Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Занес вирус по случайности/незнанию/тупости из телеграмм бота который записывает вообще все действия на устройстве и естественно его никак не удалить. Прошу помощи!

CollectionLog-2025.02.03-08.07.zip

Опубликовано

Добавьте, дополнительно, образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Опубликовано (изменено)

После регистрации на dropbox через гугл аккаунт появился белый экран и всё, вкл/выкл впн, удалил куки сайта перезашел, тоже самое.

Скачал через другой браузер

 

DESKTOP-JFE2ANS_2025-02-03_13-12-14_v4.99.8v x64.7z

Изменено пользователем FedyaSochi
Опубликовано (изменено)
51 минуту назад, FedyaSochi сказал:

После регистрации на dropbox

Там не надо регистрироваться, просто скачиваем файл по ссылке. образ сейчас гляну.

 

Добавьте дополнительно логи анализа системы при помощи Farbar Recovery Scan Tool

Изменено пользователем safety
Опубликовано

Не увидел, что можно без регистрации. 
Там ещё файл запустил сначала не тот а этот start_x64.exe и проделал всё перечисленное, потом уже запустил Start.exe 

Опубликовано
Цитата

Там ещё файл запустил сначала не тот а этот start_x64.exe и проделал всё перечисленное, потом уже запустил Start.exe

 

  Можно и так и так. start.exe сам выбирает какой модуль запустить: для x64 или для x32.

Пока по образу не определилось, какой софт шпионит у вас. Добавьте еще логи FRST.

Опубликовано

Это надо качать Farbar Recovery Scan Tool ? Просто не разбираюсь совсем в этом, только два назад узнал что такое командная строка 😬

 

Не знаю это или не это, поправьте если что

Addition.txt FRST.txt

Опубликовано

Это. там в пошаговой инструкции все просто. Скачал, запустил, ждешь пока завершится процесс. Собираешь нужные файлы логов или отчетов.

Опубликовано (изменено)

Это странные задачи:

Task: {DE944A79-1485-4AE9-87B5-FF1863D147B7} - System32\Tasks\channelsignkc_v2 => C:\Users\Пользователь\AppData\Roaming\BrowserUninstall_alpha\vmware.exe [2283736 2025-01-28] () [Файл не подписан] [Файл уже используется] <==== ВНИМАНИЕ

 

Task: {1EFDFB75-3169-4A6C-813F-399A782D5D1C} - System32\Tasks\managepatchZN => C:\Users\Пользователь\AppData\Roaming\BrowserUninstall_alpha\vmware.exe [2283736 2025-01-28] () [Файл не подписан] [Файл уже используется] <==== ВНИМАНИЕ

 

Task: C:\WINDOWS\Tasks\channelsignkc_v2.job => C:\Users\Пользователь\AppData\Roaming\BrowserUninstall_alpha\vmware.exe

----------

В uVS это так отображается:

но детекта по этому файлу нет.

Что это может быть? При том, что ПО VMware не установлено на вашем ПК. А имя используется.

Цитата

Полное имя                  C:\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\BROWSERUNINSTALL_ALPHA\VMWARE.EXE
Имя файла                   VMWARE.EXE
Тек. статус                 ПРОВЕРЕННЫЙ в автозапуске
                            
www.virustotal.com          2024-03-31 01:27 [2020-11-20]
-                           Файл был чист на момент проверки.
                            
Удовлетворяет критериям     
TASK.EXE                    (ССЫЛКА ~ .JOB)(1)   AND   (ЗНАЧЕНИЕ ~ .EXE)(1) [auto (0)]
                            
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
File_Id                     5FB4B738230000
Linker                      14.24
Размер                      2283736 байт
Создан                      28.01.2025 в 14:33:43
Изменен                     28.01.2025 в 11:29:00
                            
TimeStamp                   18.11.2020 в 05:55:04
EntryPoint                  +
OS Version                  6.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                            
                            
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                            
Доп. информация             на момент обновления списка
SHA1                        948614806B70F18BB2453A9F6F43BEC8B53F1EBD
MD5                         0ACDDB99D77B20A7DA00D59B4FD44B93
                            
Ссылки на объект            
Ссылка                      C:\WINDOWS\TASKS\CHANNELSIGNKC_V2.JOB
Значение                    C:\Users\Пользователь\AppData\Roaming\BrowserUninstall_alpha\vmware.exe
                            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\CHANNELSIGNKC_V2
                            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\MANAGEPATCHZN
Task                        \managepatchZN
                            
Ссылка                      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1EFDFB75-3169-4A6C-813F-399A782D5D1C}\Actions
Actions                     "C:\Users\Пользователь\AppData\Roaming\BrowserUninstall_alpha\vmware.exe"
Задача создана              28.01.2025 в 14:34:05
Последний запуск            02.02.2025 в 13:10:08
Код ошибки                  0x0 [Операция успешно завершена. ]
                            
Ссылка                      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{1EFDFB75-3169-4A6C-813F-399A782D5D1C}\
Task                        \channelsignkc_v2
                            
