Перейти к содержанию
Правила раздела

Вирус DownLoader. Как вывести?

Ly0pik

От Ly0pik
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Ly0pik Новичок

Ly0pik

Опубликовано
Опубликовано

Здравствуйте, давно борюсь с этой заразой, никак вывести не могу, уже не знаю что и делать.

Вирусня с именами: BAT.DownLoader.58, BAT/TrojanDownloader.Ftp.NOK, модифицированный Win32/ServStart.EQ...

Создаются с хаотичными именами всевозможные exe-ки в корне системного раздела, в папке windows и system32, в диспетчере задач висят процессы cmd  и ftp, десятками создаются новые учетные записи с хаотичными именами и правами администратора под паролем. Антивирусники убивают только эти вечно создающиеся exe-ки, которые опять снова и снова вылазят. В процессе своей жизнедеятельности в итоге ложится сеть, блокируются необходимые для работы программы (такие как SQL Server под управлением 1С), висит комп...

Переустановка винды не помогает, полное форматирование всех разделов перед этим тоже не помогает. Единственное, что раньше помогало - это снос всех разделов, заново разбиение и форматирование. Логично предположить, что эта зараза сидит в загрузочном секторе диска. Но сейчас уже даже и это не помогает. Уже 2 раза сносил разделы за последние 3 дня - а оно опять откуда-то лезет. Грешу на модем PeopleNet, т.к. такое наблюдается ТОЛЬКО на тех компьютерах, где он стоит, или стоял. Но его дрова и программы проверял чем только можно, - все чисто. ОС Windows XP SP3, стоит NOD32 с последними базами, также прогонял через Dr.Web CureIt, и через Kaspersky Virus Removal Tool 2015. Архив с логами в приложении. Заранее спасибо!

CollectionLog-2015.07.14-17.16.zip

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.

Самостоятельно ничего не удаляйте!!!

Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Подробнее читайте в руководстве
Ссылка на комментарий
Поделиться на другие сайты
Ly0pik Новичок

Ly0pik

Опубликовано
  • Автор
Опубликовано

Компьютер только один, сети нет


Вот сейчас опять насоздавались exe-ки, и лезут в автозагрузку... Что делать?


опять в процессах cmd и ftp, и еще какой-то p.exe


создалась новая учетная запись

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

B92LqRQ.png

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Ссылка на комментарий
Поделиться на другие сайты
Ly0pik Новичок

Ly0pik

Опубликовано
  • Автор
Опубликовано

Да, но он болеет всегда, даже после переустановки винды. Как правило, на второй день начнет лезть вирусня, т.е. завтра гарантировано.

Ссылка на комментарий
Поделиться на другие сайты
Ly0pik Новичок

Ly0pik

Опубликовано
  • Автор
Опубликовано

Ну вот, началось... Нод начал ловить вирусню:

 

17.07.2015 13:34:23 Защита в режиме реального времени файл C:\RECYCLER\hexget.exe модифицированный Win32/TrojanDownloader.Agent.BLT троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe.
17.07.2015 13:32:03 Защита в режиме реального времени файл C:\WINDOWS\system32\hexget.exe модифицированный Win32/TrojanDownloader.Agent.BLT троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe.
17.07.2015 13:27:19 Защита в режиме реального времени файл C:\zyget.exe BAT/TrojanDownloader.Ftp.NOK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: C:\WINDOWS\system32\cmd.exe.
17.07.2015 13:27:18 Защита в режиме реального времени файл C:\RECYCLER\zyget.exe BAT/TrojanDownloader.Ftp.NOK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: C:\WINDOWS\system32\cmd.exe.
17.07.2015 13:27:17 Защита в режиме реального времени файл C:\WINDOWS\system32\zyget.exe BAT/TrojanDownloader.Ftp.NOK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: C:\WINDOWS\system32\cmd.exe.
17.07.2015 13:27:11 Защита в режиме реального времени файл C:\shget.exe BAT/TrojanDownloader.Ftp.NOK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: C:\WINDOWS\system32\cmd.exe.
17.07.2015 13:27:08 Защита в режиме реального времени файл C:\RECYCLER\shget.exe BAT/TrojanDownloader.Ftp.NOK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: C:\WINDOWS\system32\cmd.exe.
17.07.2015 13:27:06 Защита в режиме реального времени файл C:\WINDOWS\system32\shget.exe BAT/TrojanDownloader.Ftp.NOK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: C:\WINDOWS\system32\cmd.exe.
17.07.2015 13:26:45 Защита в режиме реального времени файл C:\xpget.exe BAT/TrojanDownloader.Ftp.NOK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe.
17.07.2015 13:26:43 Защита в режиме реального времени файл C:\RECYCLER\xpget.exe BAT/TrojanDownloader.Ftp.NOK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe.
17.07.2015 13:26:38 Защита в режиме реального времени файл C:\WINDOWS\system32\xpget.exe BAT/TrojanDownloader.Ftp.NOK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe.
17.07.2015 13:26:21 Защита в режиме реального времени файл C:\WINDOWS\system32\us.dat BAT/TrojanDownloader.Ftp.NLV троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe.

