Перейти к содержанию
Правила раздела

Поймал вирус

Пантелеймон

Автор Пантелеймон
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Пантелеймон

Пантелеймон

Опубликовано
Опубликовано (изменено)

Добрый день! 
Подхватил вирус удаленного доступа 
Кто-то управляет компьютером удаленно: набирает текст, открывает программы, в общем имеет как я понял полный доступ к файлам и управлению ПК 
Переустановка Винды не помогла 
Компьютер рабочий, работаю через удаленку, когда подключен к рабочей удаленке, злоумышленник также имеет к ней доступ
Скорее всего подхватил эту болячку после того как, по глупости и жадности хотел скачать бесплатный Word, но это не точно 
Хотелось бы изгнать этого нарушителя, с вашей помощью

CollectionLog-2024.08.16-11.23.zip

Изменено пользователем Пантелеймон
safety

safety

Опубликовано
Опубликовано

Может, это ваши админы что-то выполняют на рабочем ПК? поставили их в известность?

Пантелеймон

Пантелеймон

Опубликовано
  • Автор
Опубликовано
20.08.2024 в 05:42, safety сказал:

Может, это ваши админы что-то выполняют на рабочем ПК? поставили их в известность?

Да, конечно, Админы и СБ в курсе инцидента
Проблема наблюдается не только в удаленном доступе, но и на моей системе + злоумышленник нанес небольшой вред удаленному рабочему столу

safety

safety

Опубликовано
Опубликовано (изменено)

Если окропление святой водой не помогло изгнать злоумышленника, пробуйте поменять пароли доступа в локальной системе, и в удаленной системе.

+

Добавьте, пожалуйста, логи FRST собранные на зашифрованном устройстве.

+

Добавьте дополнительно образ автозапуска системы в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено пользователем safety
Пантелеймон

Пантелеймон

Опубликовано
  • Автор
Опубликовано
22.08.2024 в 06:54, safety сказал:

Если окропление святой водой не помогло изгнать злоумышленника, пробуйте поменять пароли доступа в локальной системе, и в удаленной системе.

+

Добавьте, пожалуйста, логи FRST собранные на зашифрованном устройстве.

+

Добавьте дополнительно образ автозапуска системы в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

DESKTOP-HR0H04B_2024-08-23_10-23-26_v4.99.1v x64.7z FRST.txt Addition.txt

safety

safety

Опубликовано
Опубликовано

Mediaget - потенциально нежелательно ПО. Лучше его деинсталлировать через установку/удаление программ.

MediaGet: Program.MediaGet.167; a variant of Win32/MediaGet.AK potentially unwanted

Пантелеймон

Пантелеймон

Опубликовано
  • Автор
Опубликовано
2 часа назад, safety сказал:

Mediaget - потенциально нежелательно ПО. Лучше его деинсталлировать через установку/удаление программ.

MediaGet: Program.MediaGet.167; a variant of Win32/MediaGet.AK potentially unwanted

Удалю конечно, думаете проблема в нем?

 

2 часа назад, safety сказал:

Mediaget - потенциально нежелательно ПО. Лучше его деинсталлировать через установку/удаление программ.

MediaGet: Program.MediaGet.167; a variant of Win32/MediaGet.AK potentially unwanted

Скачивал с Оф.сайта его

2 часа назад, safety сказал:

Mediaget - потенциально нежелательно ПО. Лучше его деинсталлировать через установку/удаление программ.

MediaGet: Program.MediaGet.167; a variant of Win32/MediaGet.AK potentially unwanted

Готово, удалил, через Удаление программ

safety

safety

Опубликовано
Опубликовано (изменено)
23 минуты назад, Пантелеймон сказал:

Удалю конечно, думаете проблема в нем?

Кто-то управляет компьютером удаленно: набирает текст, открывает программы, в общем имеет как я понял полный доступ к файлам и управлению ПК 

это основная проблема?

систему переустановили, пароль к учетной записи сменили?

