safety Опубликовано 21 января Share Опубликовано 21 января HKLM\System\CurrentControlSet\Services\Firfox => успешно удалены Firfox => служба успешно удалены Да, можно в нормальный режим перегрузиться и собрать новые логи FRST и образ автозапуска (если не будет ошибки) Ссылка на комментарий Поделиться на другие сайты More sharing options...
Dmitry Axe Опубликовано 21 января Автор Share Опубликовано 21 января Образ автозапуска в uVS? Уточняю Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 21 января Share Опубликовано 21 января 4 минуты назад, Dmitry Axe сказал: Образ автозапуска в uVS? Уточняю да, образ автозапуска в uVS Ссылка на комментарий Поделиться на другие сайты More sharing options...
Dmitry Axe Опубликовано 21 января Автор Share Опубликовано 21 января Результаты сканирования в FRST во вложении. А вот uVS не удается запустить. Попробую удалить папку и из архива по новому разархивирую. FRST.txt Addition.txt uVS так и не запускается больше. Но судя по нагрузке на ЦП системе уже стало легче. Попробовать прогнать сканирование в Касперском? Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 21 января Share Опубликовано 21 января 15 минут назад, Dmitry Axe сказал: Попробую удалить папку и из архива по новому разархивирую. да, проверьте, возможно было какое то повреждение в распакованной папке. FRST сейчас проверю. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Dmitry Axe Опубликовано 21 января Автор Share Опубликовано 21 января после разархивирования так по новому uVS так и не запустился к сожалению. Почистил отчеты Касперского и запустил экспресс сканирование. Лог скину по готовности. Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 21 января Share Опубликовано 21 января по очистке системы: небольшой скрипт очистки в FRST без перезагрузки системы. Start:: Task: {963A92CD-756C-440A-A364-BC1AC7EA3AF0} - \dialersvc64 -> Нет файла <==== ВНИМАНИЕ End:: ждем отчет о сканировании в Kaspersky на предмет детекта SEPEH Жаль, что не запускается uVS, что случилось не понятно. Может вы start.exe запускали из архива программы, а не из распакованной папки. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Dmitry Axe Опубликовано 21 января Автор Share Опубликовано 21 января uVS запускал разными способами из уже извлеченной папки - start64 от имени администратора и просто start. Результат один и то же всегда - вылетает с ошибкой (скрин кидал выше в теме). Отчет Касперского во вложении. SEPEH благодаря вам побежден, но остался троян HEUR:Trojan.Multi.Agent.gen - в журнале есть, подскажите пожалуйста как его победить? Запустить лечение через Касперского? Лог после скрипта FRST прикладываю. Отчет Касперского.txt Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 22 января Share Опубликовано 22 января (изменено) полностью отчет Касперского по обнаружениям добавьте, без купюр, чтобы были видны связи. + обратите внимание: судя по первому логу FRST были добавлены подменные службы, реальные службы были скорее всего удалены. Цитата S3 BITS_bkp; C:\Windows\System32\qmgr.dll [1388544 2024-11-01] (Microsoft Windows -> Microsoft Corporation) U2 dosvc_bkp; C:\Windows\system32\dosvc.dll [90112 2024-11-01] (Microsoft Windows -> Microsoft Corporation) S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [77824 2024-11-01] (Microsoft Windows -> Microsoft Corporation) S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [90112 2024-11-01] (Microsoft Windows -> Microsoft Corporation) S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [138232 2024-11-07] (Microsoft Windows -> Microsoft Corporation) Что следует сделать: скачайте с данной страницы https://download.bleepingcomputer.com/win-services/windows-11-23H2/ следу.ющие твики для исправления поврежденных служб: BITS dosvc UsoSvc WaaSMedicSvc wuauserv Запускаем каждый из загруженных файлов *.reg от имени Администратора, разрешаем внести изменения в реестр Перезагружаем систему, + Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива. Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Изменено 22 января пользователем safety Ссылка на комментарий Поделиться на другие сайты More sharing options...
Dmitry Axe Опубликовано 22 января Автор Share Опубликовано 22 января Добрый вечер. Загрузил и запустил reg файлы по инструкции, перезагрузил систему, просканировал SecurityCheck - отчет во вложении. После перезагрузки антивирус Касперского не нашел больше никаких угроз и троянов. Единственный вопрос остается в том, что в отчете мониторинга активности есть одно предупреждение (во вложении отчет мониторинга, прошу прощения, но как делать полный отчет не совсем понятно). Спасибо большое вам за помощь!!! Будут ли какие либо рекомендации еще по восстановлению ОС после троянов? Мониторинг активности.txt SecurityCheck.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 22 января Share Опубликовано 22 января (изменено) Хорошо, последствия после вирусной атаки можно посмотреть здесь https://www.virustotal.com/gui/file/6f9a4a0a1f837dfef070ed326a14d9629f4d94f98600c80cdda2d07778988381/behavior в основном мы их устранили. Возможно, добавлены исключения списка вредоносов в WinDef. по возможности, обновите данное ПО: Skype для бизнеса базовый 2016 v.16.0.4849.1000 Warning! This software is no longer supported. Please use Microsoft Teams. ---------------------------- [ ProxyAndVPNs ] ----------------------------- OpenVPN 2.4.8-I602-Win10 v.2.4.8-I602-Win10 Warning! Download Update ------------------------------- [ Browser ] ------------------------------- Google Chrome v.131.0.6778.266 Warning! Download Update Изменено 22 января пользователем safety Ссылка на комментарий Поделиться на другие сайты More sharing options...
Dmitry Axe Опубликовано 22 января Автор Share Опубликовано 22 января Еще раз большое спасибо. Вы вселяете веру в людей своими добрыми делами!!! 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 22 января Share Опубликовано 22 января (изменено) Спасибо за положительный отзыв. -------------- Изменено 22 января пользователем safety Ссылка на комментарий Поделиться на другие сайты More sharing options...
Dmitry Axe Опубликовано 22 января Автор Share Опубликовано 22 января После полного сканирования выявлено 2 вредоносных объекта (приложен отчет). Перенесены в карантин. Удалить данные объекты? Отчет проверки.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 23 января Share Опубликовано 23 января (изменено) Этот объект удаляем. Лаборатория Касперского добавила сигнатуру обнаружения. Сам файл не активен, так как службу, через которую он запускался - мы удалили в FRST, т.е. его в памяти нет, только "трупик" лежит на диске. (По хорошему, да, надо было его сразу убрать совсем, после выполнения скрипта с удалением службы в FRST) Цитата Сегодня, 22.01.2025 20:21:53 C:\ProgramData\Mozilla\Firfox.exe Обнаружено Обнаружен вредоносный объект Trojan.Win32.Agent.xbvfdb Базы Файл C:\ProgramData\Mozilla Firfox.exe Обнаружено Троянское приложение Высокая Точно Legion\Dmitriy Axenov Активный пользователь Этот объект так же удаляем. Он из карантина FRST, т.е. тоже безопасен. Цитата Сегодня, 22.01.2025 20:35:32 C:\FRST\Quarantine\C\Windows\System32\Tasks\dialersvc64.xBAD Обнаружено Обнаружен вредоносный объект HEUR:Trojan.Multi.Agent.gen Экспертный анализ Файл C:\FRST\Quarantine\C\Windows\System32\Tasks dialersvc64.xBAD Обнаружено Троянское приложение Высокая Точно Legion\Dmitriy Axenov Активный пользователь Сам FRST.exe можно переименовать в uninstall.exe и запустить от имени Администратора, чтобы он зачистил свои файлы, которые были созданы при исследовании. Других вредоносных объектов не найдено. Изменено 23 января пользователем safety Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения