Перейти к содержанию
Правила раздела

[РЕШЕНО] на сервере 2008 х32 сама по себе стала включатся учетка гость

KZMZ

Автор KZMZ
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

KZMZ

KZMZ

Опубликовано
  • Автор
Опубликовано

uVS так же не запускается из Safe mode ошибка не выходит и окна не запускается через админ запускал и так и так.

 

FRST про сканил

Addition.txt FRST.txt

  • Ответов 39
  • Создана
  • Последний ответ

Топ авторов темы

  • safety

    23

  • KZMZ

    17

Топ авторов темы

Популярные посты

KZMZ
KZMZ

вот сделал в безопасном очистку и потом скан Учетку папку SQL удалил я сам     FRST.txt Addition.txt Fixlog.txt

safety
safety

Есть возможность скачать скрипт из под Wipne в виде файла, тогда загрузите файл из вложения и сохраните его на диск. Далее, В главном меню uVS выбираем: Скрипты - выполнить скрипт из фа

safety
safety

По возможности, обновите данное ПО:   AnyDesk v.ad 7.0.4 Внимание! Скачать обновления   На этом лечение завершено. Возможно мы успели предотвратить  шифрование файлов. Будьте внима

Изображения в теме

safety

safety

Опубликовано
Опубликовано

Хорошо, гляну сейчас. Возможно, версия uVS 4.99 не подходит, уточню.

safety

safety

Опубликовано
Опубликовано

Скрипт не выполняли в FRST из безопасного режима, тот, что выше был выше?

Если выполняли, то нужен Fixlog.txt для проверки, как отработал скрипт.

 

Осталась нежелательная политика

IPSecPolicy: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{d872f9d3-95cd-4f01-8fed-77a9f8a2ad5b} <==== ВНИМАНИЕ (Ограничение - IP)
и руткитная запись

HKLM\SYSTEM\CurrentControlSet\Services\dump_luafv <==== ВНИМАНИЕ (Rootkit!)
"Ms30FD5E80App" => служба не может быть разблокирован. <==== ВНИМАНИЕ
U5 Ms30FD5E80App;  <==== ВНИМАНИЕ: Заблокированная служба

NETSVC: Ms30FD5E80App -> отсутствует путь к файлу.
---------------

По факту надо пролечить систему из под WinPE

safety

safety

Опубликовано
Опубликовано (изменено)

На этой странице есть ISO образы Winpe&uVS  c uVS 4.0 и 4.15, пробуйте начать со второго.

Как записать образ ISO на флэшку.

Как создать образ автозапуска из под Winpe&uVS

 

Изменено пользователем safety
KZMZ

KZMZ

Опубликовано
  • Автор
Опубликовано

Скрипт не выполняли в FRST из безопасного режима, тот, что выше был выше?   нет на обычном режиме выполнял на безопасном только сегодня про сканил только 

Если выполняли, то нужен Fixlog.txt для проверки, как отработал скрипт.

safety

safety

Опубликовано
Опубликовано
1 час назад, KZMZ сказал:

нет на обычном режиме выполнял на безопасном только сегодня про сканил только

Надо было вначале  выполнить скрипт из безопасного режима (+предоставить Fixlog.txt), потом только собрать новые логи,

чтобы проверить сможет FRST выполнить очистку руткитных записей или нет. Если не сможет, тогда переходим к варианту очистки через загрузочный диск.

safety

safety

Опубликовано
Опубликовано

по новому логу FRST:

Все хорошо, автозапуск в основном зачистили, за исключением руткитной записи

HKLM\SYSTEM\CurrentControlSet\Services\dump_luafv <==== ВНИМАНИЕ (Rootkit!)
"Ms30FD5E80App" => служба не может быть разблокирован. <==== ВНИМАНИЕ

U5 Ms30FD5E80App;  <==== ВНИМАНИЕ: Заблокированная служба

 

так что переходим к варианту с очисткой через Winpe, все ссылке выше я вам отправил в сообщении.

+

эти файлы заархивируйте с паролем virus для проверки.

загрузите на облачный диск и дайте ссылку на скачивание архива в ЛС.