управление где происходит: на локальном или на удаленном ПК? Как происходит: только после того как вы к нему подключаетесь, или в любой момент, когда удаленный ПК включен?

+

добавьте, пожалуйста, новый образ автозапуска в uVS с отслеживанием процессов и задач.

 

как это сделать:

после загрузки uVS, заходим в "дополнительно", "твики", нажимаем на твик 39,

перегружаем систему,

и уже после этого делаем образ автозапуска.

 

Изменено пользователем safety
Пантелеймон

Пантелеймон

Опубликовано
  • Автор
Опубликовано

Проблема наблюдается удаленном и на локальном ПК, отсюда делаю вывод, что бяка находится именно на локальном ПК
Доступ имеет в любой момент когда мой ПК включен 
 

DESKTOP-HR0H04B_2024-08-24_01-44-18_v4.99.1v x64.7z

safety

safety

Опубликовано
Опубликовано (изменено)

А управление в какой момент происходит?

Когда вы работаете с каким либо приложением, или может быть без вашего участия, лишь бы ПК был включен?

Есть ли управление при отключенной глобальной сети?

Доступ с управлением регулярный или от случая к случаю?

Хорошо бы снять образ в момент, когда есть эта активность с управлением.

 

По очистке в uVS

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

  

;uVS v4.99.1v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\PAVLO\MEDIAGET2\MEDIAGET.EXE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFHKBFKKOHCDGPCKFFAKHBLLIFKAKIHMH%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemDrive%\USERS\PAVLO\APPDATA\LOCAL\PROGRAMS\OPERA GX\LAUNCHER.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.17\X64\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.17\SHELLEX.DLL
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\AMD\ANR\AMDNOISESUPPRESSION.EXE
delref %SystemDrive%\USERS\PAVLO\APPDATA\LOCAL\TEMP\.OPERA\INSTALLER.EXE
delref %SystemDrive%\PROGRAM FILES\PORTRAIT DISPLAYS\HP DISPLAY CONTROL SERVICE\DEVICECHECK.EXE
delref %SystemRoot%\TEMP\CF746BDB-19F2-418A-A527-0C2BA91F0DEE\DISMHOST.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Изменено пользователем safety
Пантелеймон

Пантелеймон

Опубликовано
  • Автор
Опубликовано (изменено)
24.08.2024 в 03:20, safety сказал:

А управление в какой момент происходит?

Когда вы работаете с каким либо приложением, или может быть без вашего участия, лишь бы ПК был включен?

Есть ли управление при отключенной глобальной сети?

Доступ с управлением регулярный или от случая к случаю?

Хорошо бы снять образ в момент, когда есть эта активность с управлением.

 

По очистке в uVS

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

  



;uVS v4.99.1v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\PAVLO\MEDIAGET2\MEDIAGET.EXE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFHKBFKKOHCDGPCKFFAKHBLLIFKAKIHMH%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemDrive%\USERS\PAVLO\APPDATA\LOCAL\PROGRAMS\OPERA GX\LAUNCHER.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.17\X64\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.17\SHELLEX.DLL
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\AMD\ANR\AMDNOISESUPPRESSION.EXE
delref %SystemDrive%\USERS\PAVLO\APPDATA\LOCAL\TEMP\.OPERA\INSTALLER.EXE
delref %SystemDrive%\PROGRAM FILES\PORTRAIT DISPLAYS\HP DISPLAY CONTROL SERVICE\DEVICECHECK.EXE
delref %SystemRoot%\TEMP\CF746BDB-19F2-418A-A527-0C2BA91F0DEE\DISMHOST.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

При отключенном интернете не наблюдал активности 
Активность наблюдается в любой момент, когда включен ПК, не зависимо от запуска какого либо приложения
Регулярности нет
Во время активности не думаю, что получится, так как этот мамкин хакер не дает что либо делать, мешает работать
 

Изменено пользователем Пантелеймон
Пантелеймон

Пантелеймон

Опубликовано
  • Автор
Опубликовано
24.08.2024 в 03:20, safety сказал:

А управление в какой момент происходит?

