ARKHIPOV Опубликовано 18 февраля Поделиться Опубликовано 18 февраля Добрый день! Пару дней назад компьютер после стандартного запуска вывел синий экран (BSOD). При отключении интернет соединения данная проблема исчезла. Это побудило меня приобрести ключ к Касперскому (до этого пользовался Malware, пробником, который истек и защиту в реальном времени уже не оказывал). Проверив ПК на вирусы, обнаружились Трояны (к сожалению логов и скринов не сохранил, причина дальше). Вирус сидел в exeшнике GoogleUpdate. Отключил службы, связанные с апдейтом гугла, удалил файлы связанные с ним, после полной проверки перезагрузил ПК и обнаружил надпись в Касперском: "Некоторые компоненты защиты повреждены", переустановил К (сообщение пропало и логи про удаленный вирус тоже), снова проверил на вирусы, снова перезагрузил, получил тот же результат. У меня подозрение на наличие майнера, который не удаляется стандартным путем и сидит где-то в системных файлах и службах. Прошу помочь восстановить работу служб и системы. Без интернет соединения ПК летает хорошо, при подключении работает медленней. CollectionLog-2025.02.18-11.00.zipПолучение информации... Ссылка на комментарий Поделиться на другие сайты Поделиться
safety Опубликовано 18 февраля Поделиться Опубликовано 18 февраля Добавьте дополнительно отчеты из антивируса Касперского по обнаружениям вредоносного кода и сканированию. В текстовом формате. если файл получится большим, добавить его в архив без пароля. Ссылка на комментарий Поделиться на другие сайты Поделиться
ARKHIPOV Опубликовано 18 февраля Автор Поделиться Опубликовано 18 февраля У меня к сожалению не находит больше вирус, тк он его удалил, при повторных сканированиях этого обнаружения не видит (прошу прощения, что не сохранил в самом начале обнаружения), но проблема со странным поведением сохранилась. Сейчас я на время сбора логов программой отключил брадмауэр и К, теперь они не включаются. Защита на данный момент полностью не работает. На данный момент в мониторинге К пишет ошибки "Задача остановлена", "Не удалось выполнить задачу" На все возможные задачи avp.exe Вчера я просто переустанавливал К каждый раз, когда он ломался и все логи соответственно исчезали, вирус в файле GoogleUpdate.exe я снес вместе с файлом, его больше нет на ПК и обнаружить его не удается. Проверял систему так же через KVRT и так же ничего не обнаружил (не знаю как достать из него логи, но они сохранены). Ссылка на комментарий Поделиться на другие сайты Поделиться
safety Опубликовано 18 февраля Поделиться Опубликовано 18 февраля Добавьте, дополнительно, образ автозапуска в uVS 1. Скачать архив программы можно отсюда: 2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe (для Vista, W7, W8, W10, W11 запускаем с правами администратора) 3. В стартовом окне программы - нажмите "запустить под текущим пользователем" (если текущий пользователь с правами администратора). 4. Далее, меню "Файл" / Сохранить Полный образ автозапуска. 5. дождитесь, пока процесс создания файла образа завершится. Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar. 6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ. Ссылка на комментарий Поделиться на другие сайты Поделиться
ARKHIPOV Опубликовано 18 февраля Автор Поделиться Опубликовано 18 февраля ARHIP_2025-02-18_12-23-24_v4.99.8v x64.7zПолучение информации... Ссылка на комментарий Поделиться на другие сайты Поделиться
safety Опубликовано 18 февраля Поделиться Опубликовано 18 февраля Это у вас KVRT запущен? Цитата C:\USERS\LOUD\APPDATA\LOCAL\TEMP\{3FA53026-616D-4254-B12A-D98B8FDF1076}\249DEEA9.EXE Показать а зачем его запускаете, если установлен продукт Касперского? или он поврежден? Ссылка на комментарий Поделиться на другие сайты Поделиться
ARKHIPOV Опубликовано 18 февраля Автор Поделиться Опубликовано 18 февраля (изменено) Да, он поврежден и повреждается после каждого перезапуска системы, поэтому у меня и есть подозрение на вирус, который его рушит. Я не уверен в том, работает ли он по настоящему при таких ошибках, поэтому проверяю через KVRT. Да выполняю проверку повторно через KVRT. Изменено 18 февраля пользователем ARKHIPOV Ссылка на комментарий Поделиться на другие сайты Поделиться
