Перейти к содержанию
Правила раздела

помощь с востановлением после удаления Trojan, BackDoor

rissp

Автор rissp
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

rissp

rissp

Опубликовано
Опубликовано

Добрый день

На компьютере ребенка появился троян. Злоумышленник каким-то образом получил доступ к фото в telegram (был установлен клиет на ПК) и получилось отправить сообщение в дискорд.

Windows defender обнаружил и удалил следующие угрозы
 

Спойлер

Trojan:MSIL/UmbralStealer.DG!MTB

startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Hohob.scr
file: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\C9HUc.scr
 
Trojan:MSIL/UmbralStealer.DG!MTB
file: C:\Users\Danila\AppData\Local\Temp\AweZip\Temp2\AweZip3\Nurik.exe
 
Backdoor:Win32/Bladabindi!ml
file: C:\Users\Danila\Downloads\Nursultan_1.16.5 balyyn (1).zip
 
 
Trojan:Win32/Wacatac.H!ml
file: C:\$Recycle.Bin\S-1-5-21-1464796632-3411966113-1159360685-1001\$RQ4GTR7.exe
file: C:\Users\Danila\AppData\Local\Temp\0db748c5-d6a9-4942-8e71-c52cb10497c8_setup_vUMzJoA0cx.zip.7c8\setup_vUMzJoA0cx.exe
file: C:\Users\Danila\AppData\Local\Temp\2fb2d1db-78db-4e25-a702-60305ebbbea6_setup_vUMzJoA0cx.zip.ea6\setup_vUMzJoA0cx.exe
 
Trojan:Win32/Formbook!ml
file: C:\Users\Danila\AppData\Local\CDR-Studio 7.2 build 171219\cdrstudio72.exe

 

 

Я выполнил проверку Kaspersky Virus Removal Tool и собрал логи.

В hosts было добалено много строк вида 0.0.0.0 $сайт_антивируса
Был влючен анонимный доступ к рабочему столу, добавлены автозапуски, отключено обновление.

Вопрос, как понять, что было изменено и есть ли шанс откатить изменения или проще переустановить систему.

И как убедиться что сейчас система чистая?

заранее спасибо за помощь

 

 

CollectionLog-2025.03.01-15.40.zip

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Aleks13
      Помощь в локализации backdoor w2022
      Автор Aleks13
      Здравствуйте уважаемые
      Есть терминальный сервер на win2022, установлен Касперский  security for win sever 11.01.897/
      В фаерволе были закрыты службы внешнего управления (реестра, шар), пароли сложные на RDP, защита от перебора rdpguard
      однако злоумышленник смог проникнуть в систему, создал административную учётку systemsys и установил ПО diskcrypt для шифровки дисков. Бэкап есть, но хотелось бы понять, как и закрыть дыру. 
      Сработки Касперского не было. В логах только это:
      23.09.2023 16:46 Сервер администрирования остановлен. Сервер администрирования остановлен. Сервер администрирования Kaspersky Security Center 23.09.2023 16:46 Прокси-сервер KSN остановлен. Прокси-сервер KSN остановлен. Агент администрирования Kaspersky Security Center 23.09.2023 16:46 Установлена программа. Программа DiskCryptor 1.1 версии 1.1 установлена. Агент администрирования Kaspersky Security Center  
      23.09.2023 17:13    Устройство удалено.    Устройство 'Microsoft Remote Display Adapter' удалено.    Агент администрирования Kaspersky Security Center    14.2.0.26967
      23.09.2023 17:13    Устройство удалено.    Устройство 'Generic Non-PnP Monitor' удалено.    Агент администрирования Kaspersky Security Center    14.2.0.26967
       
      прошу подсказать
       
      CollectionLog-2023.09.25-12.21.zip
    • Вадим_АнтиВирус
      Помощь в удаленнии вируса
      Автор Вадим_АнтиВирус
      Здравствуйте.
      Вчера я скачал программу, под названием FataHook.exe
      Я ее запустил, вроде все замечательно работало. Потом в неожиданный момент пишу в браузере Microsoft Edge: Что делать, если вирус на компьютере?
      Проходит секунд 5-6 и вирус сразу закрывает браузер.
      Папка hosts отсутствует из за ее блокировки вирусом.
      Не могу запустить ни один антивирус под любым названием (даже с измененным).
      Если перейду в параметры, то там вообще отсутствует кнопка безопасности Windows.
      Если в поиске написать: Защита от вирусов и угроз, то выдает ошибку: Вам понадобится новое приложение, чтобы открыть эту ссылку windowsdefender.
       
      Помогите пожалуйста удалить данный вирус!!!
    • vorosshilov_k
      NET:MALWARE.URL помощь в удалении
      Автор vorosshilov_k
      Здравствуйте! Процессор ноутбука начал хорошенько греться даже в идле на батарее и на зарядке. Решил проверить кьюритом и увидел NET:MALWARE.URL winnet.exe. Понял, что лучше оставить заявку на форуме, чем заниматься самодеятельностью. Все файлы прилагаю. Заранее спасибо!

      CollectionLog-2025.04.11-14.05.zip
    • ДмитрийАП
      Помощь с удалением CHROMIUM:PAGE.MALWARE.URL
      Автор ДмитрийАП
      Здравствуйте. CureIt! находит, удалить не может.
      CollectionLog-2024.01.11-21.42.zip AdwCleaner[S08].txt FRST.txt Addition.txt
    • Folclor
      Помощь в удалении вирусов
      Автор Folclor
      Добрый день, обнаружил у себя на пк вирус net:malware.url который сильно нагружает процессор, выполнил сканирование и попробовал его удалить, что не принесло результатов, прошу помощи у знатоков в решении данного вопроса. 

×
×
  • Создать...