Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте, давно борюсь с этой заразой, никак вывести не могу, уже не знаю что и делать.

Вирусня с именами: BAT.DownLoader.58, BAT/TrojanDownloader.Ftp.NOK, модифицированный Win32/ServStart.EQ...

Создаются с хаотичными именами всевозможные exe-ки в корне системного раздела, в папке windows и system32, в диспетчере задач висят процессы cmd  и ftp, десятками создаются новые учетные записи с хаотичными именами и правами администратора под паролем. Антивирусники убивают только эти вечно создающиеся exe-ки, которые опять снова и снова вылазят. В процессе своей жизнедеятельности в итоге ложится сеть, блокируются необходимые для работы программы (такие как SQL Server под управлением 1С), висит комп...

Переустановка винды не помогает, полное форматирование всех разделов перед этим тоже не помогает. Единственное, что раньше помогало - это снос всех разделов, заново разбиение и форматирование. Логично предположить, что эта зараза сидит в загрузочном секторе диска. Но сейчас уже даже и это не помогает. Уже 2 раза сносил разделы за последние 3 дня - а оно опять откуда-то лезет. Грешу на модем PeopleNet, т.к. такое наблюдается ТОЛЬКО на тех компьютерах, где он стоит, или стоял. Но его дрова и программы проверял чем только можно, - все чисто. ОС Windows XP SP3, стоит NOD32 с последними базами, также прогонял через Dr.Web CureIt, и через Kaspersky Virus Removal Tool 2015. Архив с логами в приложении. Заранее спасибо!

CollectionLog-2015.07.14-17.16.zip

Ссылка на сообщение
Поделиться на другие сайты
Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.

Самостоятельно ничего не удаляйте!!!

Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Подробнее читайте в руководстве
Ссылка на сообщение
Поделиться на другие сайты

Компьютер только один, сети нет


Вот сейчас опять насоздавались exe-ки, и лезут в автозагрузку... Что делать?


опять в процессах cmd и ftp, и еще какой-то p.exe


создалась новая учетная запись

Ссылка на сообщение
Поделиться на другие сайты
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

B92LqRQ.png

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Ссылка на сообщение
Поделиться на другие сайты

Да, но он болеет всегда, даже после переустановки винды. Как правило, на второй день начнет лезть вирусня, т.е. завтра гарантировано.

Ссылка на сообщение
Поделиться на другие сайты

Ну вот, началось... Нод начал ловить вирусню:

 

17.07.2015 13:34:23 Защита в режиме реального времени файл C:\RECYCLER\hexget.exe модифицированный Win32/TrojanDownloader.Agent.BLT троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe.
17.07.2015 13:32:03 Защита в режиме реального времени файл C:\WINDOWS\system32\hexget.exe модифицированный Win32/TrojanDownloader.Agent.BLT троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe.
17.07.2015 13:27:19 Защита в режиме реального времени файл C:\zyget.exe BAT/TrojanDownloader.Ftp.NOK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: C:\WINDOWS\system32\cmd.exe.
17.07.2015 13:27:18 Защита в режиме реального времени файл C:\RECYCLER\zyget.exe BAT/TrojanDownloader.Ftp.NOK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: C:\WINDOWS\system32\cmd.exe.
17.07.2015 13:27:17 Защита в режиме реального времени файл C:\WINDOWS\system32\zyget.exe BAT/TrojanDownloader.Ftp.NOK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: C:\WINDOWS\system32\cmd.exe.
17.07.2015 13:27:11 Защита в режиме реального времени файл C:\shget.exe BAT/TrojanDownloader.Ftp.NOK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: C:\WINDOWS\system32\cmd.exe.
17.07.2015 13:27:08 Защита в режиме реального времени файл C:\RECYCLER\shget.exe BAT/TrojanDownloader.Ftp.NOK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: C:\WINDOWS\system32\cmd.exe.
17.07.2015 13:27:06 Защита в режиме реального времени файл C:\WINDOWS\system32\shget.exe BAT/TrojanDownloader.Ftp.NOK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: C:\WINDOWS\system32\cmd.exe.
17.07.2015 13:26:45 Защита в режиме реального времени файл C:\xpget.exe BAT/TrojanDownloader.Ftp.NOK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe.
17.07.2015 13:26:43 Защита в режиме реального времени файл C:\RECYCLER\xpget.exe BAT/TrojanDownloader.Ftp.NOK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe.
17.07.2015 13:26:38 Защита в режиме реального времени файл C:\WINDOWS\system32\xpget.exe BAT/TrojanDownloader.Ftp.NOK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe.
17.07.2015 13:26:21 Защита в режиме реального времени файл C:\WINDOWS\system32\us.dat BAT/TrojanDownloader.Ftp.NLV троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe.

