Перейти к содержанию
Правила раздела
Летний корпоратив «Лаборатории Касперского» 2025. Как попасть?

Словил зловреда усложняет работу

Вадим666

Автор Вадим666
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Вадим666 Постоялец

Вадим666

Опубликовано
Опубликовано (изменено)

PUA:Win32/Vigua.A

PUA:Win32/Packunwan

PUATorrent:Win32/uTorrent

PUA:Win32/Softcnapp

 

Защитник MS обнаружил следующие вирусы (описанные выше) после чего KSC перестал видеть зараженный пк и пк на него зайти не может пароль и логит верные. Просьба помочь в устранении следов заражения и возобновлении коннекта  KES и KSC

Также в хосте появилась надпись #This file has been replaced with its default version by Kaspersky Lab because of possible infection

 

Изменено пользователем Вадим666
Ссылка на комментарий
Поделиться на другие сайты
Вадим666 Постоялец

Вадим666

Опубликовано
  • Автор
Опубликовано (изменено)

CollectionLog-2025.05.05-11.34 (2).zipKVRT не обнаружил нечего. 

Лог АсвологераCollectionLog-2025.05.05-11.34 (2).zip

FRST.7z

Изменено пользователем Вадим666
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Следы бывшей установки Symantec Endpoint Protection удалите соотв. инструкции - Чистка системы после некорректного удаления антивируса.

 

Вопросы:

PRO32 Connect - ставили самостоятельно? Если особой необходимости в ней нет, деинсталлируйте.

 

Программа sinister-journal вам известна? Если нет, тоже удалите.

 

После этого:

 

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 

Ссылка на комментарий
Поделиться на другие сайты
Вадим666 Постоялец

Вадим666

Опубликовано
  • Автор
Опубликовано

ок 

эта да нужна

sinister-journal эту под снос 

симантик был щас чистану ну и затем AV приложу

 

 

 

5 часов назад, Sandor сказал:

Следы бывшей установки Symantec Endpoint Protection удалите соотв. инструкции - Чистка системы после некорректного удаления антивируса.

 

Вопросы:

PRO32 Connect - ставили самостоятельно? Если особой необходимости в ней нет, деинсталлируйте.

 

Программа AV_block_remover.7z вам известна? Если нет, тоже удалите.

 

После этого:

 

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 

 

sinister-journal отказывается удалятся ссылаясь на отсутствие uninstallera

Чистку произвел от Symantec Endpoint Protection

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
8 минут назад, Вадим666 сказал:

sinister-journal отказывается удалятся ссылаясь на отсутствие uninstallera

Удалите принудительно с помощью Geek Uninstaller

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Не делайте лишнюю работу. Был запрошен только отчёт, а вы зачем-то всю папку упаковали.

 

Далее:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты
Вадим666 Постоялец

Вадим666

Опубликовано
  • Автор
Опубликовано
15 часов назад, Sandor сказал:

Не делайте лишнюю работу. Был запрошен только отчёт, а вы зачем-то всю папку упаковали.

 

Далее:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

готово

Desktop.7z

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy-Firefox: Ограничение <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
Task: C:\WINDOWS\Tasks\bVpMZCXXsLnHILcHzK.job => C:\Users\shket\AppData\Local\Temp\0BddcMAJ\AN10bRXsTj.exe <==== ВНИМАНИЕ
C:\Users\shket\AppData\Local\Temp\0BddcMAJ\AN10bRXsTj.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxySettingsPerUser] 1 <==== ВНИМАНИЕ (Ограничение - ProxySettings)
CHR HKU\S-1-5-21-364358136-3483759677-2116604310-1003\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
S3 cpuz158; \??\C:\WINDOWS\temp\cpuz158\cpuz158_x64.sys [X] <==== ВНИМАНИЕ
2025-05-05 14:44 - 2025-05-05 14:44 - 000000000 ____D C:\ProgramData\Symantec
File: C:\Users\shket\rtadmin.exe
AV: Kaspersky (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
FW: Kaspersky (Disabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
AlternateDataStreams: C:\ProgramData\TEMP:4FC01C57 [146]
AlternateDataStreams: C:\ProgramData\TEMP:55B41E6A [122]
FirewallRules: [{5F3A1E5C-AA39-48B8-8225-BFF3F7ED5620}] => (Allow) LPort=9247
FirewallRules: [{9AA8AE81-76F1-409D-BF18-892871C83041}] => (Allow) LPort=9246
FirewallRules: [{86793699-AB9A-4CB2-9E92-53792E7E56A3}] => (Allow) LPort=9245
FirewallRules: [{558CCB54-0B58-44F1-A96F-7AE709EE5ED3}] => (Allow) LPort=9422
FirewallRules: [{E2E39E04-D3F6-49F7-97E0-6F2366D85D8C}] => (Allow) LPort=8060
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Вадим666 Постоялец