Цитата

2024-10-14 00:03 - 2020-07-28 14:39 - 000002380 _____ C:\Windows\VPSTOOL.bat
2024-10-14 00:03 - 2020-07-28 12:52 - 000238080 _____ (Microsoft Corp.) C:\Windows\windowsupdate.exe
2024-10-14 00:03 - 2019-02-01 21:58 - 000301773 _____ C:\Windows\back.exe

 

safety

safety

Опубликовано
Опубликовано (изменено)
16 часов назад, safety сказал:

2024-10-14 00:03 - 2020-07-28 14:39 - 000002380 _____ C:\Windows\VPSTOOL.bat
2024-10-14 00:03 - 2020-07-28 12:52 - 000238080 _____ (Microsoft Corp.) C:\Windows\windowsupdate.exe
2024-10-14 00:03 - 2019-02-01 21:58 - 000301773 _____ C:\Windows\back.exe

https://www.virustotal.com/gui/file/e02983386ab9a22beb5f053103505f9e779abdf583baa2eb25cde42f94083329

238080 - этот файл был в автозпуске, только с другим именем

https://www.virustotal.com/gui/file/d036b55a6a557ea9ff5334c416d58f3375ee3cb73f6b0e40e89c793f47d6f506

bat файл - установщик бэкдора

Цитата

title VPS Tools V1.0 By ;)
ECHO OFF
START %windir%\windowsupdate.exe

эти три файла так же удаляем

так же проверьте содержимое этой папки

2024-10-14 00:04 - 2024-10-14 00:04 - 000000000 ____D C:\Windows\back

 

Изменено пользователем safety
KZMZ

KZMZ

Опубликовано
  • Автор
Опубликовано

вот такое сохранил на winpe 

111.txt

3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

 

на winpe тоже его нажимать или выбрать диск С:

 

NOR5-ATYRAU_2024-11-01_08-29-04_v4.15.1.7z

safety

safety

Опубликовано
Опубликовано (изменено)

образ получился, доступ к вредоносной dllполучен

C:\WINDOWS\SYSTEM32\MS30FD5E80APP.DLL

Trojan.Win32.Agentb.kkyd

https://www.virustotal.com/gui/file/937e0068356e42654c9ab76cc34cf74dfa4c17b29e9439ebaa15d587757b14b0

 

В безопасном режиме она также стартовала через службу

сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST]

HKLM\uvs_system\ControlSet001\Services\Ms30FD5E80App\Parameters\ServiceDLL

-------

скрипт очистки сейчас добавлю.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

Есть возможность скачать скрипт из под Wipne в виде файла, тогда загрузите файл из вложения и сохраните его на диск.

Далее,

В главном меню uVS выбираем:

Скрипты - выполнить скрипт из файла.

В диалоге выбрать файл скрипта, который сохранили на диск.

 

Если нет такой возможности, тогда можете просто из uVS в списке найти и удалить данный файл

C:\WINDOWS\SYSTEM32\MS30FD5E80APP.DLL со всеми ссылками на него.

 

По контекстному меню есть команда: удалить все ссылки вместе с файлом.

scr01.txt

Изменено пользователем safety
  • Like (+1) 1
safety

safety

Опубликовано
Опубликовано (изменено)

Еще один вариант решения.

Предварительно данный файл скрипта сохраните на диск C вашего сервера.

ЗАтем загружаетесь еще раз с Winpe&uVS, выбираем систему с проблемного диска.

Главное меню-Скрипты-Выполнить скрипт из файла. И в диалоге выберите сохраненный файл скрипта.

+

еще один скрипт из вложенного файла выполните  через uVS

(для зачистки оставшейся политики)

Цитата

Active IPSec Policy [Local]: SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{d872f9d3-95cd-4f01-8fed-77a9f8a2ad5b}

 

После выполнения скрипта перегрузиться в нормальный режим и сделать новые логи FRST для контроля очистки.

scr02.txt

Изменено пользователем safety
KZMZ

KZMZ

Опубликовано
  • Автор
Опубликовано

скрипт не запускается ошибку выдает 

потом в списке ювс 

Если нет такой возможности, тогда можете просто из uVS в списке найти и удалить данный файл

C:\WINDOWS\SYSTEM32\MS30FD5E80APP.DLL со всеми ссылками на него.

 

этого файла не нашел

photo_1_2024-11-01_13-43-14.jpg

photo_2_2024-11-01_13-43-14.jpg

photo_3_2024-11-01_13-43-14.jpg

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Николай212322122
      Вирус майнер realtek hd audio не удаляться до конца
      Автор Николай212322122
      Переустановили винду в сервизном центре. По приходу домой обнаружил вирус realtek hd audio, который включается по автозагрузке и не дает скачать антивирусы. Dr web cureit получилось перекинуть через месенжер и сделать проверку, он нашел большое количество угроз. Но не все смог вылечить, я скачал Kaspersky virus removal tool и он тоже нашел вирусы. Я запускал несколько раз эти утелиты и вроде бы угроз больше не обнаруживается. Но в автозагрузках я опять вижу realtek hd audio выключенным с автозагрузок , хотя после первого сканирование он был вообще удален.
       