Когда вы работаете с каким либо приложением, или может быть без вашего участия, лишь бы ПК был включен?

Есть ли управление при отключенной глобальной сети?

Доступ с управлением регулярный или от случая к случаю?

Хорошо бы снять образ в момент, когда есть эта активность с управлением.

 

По очистке в uVS

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

  


;uVS v4.99.1v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\PAVLO\MEDIAGET2\MEDIAGET.EXE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFHKBFKKOHCDGPCKFFAKHBLLIFKAKIHMH%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemDrive%\USERS\PAVLO\APPDATA\LOCAL\PROGRAMS\OPERA GX\LAUNCHER.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.17\X64\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.17\SHELLEX.DLL
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\AMD\ANR\AMDNOISESUPPRESSION.EXE
delref %SystemDrive%\USERS\PAVLO\APPDATA\LOCAL\TEMP\.OPERA\INSTALLER.EXE
delref %SystemDrive%\PROGRAM FILES\PORTRAIT DISPLAYS\HP DISPLAY CONTROL SERVICE\DEVICECHECK.EXE
delref %SystemRoot%\TEMP\CF746BDB-19F2-418A-A527-0C2BA91F0DEE\DISMHOST.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

 

2024-08-25_12-12-12_log.txt

safety

safety

Опубликовано
Опубликовано

продукт Касперского у вас установлен с функцией фаерволла или просто чистый антивирус?

Подключение злоумышленника происходит сразу после загрузки рабочего стола на вашем ПК?

Пантелеймон

Пантелеймон

Опубликовано
  • Автор
Опубликовано
25.08.2024 в 12:18, Пантелеймон сказал:

 

2024-08-25_12-12-12_log.txt 45 kB · 1 загрузка

Скачал бесплатную версию, скорее всего просто антивирус 
Видимо сразу, при загрузке ПК на секунду появляется окно с командной строкой, автоматически проходят команды и окно закрывается, не знаю, относится ли это к делу, но ранее такого не наблюдалось 

 

safety

safety

Опубликовано
Опубликовано (изменено)
Цитата

Скачал бесплатную версию, скорее всего просто антивирус 

 

Установите версию антивируса с фаерволом, чтобы вы могли контролировать подключения к вашему устройству из сети.

Например Kaspersky Internet Security.

https://www.kaspersky.ru/internet-security

 

Пока мало что понятно из ваших ответов:

 

Управление злоумышленном на вашем рабочем столе в какой момент происходит:

1. сразу после загрузки рабочего стола.

2. в момент начала работы на ПК

3. в произвольный момент.

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • AdminNeo
      Похоже на вирус/ майнер
      Автор AdminNeo
      1. Сегодня утром зашёл в свой ноутбук, начал что-то подозревать : начал греться, сильно шуметь...
       Решил скачать доктор веб - браузер сразу закрывался при нажатии на ссылку/ при заходе на сайт
       Так же отключался диспетчер задач.
      2. Пытался решить сам, скачал такие проги: одноразовый доктор веб курейт, после него iExplore, CrowdInspetc, Rougekiller (им не пользовался, скачан), AVBr
      Поочерёдно использовал их, после смог закачать обычный доктор веб, прочистил сейчас ноутбук. Лог кину после быстрой проверки доктором вебом (делал полную проверку, но после перезагрузил ноут  ). Есть ли шанс, что ещё есть майнеры/ вирусы? Очень переживаю, данный ноутбук - очень важен для меня. (
       
