[РЕШЕНО] стали приходить уведомления от касперского что на пк вирус, но при полной проверке показывает что ничего нету

[Dimonovic]

стали приходить уведомления от касперского что на пк вирус, но при полной проверке показывает что ничего нету

CollectionLog-2024.11.30-21.42.zip

[thyrex]

Сделайте качественный скриншот уведомлений и прикрепите к сообщению.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Dimonovic]

@thyrex

сейчас все сделаю, отчет потом сюда скинуть?

[thyrex]

Написано же по-русски

1 час назад, thyrex сказал:

прикрепите к сообщению

 

[Dimonovic]

@thyrex

Addition.txt FRST.txt

[thyrex]

1 час назад, thyrex сказал:

Сделайте качественный скриншот уведомлений и прикрепите к сообщению.

это разве не для Вас было написано?

[Dimonovic]

@thyrex скриншот каких уведомлений?

 

[thyrex]

13 часов назад, Dimonovic сказал:

стали приходить уведомления от касперского что на пк вирус

тех, о которых Вы написали в названии темы

[Dimonovic]

@thyrex 

 

Событие: Обнаружен вредоносный объект
Приложение: WMI Provider Host
Пользователь: NT AUTHORITY\СИСТЕМА
Тип пользователя: Системный пользователь
Компонент: Мониторинг активности
Описание результата: Обнаружено
Тип: Троянское приложение
Название: PDM:Exploit.Win32.Generic
Степень угрозы: Высокая
Тип объекта: Процесс
Путь к объекту: C:\Windows\System32\wbem
Имя объекта: WmiPrvSE.exe
Причина: Поведенческий анализ
Дата выпуска баз: Сегодня, 01.12.2024 8:10:00
MD5: 58BA766628C5209EC7C92747798C3079

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
File: C:\WINDOWS\System32\DRIVERS\WinSetupMon.sys
File: C:\ProgramData\Classic.{20D04FE0-3AEA-1069-A2D8-08002B30309D}\Chrom.bat
File: C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\Run.bat
File: C:\ProgramData\NUL..\StartMenuExperienceHost.exe
File: C:\ProgramData\NUL..\cmd.exe
Folder: C:\ProgramData\Classic.{20D04FE0-3AEA-1069-A2D8-08002B30309D}
Folder: C:\ProgramData\NUL..
HKU\S-1-5-21-2353360814-4093642894-4149982322-1001\...\MountPoints2: {91d296f7-e2df-11ee-8dd4-9033aa2abbc4} - "F:\[Silent]CB750_1.1.1.0.exe" 
Task: {077BA067-7C15-40F0-B22E-C9DC2A54B4A2} - System32\Tasks\Microsoft\Windows\Location\Notifications => %windir%\System32\LocationNotificationWindows.exe  (Нет файла)
Task: {F3E6E7ED-A196-4E44-8803-55FAB3AD4E29} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Нет файла)
R0 WinSetupMon; C:\WINDOWS\System32\DRIVERS\WinSetupMon.sys [169416 2024-11-06] (Microsoft Windows -> Microsoft Corporation)
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
C:\Users\Human\Desktop\старый раб.стол\Desktop\PRO100 - Ярлык.lnk
C:\Users\Human\Desktop\старый раб.стол\Desktop\Елена - Ярлык.lnk
C:\Users\Human\Desktop\старый раб.стол\Desktop\Панель запуска приложений Chrome.lnk
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [6838]
FirewallRules: [{A0A5A52F-BA56-4797-88B2-72416EBD79E1}] => (Allow) C:\Program Files\DrWeb\dwservice.exe => Нет файла
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"nur\"",Filter="__EventFilter.Name=\"nur\"::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"pers\"",Filter="__EventFilter.Name=\"pers\"::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"nut\"",Filter="__EventFilter.Name=\"nut\"::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"per\"",Filter="__EventFilter.Name=\"per\"::
WMI:subscription\__EventFilter->nur::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\__EventFilter->nut::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 180 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\__EventFilter->per::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\__EventFilter->pers::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 900 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\CommandLineEventConsumer->nur::[CommandLineTemplate => C:\ProgramData\Classic.{20D04FE0-3AEA-1069-A2D8-08002B30309D}\Chrom.bat]
WMI:subscription\CommandLineEventConsumer->nut::[CommandLineTemplate => C:\ProgramData\NUL..\StartMenuExperienceHost.exe sportjump.ru 5050 -e cmd.exe]
WMI:subscription\CommandLineEventConsumer->per::[CommandLineTemplate => C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\Run.bat]
C:\ProgramData\Classic.{20D04FE0-3AEA-1069-A2D8-08002B30309D}
C:\ProgramData\NUL..
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

[Dimonovic]

@thyrex

Fixlog.txt

[thyrex]

Проблема решена?

[Dimonovic]

@thyrexда, спасибо большое

 

@thyrexэто был баг?

 

[thyrex]

Это были как минимум следы майнера.

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

• Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[Dimonovic]

@thyrex

SecurityCheck.txt