Вадим666

Опубликовано
  • Автор
Опубликовано
12 минут назад, Sandor сказал:

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy-Firefox: Ограничение <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
Task: C:\WINDOWS\Tasks\bVpMZCXXsLnHILcHzK.job => C:\Users\shket\AppData\Local\Temp\0BddcMAJ\AN10bRXsTj.exe <==== ВНИМАНИЕ
C:\Users\shket\AppData\Local\Temp\0BddcMAJ\AN10bRXsTj.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxySettingsPerUser] 1 <==== ВНИМАНИЕ (Ограничение - ProxySettings)
CHR HKU\S-1-5-21-364358136-3483759677-2116604310-1003\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
S3 cpuz158; \??\C:\WINDOWS\temp\cpuz158\cpuz158_x64.sys [X] <==== ВНИМАНИЕ
2025-05-05 14:44 - 2025-05-05 14:44 - 000000000 ____D C:\ProgramData\Symantec
File: C:\Users\shket\rtadmin.exe
AV: Kaspersky (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
FW: Kaspersky (Disabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
AlternateDataStreams: C:\ProgramData\TEMP:4FC01C57 [146]
AlternateDataStreams: C:\ProgramData\TEMP:55B41E6A [122]
FirewallRules: [{5F3A1E5C-AA39-48B8-8225-BFF3F7ED5620}] => (Allow) LPort=9247
FirewallRules: [{9AA8AE81-76F1-409D-BF18-892871C83041}] => (Allow) LPort=9246
FirewallRules: [{86793699-AB9A-4CB2-9E92-53792E7E56A3}] => (Allow) LPort=9245
FirewallRules: [{558CCB54-0B58-44F1-A96F-7AE709EE5ED3}] => (Allow) LPort=9422
FirewallRules: [{E2E39E04-D3F6-49F7-97E0-6F2366D85D8C}] => (Allow) LPort=8060
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.Fixlog.txt

 

 

 

готово

12 минут назад, Sandor сказал:

Подробнее читайте в этом руководстве.

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Muk4ltin
      Зловред зашифровал файлы
      Автор Muk4ltin
      Помогите с расшифровыванием файлов или подскажите как действовать? Прикрепил файл с требованием и зашифрованный файл в архиве
      92qjfSsqC.README.txt Специалист-по-ГО.doc.rar
    • o089901
      зловред зашифровал файлы на сервере 1с
      Автор o089901
      после вынужденной перезагрузки сервера перестали работать базы 1с, как оказалось файлы на сервере зашифрованы вирусом
      FRST.txt virus.7z
      AppData.7z N-Save-XJOZE.7z
    • wastezxc
      [РЕШЕНО] Словил майнер
      Автор wastezxc
      Видимо словил майнер, некоторые приложения при запуске сразу закрываются
       
      CollectionLog-2025.04.04-17.45.zip
    • Вячеслав Л.
      Скорость работы антивируса
      Автор Вячеслав Л.
      Разве может антивирус так быстро проводить полную проверку всего устройства за 11 секунд! Ну как-то не правдоподобно.
      Устройство Redmi Note 9 Pro.

    • Dizzmilate
      Словил вирус: not-a-virus:HEUR:RiskTool.Win32.HideProc.gen
      Автор Dizzmilate
      Добрый вечер! Словил вирус на пк качал TL легаси лаунчер с офф сайта и оригинальный, было все нормально но потом вирус начал себя проявлять на клавиатуре поменялись значения цифры заменились на спец.символы и когда зажат CAPS буквы маленькие и наоборот ну и баги с мышкой я обнулил винду с удалением всех данных после этого стало только хуже клавиатура не работает и что-бы она заработала надо что-то сделать, пороль приходилось вбивать через экранную клавиатуру почистил реестр единственное что нашел это то что в Usernit был с запятой я её удалил по советам и клавиатура заработала на время до перезапуска пк, Сканировал антивирусами : Доктор веб курейт + Доктор веб приложение, MRT виндоус, Windows Defender полной проверкой, помог только Касперский тул он нашел not-a-virus:HEUR:RiskTool.Win32.HideProc.gen который был в пути C:\Recovery\WindowsRE\Winre.wim Я его удалил но вирус не ушел, на данный момент мышка работает нормально но клавиатура все так-же шалит главная проблема в том что вирус ворует данные в режиме реального времени и что я не могу : Нормально воспользоваться средой восстановления / безопасным режимом, загрузиться с флешки хотя все условия соблюдены, отформатировать диск через биос я пытался это сделать но привело к ошибке Reboot and select proper boot которая ничем не решается. Подскажите что сделать что-бы : Отформатировать диск, поставить винду с флешки, или хотябы до конца убрать вирус и его возможные последствия!
      CollectionLog-2025.05.09-20.44.zip
×
×
  • Создать...