Перейти к содержанию
Правила раздела

[РЕШЕНО] Поймали вирусы, переименовались службы

Dmitriy_23

Автор Dmitriy_23
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

safety

safety

Опубликовано
Опубликовано (изменено)
Цитата

Я правильно понимаю, что это майнер?

Возможно, Powershell пытался загрузить вредоносное ПО

 

Сделайте контрольную проверку в KVRT, напишите по результату есть ли обнаружения вредоносов или нет.

 

По возможности обновите указанное ПО:

 

Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^

COMODO Internet Security v.12.2.2.8012 Внимание! Скачать обновления

Ghostscript GPL 10.01.2 (Msi Setup) v.10.01.2 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Oracle VM VirtualBox 7.0.20 v.7.0.20 Внимание! Скачать обновления
Microsoft SQL Server 2012 Native Client  v.11.4.7515.2 Данная программа больше не поддерживается разработчиком.

Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.32.31326 v.14.32.31326.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.32.31326 v.14.32.31326.0 Внимание! Скачать обновления

Adobe Acrobat v.23.006.20380 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^

Google Chrome v.131.0.6778.265 Внимание! Скачать обновления

Reg Organizer v.9.61 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция

Изменено пользователем safety
Dmitriy_23

Dmitriy_23

Опубликовано
  • Автор
Опубликовано
19 минут назад, safety сказал:

Сделайте контрольную проверку в KVRT, напишите по результату есть ли обнаружения вредоносов или нет.

Остался Trojan.Multi.BroSubsc.gen System Memory Троянская программа.

report_2025.01.23_14.28.40.klr.enc1.7z

safety

safety

Опубликовано
Опубликовано (изменено)

А если выбрать Лечить? и еще раз проверить?

 

Цитата

Вердикт Trojan.Multi.BroSubsc.gen выдается при проверке объектов автозапуска в случае, если в настройках браузеров (сейчас поддерживаются Сhrome, Yandex, Opera, Vivaldi, в будущем список будет расширен) прописаны детектирующиеся URL, которые выдают эти рекламные нотификации. При лечении статус таких URL меняется с «Разрешить» на «Заблокировать».
Указанная сигнатура была добавлена 13.02.2019 г.

https://habr.com/ru/articles/442026/

 

Браузер какой у вас был запущен при проверке KVRT?

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

пробуйте выполнить такой скрипт в uVS без перезагрузки системы

  

;uVS v4.99.6v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPBCGCPEIFKDJIJDJAMBAAKMHHPKFGOEC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://DROPMEFILES.COM:443,*
apply
QUIT

 

Dmitriy_23

Dmitriy_23

Опубликовано
  • Автор
Опубликовано
53 минуты назад, safety сказал:

А если выбрать Лечить? и еще раз проверить?

Данный вариант смогу проверить только вечером, т.к. нужна перезагрузка сервера, а сервер используется в роли терминального сервера и сейчас работают пользователи. 

 

55 минут назад, safety сказал:

Браузер какой у вас был запущен при проверке KVRT?

Goggle Chrome и скорее всего Yandex. Говорю "скорее всего", т.к. еще работают пользователи в терминале.

48 минут назад, safety сказал:

пробуйте выполнить такой скрипт в uVS без перезагрузки системы

Выполнено, лог в вложении.

2025-01-23_15-06-30_log.txt

safety

safety

Опубликовано
Опубликовано (изменено)

Возможно, эта запись была помечена для удаления при лечении в KVRT

delref HTTPS://DROPMEFILES.COM:443,*

Вообщем, надо будет смотреть состояние после перезагрузки системы.

Я по этой причине все скрипты стараюсь писать без перезагрузки, так как это сервер.

Изменено пользователем safety
Dmitriy_23

Dmitriy_23

Опубликовано
  • Автор
Опубликовано
5 часов назад, safety сказал:

Вообщем, надо будет смотреть состояние после перезагрузки системы.

Я по этой причине все скрипты стараюсь писать без перезагрузки, так как это сервер.

Перезагрузили сервер, провели еще раз проверку KVRT, система чистая. Спасибо вам большое!

safety

safety

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • xSmashQQQ
      [РЕШЕНО] Поймал вирусы, переименовались службы.
      Автор xSmashQQQ
      Добрый день. Прошу помощи, переименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. wuauserv_bkp уже исправил с помощью 1 сайта, позже обнаружил UsoSvc_bkp. Я все проверил вчера на вирусы, а сейчас нашел вот это. Я начал исправлять ошибку с обновление виндовс в параметрах по видеороликам и вот наткнулся что у меня файлы переименованы в _bkp. Решил обратиться к вам за помощью.
    • vasili_rb
      [РЕШЕНО] Поймал вируса, переименовались службы
      Автор vasili_rb
      Добрый день.
      Прошу помощи.
      Споймал на сервере вирусы.
      Переименовались службы:
       wuauserv_bkp
      UsoSvc_bkp
      BITS_bkp
      WaaSMedicSvc_bkp
      dosvc_bkp.
      Проверил kaspersky office small security.
      Заранее спасибо!
      computerservice.txt computerservice1.txt
    • Evgen001
      Поймал вирусы, переименовались службы
      Автор Evgen001
      Здравствуйте! С месяц назад качал ворд и поймал вирусы, через касперского вроде как удалил все, сегодня решил обновить виндовс, зашел, а службы все переименованы. UsoSvc_bkp, wuauserv_bkp стали вот в таком формате. Прикрепляю логи
      CollectionLog-2025.01.08-01.01.zip
    • ruina
      [РЕШЕНО] Поймал вирусы, переименовались службы _bkp
      Автор ruina
      Добрый день. Прошу помощи, перCollectionLog-2025.05.22-12.57.zipеименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp
    • XromoV1K
      [РЕШЕНО] Переименовались файлы в службах.
      Автор XromoV1K
      Добрый день. Прошу помощи, переименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. Некоторые удалить получилось, остальные не поддаются
      CollectionLog-2025.07.19-22.17.zipAddition.txt 
      FRST.txt
       
      в центре обновления windows пишет: что-то пошло не так.
      устранение неполадок не грузит постоянно пишет: проверка наличие отложенного перезапуска и так бесконечно 
×
×
  • Создать...