьбе хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь.

 

Сделайте новые логи

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
DeleteFile('C:\Windows\system32\Tasks\{98B2491A-B774-4EF9-9EC7-189D74F4D6A0}','64');
DeleteFile('C:\Users\Кирилл\AppData\Roaming\istartsurf\UninstallManager.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Пофиксите в HiJack

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1426225376&from=face&uid=TOSHIBAXDT01ACA100_83PEDUANSXX83PEDUANSX
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1426225376&from=face&uid=TOSHIBAXDT01ACA100_83PEDUANSXX83PEDUANSX
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1426225376&from=face&uid=TOSHIBAXDT01ACA100_83PEDUANSXX83PEDUANSX
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1426225376&from=face&uid=TOSHIBAXDT01ACA100_83PEDUANSXX83PEDUANSX&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1426225376&from=face&uid=TOSHIBAXDT01ACA100_83PEDUANSXX83PEDUANSX&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1426225376&from=face&uid=TOSHIBAXDT01ACA100_83PEDUANSXX83PEDUANSX
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.istartsurf.com/web/?type=ds&ts=1426225376&from=face&uid=TOSHIBAXDT01ACA100_83PEDUANSXX83PEDUANSX&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.istartsurf.com/web/?type=ds&ts=1426225376&from=face&uid=TOSHIBAXDT01ACA100_83PEDUANSXX83PEDUANSX&q={searchTerms}
O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=35426718b4ae6453475f105e4c3eae05&text=

Сделайте новые логи по правилам

Ссылка на комментарий
Поделиться на другие сайты

У меня вопрос.В этой инструкции написано http://forum.kasperskyclub.ru/index.php?showtopic=7607 " 3. В появившемся логе в окне утилиты Hijackthis поставьте галочки напротив тех строк, которые необходимо "пофиксить"." А как я пойму где именно ставить галочки и какие файлы нужно фиксить?

Ссылка на комментарий
Поделиться на другие сайты

У меня вопрос.В этой инструкции написано http://forum.kasperskyclub.ru/index.php?showtopic=7607 " 3. В появившемся логе в окне утилиты Hijackthis поставьте галочки напротив тех строк, которые необходимо "пофиксить"." А как я пойму где именно ставить галочки и какие файлы нужно фиксить?

понял че к чему.Сорри за тупость))

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
DeleteFile('C:\Windows\system32\Tasks\{98B2491A-B774-4EF9-9EC7-189D74F4D6A0}','64');
DeleteFile('C:\Users\Кирилл\AppData\Roaming\istartsurf\UninstallManager.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Пофиксите в HiJack

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1426225376&from=face&uid=TOSHIBAXDT01ACA100_83PEDUANSXX83PEDUANSX
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1426225376&from=face&uid=TOSHIBAXDT01ACA100_83PEDUANSXX83PEDUANSX
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1426225376&from=face&uid=TOSHIBAXDT01ACA100_83PEDUANSXX83PEDUANSX
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1426225376&from=face&uid=TOSHIBAXDT01ACA100_83PEDUANSXX83PEDUANSX&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1426225376&from=face&uid=TOSHIBAXDT01ACA100_83PEDUANSXX83PEDUANSX&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1426225376&from=face&uid=TOSHIBAXDT01ACA100_83PEDUANSXX83PEDUANSX
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.istartsurf.com/web/?type=ds&ts=1426225376&from=face&uid=TOSHIBAXDT01ACA100_83PEDUANSXX83PEDUANSX&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.istartsurf.com/web/?type=ds&ts=1426225376&from=face&uid=TOSHIBAXDT01ACA100_83PEDUANSXX83PEDUANSX&q={searchTerms}
O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=35426718b4ae6453475f105e4c3eae05&text=

Сделайте новые логи по правилам

Сделал логи и пофиксил ошибки

CollectionLog-2015.03.16-15.08.zip

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Ссылка на комментарий
Поделиться на другие сайты

Неужели трудно ответить без цитирования и не превращать свой ответ в простыню? В следующий раз такие ответы буду удалять, не читая даже

 