Они прям сейчас дальше и дальше вылазят, иногда со скоростью несколько штук в секунду

Ссылка на сообщение
Поделиться на другие сайты

Стоит SQL Server 2000 с последним SP4.

Хочу обратить внимание, что весь этот конкретный набор программ один к одному стоит более, чем на 20 компьютерах, на всех магазинах розничной сети, но конкретно эта проблема возникала ТОЛЬКО на тех, которые подключены к интернету через модем PeopleNet. Но раньше, единственный способ, который я нашел избавиться от этой дряни - полностью снос всех разделов жесткого диска, и разбиение заново... После этого, даже далее используя этот же модем, такая проблема больше не повторялась. В данном же случае, не помогает ничего, проблема всегда появляется снова((((

Ссылка на сообщение
Поделиться на другие сайты

Да при чем тут старье? На всех других машинах, на которых не стоит PeopleNet, но стоит это "старье", то все в порядке!

Так что, никто не сможет помочь?

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • PULEGLOT007
      От PULEGLOT007
      Провёл несколько полных сканирований компьютера с помощью Kasperksy Virus Removal Tool, первые разы он находил вирусы, но теперь не находит, а нагрузка на ЦП остается около 100%, права админа отсутствуют и не получается установить Kaspersky Security Cloud Free, выдаёт ошибку во время установки. 
      CollectionLog-2022.01.14-00.39.zip
    • stalker3972
      От stalker3972
      Здравствуйте, сегодня решил почистить компьютер, после загрузки компьютера и входа на рабочий стол сразу же прилетает уведомление об антивирусе что обнаружена угроза, мне стало интересно я захожу в подробности в угрозе и вижу что затронуто сразу несколько элементов, file: C:\ProgramData\FingerPrint\FingerPrint.exe, file: C:\Windows\System32\Tasks\fpShow_W5->(UTF-16LE), regkey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{87E85DD6-D7B9-490E-90D3-38009DED5F19}, regkey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\fpShow_W5, taskscheduler: C:\Windows\System32\Tasks\fpShow_W5, прочитав что такое fingerprint более известен как CSGOcalc 
      я перешел по пути где хранится вирус и удалил папку и перезагрузил компьютер, после перезагрузки компьютера меня ждал сюрприз - вирус не удаляется, он восстанавливается раз за разом, антивирус ничего сделать не смог. Пожалуйста помогите.
    • Pureeye44
      От Pureeye44
      Добрый вечер собственно, хотел убрать Pin на вход который почему то поставился во время обновления, но не работают "Варианты входа" просто виснут и все, ранее отключал некоторые вспомогательные системные службы но уже точно не помню какие именно, подскажите знающие как это можно решить?
    • Константин141414
      От Константин141414
      CollectionLog-2022.01.10-13.18.zipВирусы появились после установки на ПК стороннего софта. Ранее защитник Windows находил и не мог удалить данные файлы. Сейчас после того как я почистил папки Temp, защитник не находит их, но все же я не могу быть уверен что проблема решена, поэтому надеюсь что мне кто-нибудь подскажет решение.
    • ignatknyazzef
      От ignatknyazzef
      Здравствуйте. Мой антивирус Kaspersky Free находит вирус, или же троян MEM:Trojan.Win32.SEPEH.gen. После лечения с перезагрузкой антивирус находит его вновь. 
      CollectionLog-2022.01.09-14.00.zip
×
×
  • Создать...