Перейти к содержанию
Правила раздела

[РЕШЕНО] Поймали вирусы, переименовались службы

Dmitriy_23

От Dmitriy_23
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)
Цитата

Я правильно понимаю, что это майнер?

Возможно, Powershell пытался загрузить вредоносное ПО

 

Сделайте контрольную проверку в KVRT, напишите по результату есть ли обнаружения вредоносов или нет.

 

По возможности обновите указанное ПО:

 

Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^

COMODO Internet Security v.12.2.2.8012 Внимание! Скачать обновления

Ghostscript GPL 10.01.2 (Msi Setup) v.10.01.2 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Oracle VM VirtualBox 7.0.20 v.7.0.20 Внимание! Скачать обновления
Microsoft SQL Server 2012 Native Client  v.11.4.7515.2 Данная программа больше не поддерживается разработчиком.

Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.32.31326 v.14.32.31326.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.32.31326 v.14.32.31326.0 Внимание! Скачать обновления

Adobe Acrobat v.23.006.20380 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^

Google Chrome v.131.0.6778.265 Внимание! Скачать обновления

Reg Organizer v.9.61 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Dmitriy_23 Новичок

Dmitriy_23

Опубликовано
  • Автор
Опубликовано
19 минут назад, safety сказал:

Сделайте контрольную проверку в KVRT, напишите по результату есть ли обнаружения вредоносов или нет.

Остался Trojan.Multi.BroSubsc.gen System Memory Троянская программа.

report_2025.01.23_14.28.40.klr.enc1.7z

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

А если выбрать Лечить? и еще раз проверить?

 

Цитата

Вердикт Trojan.Multi.BroSubsc.gen выдается при проверке объектов автозапуска в случае, если в настройках браузеров (сейчас поддерживаются Сhrome, Yandex, Opera, Vivaldi, в будущем список будет расширен) прописаны детектирующиеся URL, которые выдают эти рекламные нотификации. При лечении статус таких URL меняется с «Разрешить» на «Заблокировать».
Указанная сигнатура была добавлена 13.02.2019 г.

https://habr.com/ru/articles/442026/

 

Браузер какой у вас был запущен при проверке KVRT?

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

пробуйте выполнить такой скрипт в uVS без перезагрузки системы

  

;uVS v4.99.6v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPBCGCPEIFKDJIJDJAMBAAKMHHPKFGOEC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://DROPMEFILES.COM:443,*
apply
QUIT

 

Ссылка на комментарий
Поделиться на другие сайты
Dmitriy_23 Новичок

Dmitriy_23

Опубликовано
  • Автор
Опубликовано
53 минуты назад, safety сказал:

А если выбрать Лечить? и еще раз проверить?

Данный вариант смогу проверить только вечером, т.к. нужна перезагрузка сервера, а сервер используется в роли терминального сервера и сейчас работают пользователи. 

 

55 минут назад, safety сказал:

Браузер какой у вас был запущен при проверке KVRT?

Goggle Chrome и скорее всего Yandex. Говорю "скорее всего", т.к. еще работают пользователи в терминале.

48 минут назад, safety сказал:

пробуйте выполнить такой скрипт в uVS без перезагрузки системы

Выполнено, лог в вложении.

2025-01-23_15-06-30_log.txt

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Возможно, эта запись была помечена для удаления при лечении в KVRT

delref HTTPS://DROPMEFILES.COM:443,*

Вообщем, надо будет смотреть состояние после перезагрузки системы.

Я по этой причине все скрипты стараюсь писать без перезагрузки, так как это сервер.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Dmitriy_23 Новичок

Dmitriy_23

Опубликовано
  • Автор
Опубликовано
5 часов назад, safety сказал:

Вообщем, надо будет смотреть состояние после перезагрузки системы.

Я по этой причине все скрипты стараюсь писать без перезагрузки, так как это сервер.

Перезагрузили сервер, провели еще раз проверку KVRT, система чистая. Спасибо вам большое!

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Перейти к списку тем

  • Похожий контент

    • Evgen001
      Поймал вирусы, переименовались службы
      От Evgen001
      Здравствуйте! С месяц назад качал ворд и поймал вирусы, через касперского вроде как удалил все, сегодня решил обновить виндовс, зашел, а службы все переименованы. UsoSvc_bkp, wuauserv_bkp стали вот в таком формате. Прикрепляю логи
      CollectionLog-2025.01.08-01.01.zip
    • xSmashQQQ
      [РЕШЕНО] Поймал вирусы, переименовались службы.
      От xSmashQQQ
      Добрый день. Прошу помощи, переименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. wuauserv_bkp уже исправил с помощью 1 сайта, позже обнаружил UsoSvc_bkp. Я все проверил вчера на вирусы, а сейчас нашел вот это. Я начал исправлять ошибку с обновление виндовс в параметрах по видеороликам и вот наткнулся что у меня файлы переименованы в _bkp. Решил обратиться к вам за помощью.
    • Temikst
      Поймал какой-то вирус
      От Temikst
      Приветствую. Сын скачивал какую-то программу для игры, как итог словили какой-то вирус. Dr.web ничего не нашел. но обратил внимание что комп стал тупить, до этого не было так
      CollectionLog-2025.02.09-23.46.zip

       
      Даже браузер сильно тормозит. после открывание диспетчер задач сразу же лучше работает\
    • Friend
      [РЕШЕНО] Повреждены некоторые системные службы и вирусы.
      От Friend
      Добрый вечер,
      Повреждены некоторые системные службы (по логам должно быть видно) - обновления, bits и еще одна служба, было бы отлично, если их получится восстановить, также проверить на вирусы.
      CollectionLog-2025.01.16-17.04.zipsfcdoc.logCBS.LOG
    • skyinfire
      Куча файлов, даже фильмов, переименована в *.Bpant
      От skyinfire
      Здравствуйте.
      Столкнулись с тем же шифровальщиком - куча файлов, даже фильмов, переименована в *.Bpant.
      Сканирование Касперским (одноразовым) ничего не находит.
      Порт RDP нестандартный (хотя что мешает сканеру найти этот порт - просто на все стучаться, пока RDP не ответит?)
      А вот пароль непростой, 20 символов, хоть и словами с регистрами.
      Другие компы в сети не заражены, хотя на текущем есть общая папка без пароля.
      В первую очередь хочется понять, как произошло заражение, возможен ли взлом (использование уязвимостей Win Server 2019, давно не обновляли?), чтобы предотвратить такое в будущем.
      Во вторую - почему Касперский ничего не находит? Как понять, где источник заражения?
      Bpant_Help.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...