Albert2025 Опубликовано 20 мая Опубликовано 20 мая (изменено) Добрый день. Подозреваю, что сегодня с флэшки случайно запустил вирус. Проверки файлов на флэшке через opentip.kaspersky.com выдает результаты HEUR:Trojan.Win64.Convagent.gen и Trojan.VBS.Starter.pl На компьютере при этом в Диспетчере задач есть какие-то неизвестные запущенные процессы. Но при этом проверка KVRT и DrWeb CureIt результатов не приносит, ничего не обнаруживается. Боюсь, что сидит какой-нибудь шифровальщик или троян, собирающий данные (пароли и т.д.). Прошу помочь разобраться, что делает этот вирус и как избавиться от него, во вложении архив с флэшки, пароль virus. Также в директории был еще файл *.dat, но он слишком большого размера, при помещении его в архив он превышает допустимый размер. P.S. Также приложил логи. rootdir1.rar CollectionLog-2025.05.20-11.45.zip Изменено 20 мая пользователем Albert2025 Не приложил сразу логи.
safety Опубликовано 20 мая Опубликовано 20 мая Файл *.dat, который большого размера можете проверить на http://virustotal.com и дать ссылку на результат проверки?
Albert2025 Опубликовано 20 мая Автор Опубликовано 20 мая https://www.virustotal.com/gui/file/4617cfd1e66aab547770f049abd937b46c4722ee33bbf97042aab77331aa6525/details
safety Опубликовано 20 мая Опубликовано 20 мая Если Касперский был установлен, должен был прибить запуск вредоносной программы. HEUR:Trojan.Win64.Convagent.gen
Albert2025 Опубликовано 20 мая Автор Опубликовано 20 мая Касперского не было установлено, только стандартный антивирус от Майкрософт (WIN10), который если и прибил запуск, то ничего не сообщил. После запуска вируса проверял KVRT и DrWeb CureIt - они сочли вирусом файлы *.bat и *.vbs из архива, но dat-файл как вирус не определяют. Также не находят сейчас каких-то вирусов при полной проверке ПК. Если я правильно понял, bat-файл должен подменять файлом x232530.dat файл printui.dll в System32 и затем перезапускать процесс printui.exe. Это все, на что хватило моих знаний в области понимания механики. А что происходит после подмены - тут уже мне неведомо. 3 часа назад, safety сказал: Если Касперский был установлен, должен был прибить запуск вредоносной программы. HEUR:Trojan.Win64.Convagent.gen Спасибо за мысль, додумался посмотреть журнал защиты стандартного WIN-антивируса. Судя по отчету, он прибил-таки вирус, хотя никаких сообщений и предупреждений не выдал.
safety Опубликовано 21 мая Опубликовано 21 мая (изменено) 16 часов назад, Albert2025 сказал: Если я правильно понял, bat-файл должен подменять файлом x232530.dat файл printui.dll в System32 и затем перезапускать процесс printui.exe. Да, все верно, получилась бы скрытная загрузка вредоносного *.dat файла, переименованного в printui.dll в легальный процесс, для обхода защиты. т.е. запустился бы легальный printui.exe, и он автоматически загрузил бы уже вредоносный printui.dll. Сделайте дополнительно логи FRST, посмотрим как отработал WinDefender, и проверим автозапуск системы. Изменено 21 мая пользователем safety
Albert2025 Опубликовано 21 мая Автор Опубликовано 21 мая 1 час назад, safety сказал: Сделайте дополнительно логи FRST, посмотрим как отработал WinDefender, и проверим автозапуск системы. Сделал. FRST.txt Addition.txt
safety Опубликовано 21 мая Опубликовано 21 мая Учетная запись ваша? х (S-1-5-21-3809224501-3520557537-2428014387-1001 - Administrator - Enabled) => C:\Users\х
safety Опубликовано 21 мая Опубликовано 21 мая По очистке системы: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Нет файла ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Нет файла ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Нет файла ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Нет файла ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Нет файла ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Нет файла ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Нет файла ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Нет файла ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Нет файла ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Нет файла ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Нет файла ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Нет файла ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Нет файла ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Нет файла ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Нет файла ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Нет файла ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Нет файла ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Нет файла ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => -> Нет файла ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Нет файла ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Нет файла ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Нет файла ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Нет файла ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Нет файла ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Нет файла ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => -> Нет файла Task: {121DB30C-BD26-4600-9A58-49B9910AF8ED} - \Microsoft\Windows\UNP\RunCampaignManager -> Нет файла <==== ВНИМАНИЕ CHR HKU\S-1-5-21-3809224501-3520557537-2428014387-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] CHR HKU\S-1-5-21-3809224501-3520557537-2428014387-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pbefkdcndngodfeigfdgiodgnmbgcfha] CHR HKU\S-1-5-21-3809224501-3520557537-2428014387-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] CHR HKU\S-1-5-21-3809224501-3520557537-2428014387-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pbefkdcndngodfeigfdgiodgnmbgcfha] CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog] CHR HKLM-x32\...\Chrome\Extension: [pbcgcpeifkdjijdjambaakmhhpkfgoec] Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение
Albert2025 Опубликовано 21 мая Автор Опубликовано 21 мая 8 часов назад, safety сказал: Учетная запись ваша? х (S-1-5-21-3809224501-3520557537-2428014387-1001 - Administrator - Enabled) => C:\Users\х Нет, другого пользователя ПК. 8 часов назад, safety сказал: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Спасибо, выполнил, файл прикладываю. Fixlog.txt
safety Опубликовано 21 мая Опубликовано 21 мая (изменено) Если других вопросов или проблем в работе системы не осталось: завершающие шаги: Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива. Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Изменено 21 мая пользователем safety
Albert2025 Опубликовано 21 мая Автор Опубликовано 21 мая 21 минуту назад, safety сказал: Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Выполнил. SecurityCheck.txt
safety Опубликовано 21 мая Опубликовано 21 мая По возможности, обновите данное ПО: WinRAR 5.50 бета 3 (64-разрядная) v.5.50.3 Внимание! Скачать обновления -------------------------- [ IMAndCollaborate ] --------------------------- Skype™ 7.40 v.7.40.103 Данная программа больше не поддерживается разработчиком. Рекомендуется использовать Microsoft Teams. 1
safety Опубликовано 21 мая Опубликовано 21 мая Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".
Рекомендуемые сообщения