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
     
    CreateRestorePoint:
    HKLM-x32\...\Run: [gmsd_ru_164] => [X]
    HKLM-x32\...\Run: [gmsd_ru_166] => [X]
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1426225376&from=face&uid=TOSHIBAXDT01ACA100_83PEDUANSXX83PEDUANSX
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/
    HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1426225376&from=face&uid=TOSHIBAXDT01ACA100_83PEDUANSXX83PEDUANSX&q={searchTerms}
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1426225376&from=face&uid=TOSHIBAXDT01ACA100_83PEDUANSXX83PEDUANSX
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1426225376&from=face&uid=TOSHIBAXDT01ACA100_83PEDUANSXX83PEDUANSX&q={searchTerms}
    URLSearchHook: [S-1-5-21-3549702108-3693849285-1890960846-1000] ATTENTION ==> Default URLSearchHook is missing.
    URLSearchHook: HKU\S-1-5-21-3549702108-3693849285-1890960846-1000 - (No Name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - No File
    SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1426225376&from=face&uid=TOSHIBAXDT01ACA100_83PEDUANSXX83PEDUANSX&q={searchTerms}
    SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1426225376&from=face&uid=TOSHIBAXDT01ACA100_83PEDUANSXX83PEDUANSX&q={searchTerms}
    SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1426225376&from=face&uid=TOSHIBAXDT01ACA100_83PEDUANSXX83PEDUANSX&q={searchTerms}
    SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1426225376&from=face&uid=TOSHIBAXDT01ACA100_83PEDUANSXX83PEDUANSX&q={searchTerms}
    Tcpip\Parameters: [DhcpNameServer] 217.116.128.9 217.116.129.9
    StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.istartsurf.com/?type=sc&ts=1426225376&from=face&uid=TOSHIBAXDT01ACA100_83PEDUANSXX83PEDUANSX
    S2 zuvohyfe; C:\Users\Кирилл\AppData\Roaming\03DE0294-1426096316-05E6-AD06-080700080009\nst15E0.tmp [X]
    2015-03-14 18:21 - 2015-03-14 18:21 - 00613255 _____ (CMI Limited) C:\Users\Кирилл\AppData\Local\nsdFB25.tmp
    2015-03-13 08:44 - 2015-03-13 08:44 - 00613255 _____ (CMI Limited) C:\Users\Кирилл\AppData\Local\nse91D5.tmp
    2015-03-13 08:43 - 2015-03-16 08:29 - 00000000 ____D () C:\Users\Кирилл\AppData\Roaming\istartsurf
    2015-03-12 14:39 - 2015-03-12 14:39 - 00613255 _____ (CMI Limited) C:\Users\Кирилл\AppData\Local\nszE065.tmp
    2015-03-12 14:39 - 2015-03-12 14:39 - 00000000 __SHD () C:\Users\Кирилл\AppData\Roaming\AnyProtectEx
    2015-03-12 14:38 - 2015-03-15 14:24 - 00008584 _____ () C:\Windows\SysWOW64\BasementDusterOff.ini
    2015-03-12 14:38 - 2015-03-15 14:24 - 00008584 _____ () C:\Windows\system32\BasementDusterOff.ini
    2015-03-12 14:36 - 2015-03-15 19:43 - 00000000 ____D () C:\Users\Кирилл\AppData\Local\SmartWeb
    2015-03-12 13:59 - 2015-03-12 14:39 - 00000000 __SHD () C:\Users\Кирилл\AppData\Local\EmieUserList
    2015-03-12 13:59 - 2015-03-12 14:39 - 00000000 __SHD () C:\Users\Кирилл\AppData\Local\EmieSiteList
    2015-03-12 13:59 - 2015-03-12 14:39 - 00000000 __SHD () C:\Users\Кирилл\AppData\Local\EmieBrowserModeList
    2015-03-04 14:13 - 2015-03-04 14:13 - 00000000 ____H () C:\Windows\system32\Drivers\Msft_User_WpdFs_01_09_00.Wdf
    2015-03-14 18:21 - 2015-03-14 18:21 - 0613255 _____ (CMI Limited) C:\Users\Кирилл\AppData\Local\nsdFB25.tmp
    2015-03-13 08:44 - 2015-03-13 08:44 - 0613255 _____ (CMI Limited) C:\Users\Кирилл\AppData\Local\nse91D5.tmp
    2015-03-12 14:39 - 2015-03-12 14:39 - 0613255 _____ (CMI Limited) C:\Users\Кирилл\AppData\Local\nszE065.tmp
    Task: {7CCAAB0E-345A-4513-89DD-093C5BAF2431} - \{98B2491A-B774-4EF9-9EC7-189D74F4D6A0} No Task File <==== ATTENTION
    Reboot:
    
  • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      Автор KL FC Bot
      В этом году исполнилось 20 лет системе CVSS — Common Vulnerability Scoring System, ставшей общепризнанным стандартом описания уязвимостей. Несмотря на десятилетия использования и четыре поколения стандарта (на сегодня внедрена версия 4.0), рейтингом CVSS продолжают пользоваться неправильно, а вокруг самой системы порой бушуют серьезные споры. Что важно знать о CVSS для эффективной защиты своих ИТ-активов?
      База CVSS
      Как пишут в документации CVSS разработчики системы, CVSS — инструмент описания характеристик и серьезности уязвимостей в программном обеспечении. CVSS поддерживается форумом специалистов по ИБ и реагированию на инциденты (FIRST) и была создана для того, чтобы эксперты говорили об уязвимостях на одном языке, а данные о программных дефектах было легче обрабатывать автоматически. Практически каждая уязвимость, опубликованная в реестрах уязвимостей (CVE, БДУ, EUVD, CNNVD), содержит оценку серьезности по шкале CVSS.
      Эта оценка состоит из двух основных компонентов:
      числовой рейтинг (CVSS score), отражающий серьезность уязвимости по шкале от 0 до 10, где 10 — максимально опасная, критическая уязвимость; вектор — стандартизованная текстовая строка, описывающая основные характеристики уязвимости: можно ли ее эксплуатировать по сети или только локально, нужны ли для этого повышенные привилегии, насколько сложно эксплуатировать уязвимость, на какие характеристики уязвимой системы влияет эксплуатация уязвимости (доступность, целостность конфиденциальность) и так далее. Вот как выглядит в этой нотации опасная и активно эксплуатировавшаяся уязвимость CVE-2021-44228 (Log4Shell):
      Base score 10.0 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H).
       
