Перейти к содержанию
Правила раздела
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

[РЕШЕНО] Поймали вирусы, переименовались службы

Dmitriy_23

Автор Dmitriy_23
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)
Цитата

Я правильно понимаю, что это майнер?

Возможно, Powershell пытался загрузить вредоносное ПО

 

Сделайте контрольную проверку в KVRT, напишите по результату есть ли обнаружения вредоносов или нет.

 

По возможности обновите указанное ПО:

 

Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^

COMODO Internet Security v.12.2.2.8012 Внимание! Скачать обновления

Ghostscript GPL 10.01.2 (Msi Setup) v.10.01.2 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Oracle VM VirtualBox 7.0.20 v.7.0.20 Внимание! Скачать обновления
Microsoft SQL Server 2012 Native Client  v.11.4.7515.2 Данная программа больше не поддерживается разработчиком.

Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.32.31326 v.14.32.31326.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.32.31326 v.14.32.31326.0 Внимание! Скачать обновления

Adobe Acrobat v.23.006.20380 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^

Google Chrome v.131.0.6778.265 Внимание! Скачать обновления

Reg Organizer v.9.61 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Dmitriy_23 Новичок

Dmitriy_23

Опубликовано
  • Автор
Опубликовано
19 минут назад, safety сказал:

Сделайте контрольную проверку в KVRT, напишите по результату есть ли обнаружения вредоносов или нет.

Остался Trojan.Multi.BroSubsc.gen System Memory Троянская программа.

report_2025.01.23_14.28.40.klr.enc1.7z

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

А если выбрать Лечить? и еще раз проверить?

 

Цитата

Вердикт Trojan.Multi.BroSubsc.gen выдается при проверке объектов автозапуска в случае, если в настройках браузеров (сейчас поддерживаются Сhrome, Yandex, Opera, Vivaldi, в будущем список будет расширен) прописаны детектирующиеся URL, которые выдают эти рекламные нотификации. При лечении статус таких URL меняется с «Разрешить» на «Заблокировать».
Указанная сигнатура была добавлена 13.02.2019 г.

https://habr.com/ru/articles/442026/

 

Браузер какой у вас был запущен при проверке KVRT?

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

пробуйте выполнить такой скрипт в uVS без перезагрузки системы

  

;uVS v4.99.6v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPBCGCPEIFKDJIJDJAMBAAKMHHPKFGOEC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://DROPMEFILES.COM:443,*
apply
QUIT

 

Ссылка на комментарий
Поделиться на другие сайты
Dmitriy_23 Новичок

Dmitriy_23

Опубликовано
  • Автор
Опубликовано
53 минуты назад, safety сказал:

А если выбрать Лечить? и еще раз проверить?

Данный вариант смогу проверить только вечером, т.к. нужна перезагрузка сервера, а сервер используется в роли терминального сервера и сейчас работают пользователи. 

 

55 минут назад, safety сказал:

Браузер какой у вас был запущен при проверке KVRT?

Goggle Chrome и скорее всего Yandex. Говорю "скорее всего", т.к. еще работают пользователи в терминале.

48 минут назад, safety сказал:

пробуйте выполнить такой скрипт в uVS без перезагрузки системы

Выполнено, лог в вложении.

2025-01-23_15-06-30_log.txt

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Возможно, эта запись была помечена для удаления при лечении в KVRT

delref HTTPS://DROPMEFILES.COM:443,*

Вообщем, надо будет смотреть состояние после перезагрузки системы.

Я по этой причине все скрипты стараюсь писать без перезагрузки, так как это сервер.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Dmitriy_23 Новичок

Dmitriy_23

Опубликовано
  • Автор
Опубликовано
5 часов назад, safety сказал:

Вообщем, надо будет смотреть состояние после перезагрузки системы.

Я по этой причине все скрипты стараюсь писать без перезагрузки, так как это сервер.

Перезагрузили сервер, провели еще раз проверку KVRT, система чистая. Спасибо вам большое!

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Evgen001
      Поймал вирусы, переименовались службы
      Автор Evgen001
      Здравствуйте! С месяц назад качал ворд и поймал вирусы, через касперского вроде как удалил все, сегодня решил обновить виндовс, зашел, а службы все переименованы. UsoSvc_bkp, wuauserv_bkp стали вот в таком формате. Прикрепляю логи
      CollectionLog-2025.01.08-01.01.zip
    • Константин174
      Поймали вирус
      Автор Константин174
      Всем Привет проблема поймали вирус [nullhexxx@gmail.com].EAE6F491 есть варианты как избавиться ??????
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • WhyI
      Поймал вирус HOSTS:SUSPICIOUS.URL
      Автор WhyI
      Что случилось?микрофризы на 1-2 секунды каждые 20-30
      при проверке с помощью Dr Web выдает угрозу:
      HOSTS:SUSPICIOUS.URL и не может ее вылечить(3 попытки)
      проверил через process hacker 2: при открытии диспетчера задач самозавершаются  3 процесса level и 2 других (не уследил) 
      CollectionLog-2025.03.05-15.08.zip
      Дополню по поводу других процессов: addlnprocess и conhost
    • Temikst
      Поймал какой-то вирус
      Автор Temikst
      Приветствую. Сын скачивал какую-то программу для игры, как итог словили какой-то вирус. Dr.web ничего не нашел. но обратил внимание что комп стал тупить, до этого не было так
      CollectionLog-2025.02.09-23.46.zip

       
      Даже браузер сильно тормозит. после открывание диспетчер задач сразу же лучше работает\
    • xSmashQQQ
      [РЕШЕНО] Поймал вирусы, переименовались службы.
      Автор xSmashQQQ
      Добрый день. Прошу помощи, переименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. wuauserv_bkp уже исправил с помощью 1 сайта, позже обнаружил UsoSvc_bkp. Я все проверил вчера на вирусы, а сейчас нашел вот это. Я начал исправлять ошибку с обновление виндовс в параметрах по видеороликам и вот наткнулся что у меня файлы переименованы в _bkp. Решил обратиться к вам за помощью.
×
×
  • Создать...