safety Опубликовано 18 февраля Поделиться Опубликовано 18 февраля Возможно он некорректно устанавливается изачально. Пока ничего серьезного не нашел в образе. По очистке системы: Выполните скрипт очистки в uVS Выполните в uVS скрипт из буфера обмена. ЗАпускаем start,exe от имени Администратора (если не запущен) текущий пользователь, Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер. В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена" Скрипт автоматически очистит систему и завершит работу c перезагрузкой системы. ;uVS v4.99.8v x64 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- delref %SystemDrive%\USERS\LOUD\APPDATA\LOCAL\TEMP\{3FA53026-616D-4254-B12A-D98B8FDF1076}\\249DEEA9.EXE apply regt 27 ; Bonjour exec MsiExec.exe /X{6E3610B2-430D-4EB0-81E3-2B57E8B9DE8D} /quiet deltmp delref %SystemDrive%\PROGRAM FILES\AMD\CIM\..\PERFORMANCE PROFILE CLIENT\AUEPDU.EXE delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE16\OLICENSEHEARTBEAT.EXE delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID] delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL delref %SystemRoot%\SYSWOW64\GPSVC.DLL delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\UNINSTALL\HELPER.EXE delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY TOTAL SECURITY 21.3\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref %SystemRoot%\SYSWOW64\BLANK.HTM delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref {D9872D13-7651-4471-9EEE-F0A00218BEBB}\[CLSID] delref D:\AIVOICE\UNICTOOL MAGICVOX\LAVSPLITTER.AX delref D:\AIVOICE\UNICTOOL MAGICVOX\LAVAUDIO.AX delref D:\AIVOICE\UNICTOOL MAGICVOX\LAVVIDEO.AX delref %Sys32%\LSCLIENTSERVICE.DLL delref %Sys32%\NETMGMT.DLL delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL delref %Sys32%\TASKS\GOOGLESYSTEM\GOOGLEUPDATER\GOOGLEUPDATERTASKSYSTEM134.0.6985.0{17D54F46-32A9-465C-BE66-99B66C756E3D} delref %Sys32%\TASKS\MOZILLA\FIREFOX BACKGROUND UPDATE 308046B0AF4A39CB delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\DEFAULT-BROWSER-AGENT.EXE delref %Sys32%\TASKS\MOZILLA\FIREFOX DEFAULT BROWSER AGENT 308046B0AF4A39CB delref %Sys32%\TASKS\MOZILLA\FIREFOX BACKGROUND UPDATE S-1-5-21-325898883-2547035485-1600302195-1001 308046B0AF4A39CB delref %Sys32%\BLANK.HTM delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS delref %Sys32%\DRIVERS\AMDACPKSL.SYS delref %SystemDrive%\PROGRAM FILES (X86)\CHECKPOINT\ENDPOINT SECURITY\TPCOMMON\CIPOLLA\SBACIPOLLASRVHOST.EXE delref %SystemDrive%\PROGRAM FILES (X86)\CHECKPOINT\ENDPOINT SECURITY\ENDPOINT COMMON\BIN\ISWKL.SYS delref %Sys32%\DRIVERS\MBAMCHAMELEON.SYS delref %SystemDrive%\PROGRAM FILES\ROCKSTAR GAMES\LAUNCHER\ROCKSTARSERVICE.EXE delref %Sys32%\DRIVERS\VBAUDIO_CABLE64_WIN7.SYS delref %Sys32%\DRIVERS\VDTCTOQK.SYS delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\FORMAUTOFILL@MOZILLA.ORG.XPI delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\PICTUREINPICTURE@MOZILLA.ORG.XPI delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\SCREENSHOTS@MOZILLA.ORG.XPI delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\WEBCOMPAT-REPORTER@MOZILLA.ORG.XPI delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\WEBCOMPAT@MOZILLA.ORG.XPI delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\81.0.4044.92\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\81.0.4044.92\RESOURCES\FEEDBACK\FEEDBACK delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\81.0.4044.92\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\81.0.4044.92\RESOURCES\CLOUD_PRINT\CLOUD PRINT delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\81.0.4044.92\RESOURCES\PDF\CHROME PDF VIEWER delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\81.0.4044.92\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\131.0.6778.85\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS delref %SystemDrive%\USERS\LOUD\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\20.7.0.899\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ delref %SystemDrive%\USERS\LOUD\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\20.7.0.899\RESOURCES\YANDEX\BOOK_READER\BOOKREADER delref %SystemDrive%\USERS\LOUD\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\20.7.0.899\RESOURCES\OPERA_STORE\OPERA STORE delref %SystemDrive%\USERS\LOUD\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\20.7.0.899\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION