Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте, давно борюсь с этой заразой, никак вывести не могу, уже не знаю что и делать.

Вирусня с именами: BAT.DownLoader.58, BAT/TrojanDownloader.Ftp.NOK, модифицированный Win32/ServStart.EQ...

Создаются с хаотичными именами всевозможные exe-ки в корне системного раздела, в папке windows и system32, в диспетчере задач висят процессы cmd  и ftp, десятками создаются новые учетные записи с хаотичными именами и правами администратора под паролем. Антивирусники убивают только эти вечно создающиеся exe-ки, которые опять снова и снова вылазят. В процессе своей жизнедеятельности в итоге ложится сеть, блокируются необходимые для работы программы (такие как SQL Server под управлением 1С), висит комп...

Переустановка винды не помогает, полное форматирование всех разделов перед этим тоже не помогает. Единственное, что раньше помогало - это снос всех разделов, заново разбиение и форматирование. Логично предположить, что эта зараза сидит в загрузочном секторе диска. Но сейчас уже даже и это не помогает. Уже 2 раза сносил разделы за последние 3 дня - а оно опять откуда-то лезет. Грешу на модем PeopleNet, т.к. такое наблюдается ТОЛЬКО на тех компьютерах, где он стоит, или стоял. Но его дрова и программы проверял чем только можно, - все чисто. ОС Windows XP SP3, стоит NOD32 с последними базами, также прогонял через Dr.Web CureIt, и через Kaspersky Virus Removal Tool 2015. Архив с логами в приложении. Заранее спасибо!

CollectionLog-2015.07.14-17.16.zip

Ссылка на сообщение
Поделиться на другие сайты
Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.

Самостоятельно ничего не удаляйте!!!

Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Подробнее читайте в руководстве
Ссылка на сообщение
Поделиться на другие сайты

Компьютер только один, сети нет


Вот сейчас опять насоздавались exe-ки, и лезут в автозагрузку... Что делать?


опять в процессах cmd и ftp, и еще какой-то p.exe


создалась новая учетная запись

Ссылка на сообщение
Поделиться на другие сайты
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

B92LqRQ.png

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Ссылка на сообщение
Поделиться на другие сайты

Да, но он болеет всегда, даже после переустановки винды. Как правило, на второй день начнет лезть вирусня, т.е. завтра гарантировано.

Ссылка на сообщение
Поделиться на другие сайты

Ну вот, началось... Нод начал ловить вирусню:

 

17.07.2015 13:34:23 Защита в режиме реального времени файл C:\RECYCLER\hexget.exe модифицированный Win32/TrojanDownloader.Agent.BLT троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe.
17.07.2015 13:32:03 Защита в режиме реального времени файл C:\WINDOWS\system32\hexget.exe модифицированный Win32/TrojanDownloader.Agent.BLT троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe.
17.07.2015 13:27:19 Защита в режиме реального времени файл C:\zyget.exe BAT/TrojanDownloader.Ftp.NOK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: C:\WINDOWS\system32\cmd.exe.
17.07.2015 13:27:18 Защита в режиме реального времени файл C:\RECYCLER\zyget.exe BAT/TrojanDownloader.Ftp.NOK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: C:\WINDOWS\system32\cmd.exe.
17.07.2015 13:27:17 Защита в режиме реального времени файл C:\WINDOWS\system32\zyget.exe BAT/TrojanDownloader.Ftp.NOK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: C:\WINDOWS\system32\cmd.exe.
17.07.2015 13:27:11 Защита в режиме реального времени файл C:\shget.exe BAT/TrojanDownloader.Ftp.NOK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: C:\WINDOWS\system32\cmd.exe.
17.07.2015 13:27:08 Защита в режиме реального времени файл C:\RECYCLER\shget.exe BAT/TrojanDownloader.Ftp.NOK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: C:\WINDOWS\system32\cmd.exe.
17.07.2015 13:27:06 Защита в режиме реального времени файл C:\WINDOWS\system32\shget.exe BAT/TrojanDownloader.Ftp.NOK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: C:\WINDOWS\system32\cmd.exe.
17.07.2015 13:26:45 Защита в режиме реального времени файл C:\xpget.exe BAT/TrojanDownloader.Ftp.NOK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe.
17.07.2015 13:26:43 Защита в режиме реального времени файл C:\RECYCLER\xpget.exe BAT/TrojanDownloader.Ftp.NOK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe.
17.07.2015 13:26:38 Защита в режиме реального времени файл C:\WINDOWS\system32\xpget.exe BAT/TrojanDownloader.Ftp.NOK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe.
17.07.2015 13:26:21 Защита в режиме реального времени файл C:\WINDOWS\system32\us.dat BAT/TrojanDownloader.Ftp.NLV троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe.