Ссылка                      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{DE944A79-1485-4AE9-87B5-FF1863D147B7}\Actions
Actions                     "C:\Users\Пользователь\AppData\Roaming\BrowserUninstall_alpha\vmware.exe"
Задача создана              28.01.2025 в 14:34:05
Последний запуск            03.02.2025 в 13:10:02
Код ошибки                  0x80070020 [Процесс не может получить доступ к файлу, так как этот файл занят другим процессом. ]
                            
Ссылка                      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{DE944A79-1485-4AE9-87B5-FF1863D147B7}\
                            

 

Изменено пользователем safety
Опубликовано

Это скорее всего оно и есть, судя по дате. Именно 28.01 в 14:34 было заражение

Опубликовано

Добавьте, пожалуйста, еще отчет по обнаружениям и сканированию из антивируса Касперского. (Осмотрим проблему со всех сторон, потом зачистим.)

Опубликовано

Просканировал. Найдено и удалено какие-то 3 объекта

kaspersky.txt

 

46 минут назад, FedyaSochi сказал:

Просканировал. Найдено и удалено какие-то 3 объекта

kaspersky.txt 313.87 kB · 0 загрузок

Но процесс по прежнему на месте естественно

Опубликовано

по чистке системы:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы.

;uVS v4.99.8v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
hide %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\DESKTOP\AUTOLOGGER\RSIT\RSITX64.EXE
;---------command-block---------
ZOO %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\BROWSERUNINSTALL_ALPHA\VMWARE.EXE
delall %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\BROWSERUNINSTALL_ALPHA\VMWARE.EXE
delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\BROWSERUNINSTALL_ALPHA
CZOO
apply
restart

После завершения работы скрипта:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Добавьте архив ZOO_дата_время*.7z

Опубликовано

Хорошо,

C:\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\BROWSERUNINSTALL_ALPHA\VMWARE.EXE будет удален после перезагрузки
--------------------------------------------------------------------------------------------------
Завершено процессов: 1 из 1
Изменено/удалено объектов автозапуска 2 из 3
Удалено файлов: 3 из 4

 

сделайте, пожалуйста, новые логи FRST для контроля очистки системы.

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Moroshka
      Автор Moroshka
      Добрый день.
      Помогите пожалуйста
      Переименовались службы:
       wuauserv_bkp
      UsoSvc_bkp
      BITS_bkp
      WaaSMedicSvc_bkp
      dosvc_bkp.
      Не работал цент обновления, была ошибка "что-то пошло не так"
      Проблема с обновлением ушла после проверки:
       
      Kaspersky Virus Removal Tool; Dr.Web CureIt!.
      Они нашли часть вирусов и снесли их, но остались дубли  служб, описанных выше, это остаточные следы вируса, или просто нарушение работы файлов реестра?   
       
       

      CollectionLog-2026.06.29-14.31.zip
    • Detanatar2
      Автор Detanatar2
      Добрый день
      на этой неделе лечили комп от вирусов
      все прошло успешно, но сегодня обнаружил, что при входе в мозилу, я вышел из всех почтовых аккаунтов
      входить не стал и стразу перегрузил комп и увидел, что система не успела создать файл  прикрепляю изображение
      так же в корне другого диска обнаружил странный текстовый файл, прикрепляю в архиве.

      Подскажите, может грохнуть диск С и поставить вин 11
      или сначала попробовать вылечить комп.

      Почему я написал в тегах Мамонт, часто качаю видео и вот один MOV просто блымнул на экране и ничего...

      topfiles.zip
    • SuperFlanker
      Автор SuperFlanker
      После входа на сайт www.medkv.ru   (по-видимому зараженный) огромное количество файлов оказалось зашифрованным.
      В корне почти всех логических зон появились пронумерованный файлы README1.txt (1,2,3,и т.д.), в которых оказался текст:
          Ваши файлы были зашифрованы.     Чтобы расшифровать их, Вам необходимо отправить код:     D578B51556B1A605148F|0     на электронный адрес files1147@gmail.com или post100023@gmail.com .     Далее вы получите все необходимые инструкции.       Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.   И аналогичный текст на английском.   Никаких действий кроме тех что указаны в методике - "Порядок оформления запроса о помощи" я не делал. Надеюсь на помощь! CollectionLog-2015.07.08-18.43.zip
    • detanatar
      Автор detanatar
      Добрый день
      обнаруживаю, что видеокарта регулярно громко молотит вентиляторами, температура поднимается до 65 градусов.
      перегружал комп все отключал, все равно температура доползает до 65 градусов и когда начинаю мониторить процессы  опускается до 40, а затем опять взлетает 55-65 гадусов.
      Думаю я поймал майнера
      Помогите с лечение компьютера
      CollectionLog-2026.06.20-20.47.zip
    • Сава
      Автор Сава
      Добрый день, возникла проблема
       
      Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 649BCB4DE5CB3267B4B0|286|2|2 на электронный адрес files1147@gmail.com или post100023@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации. (и так же на английском)    Прикрепляю лог проверки.   Заранее благодарю за помощь!   CollectionLog-2015.06.24-19.20.zip
×
×
  • Создать...