      Сейчас Dr web cureit и Kaspersky virus removal tool ничего не находит и realtek hd audio выключен с автозагрузок и я могу вписывать антивирус в бразуер и он сразу не закрывается, так же могу зайти ProgramData. Но все равно realtek hd audio весит в автозагрузках и когда первый раз запускал Dr web cureit он написал что не все вылечил, так что есть подозрение что вирус еще на компьютере остался.
       
      Подскажите пж, что делать?
       
      Прикрепить логи от Dr web cureit не получаеться так как они больше 5 мб. Где получить логи от Kaspersky virus removal tool я не нашел. Подскажите как отправить логи
    • AndreyGrom89
      Вирус\майнер CAAServise
      Автор AndreyGrom89
      Доброго времени суток. Недавно обнаружил повышенную нагрузку на ГП. В диспетчере задач было обнаружено два процесса microsoft network realtime inspection service, один из которых и грузил карту. Поиском в инете нашел инфу о возможном майнере. Выполнил рекомендации из поста, не на данном форуме, рекомендации помогли, но увы не надолго, после некоторого времени проблема появилась вновь. Сегодня наткнулся на этот форум с похожей темой. Проверял комп Defender`ом, он проблему не находил. Обнаружил данный "файл" в исключениях, удалил оттуда. По рекомендации с соседней темы скачал FRST, сделал проверку, результаты прикрепил. Какие дальнейшие действия можно применить??
      Addition.txt FRST.txt
    • Fasolka
      Не получается удалить Trojan.Siggen31.49942
      Автор Fasolka
      Обьект: app.dll             Путь: C:\Users\lucif\AppData\Local\Temp\310HkrIkW1H0uUQZkVZi2Qlb5qF\resources\app.asar.unpacked\dist\electron\assets\app.dll
    • Владхелп
      [РЕШЕНО] Подозрение на вирус, подвисания
      Автор Владхелп
      Здравствуйте,
      Недавно переносил файлы с флешки друга, после этого начал подвисать и греться ноутбук, защитник ничего не видит
      CollectionLog-2025.12.22-22.00.zip
    • shougo04
      [РЕШЕНО] Client Helper вирус, помогите
      Автор shougo04
      Всем привет. Первый раз пишу сюда, отчаялся сильно. Уже качал Malwarebytes который на компе выявил 1 троян, несколько значений реестра от программы DriverIdentifier и что-то ещё, что я забыл. После того как я всё это удалил, вручную почистил реестр от подозрительных, старых, лишних значений, всё равно тыкаю Диспетчер задач - нагрузка ЦП (не видюхи) 40%+ и при открытии диспетчера падает соответственно до 1-3%. Так же использовал программу M1nerSearch, которая так же удалила 4 файла и 1 значение реестра по-моему, лог сохранился, если что прикреплю. 
       
      Я зашёл в Speccy и там обнаружил вкладку "планировщик задач" где увидел очень подозрительные процессы.  В планировщике задач обнаружил Client Helper(который MinerSearch как вирус определял), и Edgeupdate которые как я выяснил могут являться знаками наличия вируса. Вирусы получал крайне редко, и то очень давно, поэтому несильно шарю в них, извините.
      Я сейчас скачаю программу Revo uninstaller и попробую с помощью неё ещё что-нибудь сделать. Так же отмечу что вытаскивал кабель инета, устанавливал CCleaner, чистил комп, чистил реестр с помощью неё, потом обратно инет подключал. Так же исправлял ошибки реестра программой Wise Registry Cleaner.
       
      На всякий случай прикрепил 2 лога от MinerSearch, 1-й в котором указаны кол-во запусков 1 это тот лог, который при первом запуске мне и показал 5 проблем. 
      2 лог это лог уже второй проверки после всех вышеописанных манипуляций с ПК, он не обнаружил проблем, но как видите они остались, так что хз.
       
       
      Скрин подозрительной активности в Планировщике.
       
       
      MinerSearch_12_17_2025_7-15-07_PM.log MinerSearch_12_17_2025_8-23-48_PM.log
×
×
  • Создать...