Они прям сейчас дальше и дальше вылазят, иногда со скоростью несколько штук в секунду

Ссылка на сообщение
Поделиться на другие сайты

Стоит SQL Server 2000 с последним SP4.

Хочу обратить внимание, что весь этот конкретный набор программ один к одному стоит более, чем на 20 компьютерах, на всех магазинах розничной сети, но конкретно эта проблема возникала ТОЛЬКО на тех, которые подключены к интернету через модем PeopleNet. Но раньше, единственный способ, который я нашел избавиться от этой дряни - полностью снос всех разделов жесткого диска, и разбиение заново... После этого, даже далее используя этот же модем, такая проблема больше не повторялась. В данном же случае, не помогает ничего, проблема всегда появляется снова((((

Ссылка на сообщение
Поделиться на другие сайты

Да при чем тут старье? На всех других машинах, на которых не стоит PeopleNet, но стоит это "старье", то все в порядке!

Так что, никто не сможет помочь?

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От 66668
      Здравствуйте, заметил странное поведение у своего ноутбука. После включения примерно через 3-5 минут начинают усиленно работать вентиляторы, комп уже тёплый (все приложения из автозагрузки закрыты), а при запуске диспетчера задач (ДЗ) на миг мелькает «100%» ЦП, а потом падает до около 5%. Но если закрыть ДЗ, то комп опять начинает усиленно работать. Уже сделал проверку через securitycheck, он злится на netshield 1.4.0.0 и netshield 1.4.0.1. Самое забавное, что браузер не давал открыть через ноут ни сайт Касперского, ни другие сайты с целью создания темы про вирусы. Постараюсь придумать способ сбросить логи из securitycheck.
    • От valentin_ubuntu
      Здравствуйте.
      Касперский free обнаруживает вирус PDM:Trojan.Win32.Generic на windows10 pro x64.
      После лечения, вирус находиться снова. Касперский опять его лечит, и так до бесконечности.
      Пробовали лечить kaspersky removal tool, затем cureit. Не помогло.
      Дополнительная информация: на момент обнаружения, политиками было запрещено запускать диспетчер задач и править реестр.
      При загрузке появлялся такой же профиль, как оригинальный, только с паролем. После входа в свой профиль, профиль клон пропадает.
      находит: C:\ProgramData\xmrig.cmd
      и еще один: C:\ProgramData\Internet Explorer\RtkAudio.exe
      оба файла, после удаления, появляются вновь.
      smb протокол "Запилен"
      cureit находит кучу dll (скриншот прилагаю)
      Сделал сбор логов с помощью AutoLogger.exe

      CollectionLog-2021.09.08-16.00.zip
    • От Andrew13
      Добрый день! На компьютере в журнале событий KSC на одной из машин обнаружен и удален вирус(более подробно прилагаю скриншот данного события). Вопрос: откуда он мог взяться?
      На машине стоит  KES 11.4.0.233 вирусные базы от 03.09.2021. У пользователя нет админских прав и нет интернета.
      Скачал AVZ, запустил, но после того как касперский удалил вирус.  Лог  сканирования также прилагаю.
       

      avz_log11.txt
      Судя по логам все чисто.
    • От Сенвестер
      Здравствуйте хелперы.. При нажатии сборщика... экран моргает и снова тоже самое... моргнёт и нет ссылки на него, И ТАК ДО БЕСКОНЕЧНОСТИ
      А так все ссылки рабочие, только СБОРЩИКА ПОЧЕМУТО ИГНОРИТ
      Системе лет много, больше 6 лет минимум... переустановка не желательна
      Жду указаний ваших
    • От User of internet
      В общем лазил я по torrent сайтам и искал игры для эмулятора PS2, открываю проводник и вижу, что память диска D резко заполнилась (Раньше было 70 ГБ теперь осталось 4.12 гб свободно). Сразу же запустил Касперский обнаружил downloader и удалил его, однако память до сих пор заполнена и я ломаю голову.
×
×
  • Создать...