delref %SystemDrive%\USERS\LOUD\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\20.7.0.899\RESOURCES\PDF\CHROMIUM PDF VIEWER delref %SystemDrive%\USERS\LOUD\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.1.1.1138\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS delref %SystemDrive%\USERS\LOUD\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\20.7.0.899\RESOURCES\YANDEX\ALICE_VOICE_ACTIVATION\ГОЛОСОВАЯ АКТИВАЦИЯ ПОМОЩНИКА АЛИСА delref E:\HISUITEDOWNLOADER.EXE delref %SystemDrive%\PROGRAM FILES\STEINBERG\CUBASE LE AI ELEMENTS 8\CUBASE LE AI ELEMENTS 8.EXE delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\PRIVATE_BROWSING.EXE delref %SystemDrive%\PROGRAM FILES\ROCKSTAR GAMES\LAUNCHER\LAUNCHERPATCHER.EXE delref D:\BIN\PAINKILLER.EXE ;------------------------------------------------------------- restart После перезагрузки системы: Добавьте файл дата_времяlog.txt из папки откуда запускали uVS Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool. Ссылка на комментарий Поделиться на другие сайты Поделиться
ARKHIPOV Опубликовано 18 февраля Автор Поделиться Опубликовано 18 февраля (изменено) 2025-02-18_12-59-59_log.txtПолучение информации... FRST.txtПолучение информации... Addition.txtПолучение информации... Нужно ли мне восстановить работу служб, связанных с гуглом? GoogleUpdaterService134...., GoogleUpdaterInternalService134... GoogleChromeElevationService134...., gupdate, gupdatem? Если как-то поможет вирус сидел по этому пути: C:\WINDOWS\SYSTEM32\TASKS\GoogleSystem\GoogleUpdater\ К обнаружил его именно там Изменено 18 февраля пользователем ARKHIPOV Ссылка на комментарий Поделиться на другие сайты Поделиться
safety Опубликовано 18 февраля Поделиться Опубликовано 18 февраля вот эта запись подозрительна: safeboot: Minimal => Система настроена на загрузку в Безопасном Режиме. <==== ВНИМАНИЕ Проверьте в строке "запустить" через msconfig не настроена ли система на загрузку в безопасном режиме? Ссылка на комментарий Поделиться на другие сайты Поделиться
ARKHIPOV Опубликовано 18 февраля Автор Поделиться Опубликовано 18 февраля Удалось связаться с Поддержкой Касперского, решением исправления программы стала установка версии KasperskyPlus, как выяснилось старый установщик неактуален более (По крайней мере так выразился сам оператор поддержки). Установил KasperskyPlus, Перезагрузил ПК, защита не упала, все работает. Запустил полную проверку, как завершится проверка приложу сюда логи. По поводу записи: Проверил, галочка на "Безопасный режим" не стоит Ссылка на комментарий Поделиться на другие сайты Поделиться
safety Опубликовано 18 февраля Поделиться Опубликовано 18 февраля Хорошо, ждем результат проверки. Ссылка на комментарий Поделиться на другие сайты Поделиться
ARKHIPOV Опубликовано 18 февраля Автор Поделиться Опубликовано 18 февраля Результат проверки: КасперскийОтчет.rarПолучение информации... Ничего не обнаружено, кажется все спокойно теперь, но пока не понимаю возвращать ли службы гуглапдейт или с ними может вернуться вирус? Ссылка на комментарий Поделиться на другие сайты Поделиться
safety Опубликовано 19 февраля Поделиться Опубликовано 19 февраля (изменено) Заражение было скорее всего updater.exe, который размещается в папке Chrome. К работе и обновлению Chrome он не имеет отношение. Этот updater.exe может запускаться либо через службу, либо через задачу. В логах не было задачи и службы, связанных с updater.exe. Если других проблем в работе системы на ПК не осталось: завершающие шаги: Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива. Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Изменено 19 февраля пользователем safety Ссылка на комментарий Поделиться на другие сайты Поделиться
ARKHIPOV Опубликовано 19 февраля Автор Поделиться Опубликовано 19 февраля SecurityCheck.txtПолучение информации... Вот, в логах нашло ZoneAlarm Antivirus v.15.8.211.19229 и Check Point SBA v.86.6.8560, я не знаю как их снести, кажется установились когда-то сами с какой то утилитой для разгона, точно не помню. С тех пор я утилитами разгона не пользовался. Есть 1 вопрос, касаемо программы Check Point, я не помню для чего ее ставил (кажется по ошибке), но снести ее не получается совсем, некоторые файлы программы чем-то защищены. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения