Перейти к содержанию
Правила раздела
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

[РЕШЕНО] Поймали вирусы, переименовались службы

Dmitriy_23

Автор Dmitriy_23
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)
  Цитата

Я правильно понимаю, что это майнер?

Показать  

Возможно, Powershell пытался загрузить вредоносное ПО

 

Сделайте контрольную проверку в KVRT, напишите по результату есть ли обнаружения вредоносов или нет.

 

По возможности обновите указанное ПО:

 

Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^

COMODO Internet Security v.12.2.2.8012 Внимание! Скачать обновления

Ghostscript GPL 10.01.2 (Msi Setup) v.10.01.2 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Oracle VM VirtualBox 7.0.20 v.7.0.20 Внимание! Скачать обновления
Microsoft SQL Server 2012 Native Client  v.11.4.7515.2 Данная программа больше не поддерживается разработчиком.

Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.32.31326 v.14.32.31326.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.32.31326 v.14.32.31326.0 Внимание! Скачать обновления

Adobe Acrobat v.23.006.20380 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^

Google Chrome v.131.0.6778.265 Внимание! Скачать обновления

Reg Organizer v.9.61 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Dmitriy_23 Новичок

Dmitriy_23

Опубликовано
  • Автор
Опубликовано
  В 23.01.2025 в 11:15, safety сказал:

Сделайте контрольную проверку в KVRT, напишите по результату есть ли обнаружения вредоносов или нет.

Показать  

Остался Trojan.Multi.BroSubsc.gen System Memory Троянская программа.

report_2025.01.23_14.28.40.klr.enc1.7zПолучение информации...

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

А если выбрать Лечить? и еще раз проверить?

 

  Цитата

Вердикт Trojan.Multi.BroSubsc.gen выдается при проверке объектов автозапуска в случае, если в настройках браузеров (сейчас поддерживаются Сhrome, Yandex, Opera, Vivaldi, в будущем список будет расширен) прописаны детектирующиеся URL, которые выдают эти рекламные нотификации. При лечении статус таких URL меняется с «Разрешить» на «Заблокировать».
Указанная сигнатура была добавлена 13.02.2019 г.

Показать  

https://habr.com/ru/articles/442026/

 

Браузер какой у вас был запущен при проверке KVRT?

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

пробуйте выполнить такой скрипт в uVS без перезагрузки системы

  

;uVS v4.99.6v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPBCGCPEIFKDJIJDJAMBAAKMHHPKFGOEC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://DROPMEFILES.COM:443,*
apply
QUIT

 

Ссылка на комментарий
Поделиться на другие сайты
Dmitriy_23 Новичок

Dmitriy_23

Опубликовано
  • Автор
Опубликовано
  В 23.01.2025 в 11:44, safety сказал:

А если выбрать Лечить? и еще раз проверить?

Показать  

Данный вариант смогу проверить только вечером, т.к. нужна перезагрузка сервера, а сервер используется в роли терминального сервера и сейчас работают пользователи. 

 

  В 23.01.2025 в 11:44, safety сказал:

Браузер какой у вас был запущен при проверке KVRT?

Показать  

Goggle Chrome и скорее всего Yandex. Говорю "скорее всего", т.к. еще работают пользователи в терминале.

  В 23.01.2025 в 11:53, safety сказал:

пробуйте выполнить такой скрипт в uVS без перезагрузки системы

Показать  

Выполнено, лог в вложении.

2025-01-23_15-06-30_log.txtПолучение информации...

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Возможно, эта запись была помечена для удаления при лечении в KVRT

delref HTTPS://DROPMEFILES.COM:443,*

Вообщем, надо будет смотреть состояние после перезагрузки системы.

Я по этой причине все скрипты стараюсь писать без перезагрузки, так как это сервер.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Dmitriy_23 Новичок

Dmitriy_23

Опубликовано
  • Автор
Опубликовано
  В 23.01.2025 в 13:06, safety сказал:

Вообщем, надо будет смотреть состояние после перезагрузки системы.

Я по этой причине все скрипты стараюсь писать без перезагрузки, так как это сервер.

Показать  

Перезагрузили сервер, провели еще раз проверку KVRT, система чистая. Спасибо вам большое!

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Evgen001
      Поймал вирусы, переименовались службы
      Автор Evgen001
      Здравствуйте! С месяц назад качал ворд и поймал вирусы, через касперского вроде как удалил все, сегодня решил обновить виндовс, зашел, а службы все переименованы. UsoSvc_bkp, wuauserv_bkp стали вот в таком формате. Прикрепляю логи
      CollectionLog-2025.01.08-01.01.zip
    • Константин174
      Поймали вирус
      Автор Константин174
      Всем Привет проблема поймали вирус [nullhexxx@gmail.com].EAE6F491 есть варианты как избавиться ??????
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • ВасилийВ
      [РЕШЕНО] Вирус
      Автор ВасилийВ
      Касперский не видит вирусов,встроенный антивирус нашел больше 10 троянов но не смог с ними справитьсяCollectionLog-2025.03.25-22.30.zip
    • KitNE
      [РЕШЕНО] Касперский поймал MEM:Trojan.Win32.SEPEH.gen
      Автор KitNE
      Всем привет,  Касперский нашёл  MEM:Trojan.Win32.SEPEH.gen. Базовое лечение анвирусом не помогает. Попробовал способы с ранних тем форума, результата нет, антивирус снова его находит.
      report1.log report2.log
    • xSmashQQQ
      [РЕШЕНО] Поймал вирусы, переименовались службы.
      Автор xSmashQQQ
      Добрый день. Прошу помощи, переименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. wuauserv_bkp уже исправил с помощью 1 сайта, позже обнаружил UsoSvc_bkp. Я все проверил вчера на вирусы, а сейчас нашел вот это. Я начал исправлять ошибку с обновление виндовс в параметрах по видеороликам и вот наткнулся что у меня файлы переименованы в _bkp. Решил обратиться к вам за помощью.
×
×
  • Создать...