      CollectionLog-2025.12.29-13.18.zip
    • xads
      (возможно) вирус не дает поменять пользователя на администратора.
      Автор xads
      Здравствуйте, с недавнего времени обнаружил что на моем компьютере не возможно установить некоторые программа (80%), узнал что мой локальный профиль windows 11 поменялся на обычную учетную запись, а не администратор как был раньше, пробовал почти все способы поменять тип учетной записи, но ни один способ не помог. В большинстве способов тип просто меняется обратно на обычный, в командой строке выдает "отказано в доступе". Пытался переустановить windows через флешку, но система не дает установить rufus/media tool, пишет что для установки приложения нужны повышенные права, , когда запускаешь от имени администратора программы запускаются в простом режиме. Я не до конца уверен что это вирус т.к это начало происходить в один день, когда я ничего не скачивал и тд. (все антивирусы отключены полностью, на мою глупую голову решил их убрать)
      CollectionLog-2025.12.28-23.51.zip
    • Dmitry2811
      [РЕШЕНО] trojanstarter,keysender, Трояны, майнеры, нацеплял за много лет
      Автор Dmitry2811
      сегодня играл в игру и обратил внимание, что в целом комп стал совсем слабо тянуть по производительности, потыкался в диспетчере задач с ЦП, все стало норм, обратил внимание что снова появились просадки, когда открывал диспетчер то все было ок, дальше самое интересное)))
      я начал изучать подробности и процессы и диспетчер сам начал закрываться, я сразу же полез в браузер качать антивирусы и все такое прочее, как вдруг браузер резко начал сам выключаться)) с командной строкой и диспетчером задач то же самое, после перезагрузки еле как успел врубить безопасный режим, скачал cureit, нашло 28 пунктов, далее будут на фото, сори что в таком качестве, я не знаю правильно сделал или нет что удалил их, но на нервяке был сильном, через AV block remover прогнал, удалил пользователя John, потом на второй раз прошел cureit, нашло одного трояна, и второй раз шлифанул через AVBR, через скрытый файл hosts вернул доступ к сайтам, прошу прощения что так расписал, но на таком нервяке сейчас…помогите пожалуйста, добить этот треш
       
    • Graf_Bender
      Словил майнер
      Автор Graf_Bender
      Добрый день. Скачал какойCollectionLog-2025.12.03-09.49.zip-то файл на комп и заметил что он стал сильно греться, проверил утилитой Dr.Web и обнаружил что на компе вирусня. Помогите плиз

    • Георгий123
      MEM: Trojan-PSW.Win32. Mimikatz.gen и Backdoor.Win32.Gulpix.gen
      Автор Георгий123
      Здравствуйте, уважаемые эксперты. Прошу вашей помощи, так как сам уже не справляюсь. Ситуация запутанная
       
      Моя история и что я делал:
       
       У меня установлен антивирус Huorong Internet Security. Пару месяцев недель назад он начал обнаруживать и отправлять в карантин подозрительные файлы по пути вроде C:\Windows\System Temp\chrome_Unpacker_BeginUnzipping...\UpdaterSetup.exe. Они появлялись пачками по 3-4 файла 
      Сегодня я выключил интернет кабель по рекомендациям, запустил Kaspersky Virus Removal Tool (KVRT). Он нашёл трояны и я попытался вылечить угрозу: MEM:Backdoor.Win32.Gulpix.gen.
      После лечения и перезагрузки KVRT снова проверил систему и обнаружил уже ДРУГИЕ угрозы:
         · Trojan.Win32.Dorma.aeph — расположение: C:\Users\[Моё_Имя]\Downloads\CCleaner Soft download load.exe 
         · MEM:Trojan-PSW.Win32.Mimikatz.gen 
      Я пробовал лечить и эти угрозы через KVRT, но после перезагрузки ситуация повторяется: антивирус снова находит Mimikatz.
      После 3 проверки опять появился тот самый бэкдор..
      Интернет кабель ещё не включал я думаю что если я включу обратно или там перезагружу компьютер и начну им пользоваться то это все появится лбратно
      Прошу вас помочь! Буду очень благодарен, не разбираюсь особо в этом, но жалко компьютер.. 
       
×
×
  • Создать...