Они прям сейчас дальше и дальше вылазят, иногда со скоростью несколько штук в секунду

Ссылка на комментарий
Поделиться на другие сайты
Ly0pik Новичок

Ly0pik

Опубликовано
  • Автор
Опубликовано

Стоит SQL Server 2000 с последним SP4.

Хочу обратить внимание, что весь этот конкретный набор программ один к одному стоит более, чем на 20 компьютерах, на всех магазинах розничной сети, но конкретно эта проблема возникала ТОЛЬКО на тех, которые подключены к интернету через модем PeopleNet. Но раньше, единственный способ, который я нашел избавиться от этой дряни - полностью снос всех разделов жесткого диска, и разбиение заново... После этого, даже далее используя этот же модем, такая проблема больше не повторялась. В данном же случае, не помогает ничего, проблема всегда появляется снова((((

Ссылка на комментарий
Поделиться на другие сайты
Ly0pik Новичок

Ly0pik

Опубликовано
  • Автор
Опубликовано

Да при чем тут старье? На всех других машинах, на которых не стоит PeopleNet, но стоит это "старье", то все в порядке!

Так что, никто не сможет помочь?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • San4s2034
      Вирус-майнер
      От San4s2034
      Недавно скачал Game of Thrones Genesis с torrent-game.net. Касперски указал, что сайту можно доверять и он проверен. По итогу через время заметил, что в valorant фпс стал заблоченным на 75 и поднимается вверх только если я двигаю мышкой или нажимаю что-то на клавиатуре. Очевидно, что словил майнер. Запустил быструю и полную проверку, результата не дало. Попробовал через защитник windows 11. Заметил, что прогресс доходит до ~70% и потом просто зависает. Запустился через безопасный режим, зашёл в защитник и вылезла ошибка(скриншот). Проверил реестр и групповые политики, ничего нет, все чисто. 

    • San4s2034
      Вирус-майнер
      От San4s2034
      Недавно скачал Game of Thrones Genesis с torrent-game.net. Касперски указал, что сайту можно доверять и он проверен. По итогу через время заметил, что в valorant фпс стал заблоченным на 75 и поднимается вверх только если я двигаю мышкой или нажимаю что-то на клавиатуре. Очевидно, что словил майнер. Запустил быструю и полную проверку, результата не дало. Попробовал через защитник windows 11. Заметил, что прогресс доходит до ~70% и потом просто зависает. Запустился через безопасный режим, зашёл в защитник и вылезла ошибка(скриншот). Проверил реестр и групповые политики, ничего нет, все чисто. 

    • fertune
      Вирус dialer.exe
      От fertune
      Когда открываешь диспетчер задач то сначала ЦП грузит на 100% а потом на 10% я посмотрел через dr.web cureit и увидел то что это майнер dialer.exe, смотрел в интернете как пофиксить но никакие способы не помогли(может быть я что то делал неправильно)
      можете помочь с проблемой? Еще я пробовал его фиксить удаляя его но он опять появлялся и грузил ЦП на все 100%.
       
    • Temikst
      Поймал какой-то вирус
      От Temikst
      Приветствую. Сын скачивал какую-то программу для игры, как итог словили какой-то вирус. Dr.web ничего не нашел. но обратил внимание что комп стал тупить, до этого не было так
      CollectionLog-2025.02.09-23.46.zip

       
      Даже браузер сильно тормозит. после открывание диспетчер задач сразу же лучше работает\
    • VanyeJ
      Вирус в PowerShell
      От VanyeJ
      Здравствуйте, при включении компьютера и окончательном входе в систему PowerShell пытается перекинуть на вредоносную ссылку. Касперский сразу же блокирует.

      Событие: Остановлен переход на сайт
      Пользователь: WIN-O4R3Q0UCBR5\User
      Тип пользователя: Инициатор
      Имя приложения: powershell.exe
      Путь к приложению: C:\Windows\System32\WindowsPowerShell\v1.0
      Компонент: Интернет-защита
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: 
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: 1731762779-9803.jpeg
      Путь к объекту: 
      Причина: Облачная защита

      Активировал Windows через cmd после этого появилось (powershell iex (irm 'activated.run/key')) команда после которой вирус появился.
      CollectionLog-2025.02.08-15.48.zip
×
×
  • Создать...