      View the full article
    • sasaks11
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Ferri
      Автор Ferri
      Доброго времени суток.

      Столкнулась с проблемой майнер CAAServieces.exe. Начала искать способы по отключению, удалению вируса. Отключить отключила, Из реестра удалила, Удалила. Провела несколько проверок через антивирусы - чисто. Только при перезагрузке и некоторого времени (1-2 минуты) создается снова папка и файл с вирусом (но не запускается) по расположению: C:\ProgramData\CAAService.

      Прикладываю проверку с KVRT и AutoLogger.

      Найдя на форуме такую же проблему - уже решённую ранее - прикрепляю логи из FRST64

      CollectionLog-2025.07.19-02.48.zip Addition.txt FRST.txt
    • lostintired
      Автор lostintired
      Здравствуйте!
       
      Обращаюсь за помощью в полном удалении вредоносного ПО. Ранее на компьютере был обнаружен вирус, связанный с процессом CAAService.exe, который осуществлял майнинг. На тот момент мне удалось остановить вредоносную активность, и майнинг-процессы больше не наблюдаются.
      Однако, несмотря на это, файл CAAService.exe продолжает самовосстанавливаться по следующему пути: "C:\ProgramData\CAAService\CAAService.exe"
       
      Удалял вручную — файл вновь появляется сам, также сам себя добавляет в исключения защитника Windows. Также пытался выполнить рекомендации, приведённые в ТЕМЕ, но проблема не была полностью решена — папка и исполняемый файл восстанавливаются.
      Прошу помощи в полном удалении остаточных компонентов этой угрозы. Готов предоставить все необходимые логи и выполнить диагностику согласно требованиям форума.
      Заранее благодарю за помощь.
      CollectionLog-2025.07.18-23.17.zip
      Addition.txt FRST.txt
    • composer1995
      Автор composer1995
      Добрый день!

      Столкнулся с вирусом CAAServices.exe. Изложу последовательно события и свои действия:

      1. Центр обновления Windows установил обновления (не знаю, связано ли это с дальнейшей проблемой)
      - Накопительное обновление для Windows 11 Version 24H2 для систем на базе процессоров x64, 2025 07 (KB5062553)
      - 2025-07 Накопительное обновление .NET Framework 3.5 и 4.8.1 для Windows 11, version 24H2 для x64-разрядных систем (KB5056579)

      2. После обновления комп перезагрузился и в простое на рабочем столе начал сильно шуметь. Я решил проверить диспетчер задач и заглянуть в автозагрузки. В этот момент комп уже остыл и вернулся к нормальному уровню шума. В списке автозагрузок обнаружил файл CAAServices.exe, расположение файла C:\ProgramData\CAAService

      3. Нагуглил, что это майнер, провёл проверку защитником Windows, обнаружил вирус:
      - Trojan:Win64/DisguisedXMRigMiner!rfn, затронутые элементы C:\ProgramData\CAAService\Microsoft Network Realtime lnspection Service.exe

      Далее, в исключениях обнаружил CAAServices.exe, убрал его из списка исключений. Вручную указал папку CAAService, и в ней он нашёл:
      - Trojan:Win32/Wacatac.H!ml, затронутые элементы C:\ProgramData\CAAService\CAAServices.exe

      Защитник удалил оба вируса. После рестарта компа в автозагрузках снова обнаружил этот CAAServices.exe. Повторил процедуру по поиску и удалению вируса, комп не перезагружал.

      4. Пришёл сюда на сайт, провёл проверку Kaspersky Virus Removal Tool, обнаружил два вируса (прикладываю скрин). После проверки данной утилитой и рестарта компа в автозагрузке майнер не появляется. В папке C:\ProgramData\CAAService исчез файл CAAServices.exe. Остались только файлы CAAServices.vdr и OpenCL.dll.

      5. Собрал логи с помощью AutoLogger, прикладываю архив.

      Скажите, пожалуйста, избавился ли я от майнера, или нужно предпринять ещё какие-то меры?

      CollectionLog-2025.07.10-12.42.zip
×
×
  • Создать...