Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте, давно борюсь с этой заразой, никак вывести не могу, уже не знаю что и делать.

Вирусня с именами: BAT.DownLoader.58, BAT/TrojanDownloader.Ftp.NOK, модифицированный Win32/ServStart.EQ...

Создаются с хаотичными именами всевозможные exe-ки в корне системного раздела, в папке windows и system32, в диспетчере задач висят процессы cmd  и ftp, десятками создаются новые учетные записи с хаотичными именами и правами администратора под паролем. Антивирусники убивают только эти вечно создающиеся exe-ки, которые опять снова и снова вылазят. В процессе своей жизнедеятельности в итоге ложится сеть, блокируются необходимые для работы программы (такие как SQL Server под управлением 1С), висит комп...

Переустановка винды не помогает, полное форматирование всех разделов перед этим тоже не помогает. Единственное, что раньше помогало - это снос всех разделов, заново разбиение и форматирование. Логично предположить, что эта зараза сидит в загрузочном секторе диска. Но сейчас уже даже и это не помогает. Уже 2 раза сносил разделы за последние 3 дня - а оно опять откуда-то лезет. Грешу на модем PeopleNet, т.к. такое наблюдается ТОЛЬКО на тех компьютерах, где он стоит, или стоял. Но его дрова и программы проверял чем только можно, - все чисто. ОС Windows XP SP3, стоит NOD32 с последними базами, также прогонял через Dr.Web CureIt, и через Kaspersky Virus Removal Tool 2015. Архив с логами в приложении. Заранее спасибо!

CollectionLog-2015.07.14-17.16.zip

Ссылка на сообщение
Поделиться на другие сайты
Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.

Самостоятельно ничего не удаляйте!!!

Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Подробнее читайте в руководстве
Ссылка на сообщение
Поделиться на другие сайты

Компьютер только один, сети нет


Вот сейчас опять насоздавались exe-ки, и лезут в автозагрузку... Что делать?


опять в процессах cmd и ftp, и еще какой-то p.exe


создалась новая учетная запись

Ссылка на сообщение
Поделиться на другие сайты
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

B92LqRQ.png

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Ссылка на сообщение
Поделиться на другие сайты

Да, но он болеет всегда, даже после переустановки винды. Как правило, на второй день начнет лезть вирусня, т.е. завтра гарантировано.

Ссылка на сообщение
Поделиться на другие сайты

Ну вот, началось... Нод начал ловить вирусню:

 

17.07.2015 13:34:23 Защита в режиме реального времени файл C:\RECYCLER\hexget.exe модифицированный Win32/TrojanDownloader.Agent.BLT троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe.
17.07.2015 13:32:03 Защита в режиме реального времени файл C:\WINDOWS\system32\hexget.exe модифицированный Win32/TrojanDownloader.Agent.BLT троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe.
17.07.2015 13:27:19 Защита в режиме реального времени файл C:\zyget.exe BAT/TrojanDownloader.Ftp.NOK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: C:\WINDOWS\system32\cmd.exe.
17.07.2015 13:27:18 Защита в режиме реального времени файл C:\RECYCLER\zyget.exe BAT/TrojanDownloader.Ftp.NOK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: C:\WINDOWS\system32\cmd.exe.
17.07.2015 13:27:17 Защита в режиме реального времени файл C:\WINDOWS\system32\zyget.exe BAT/TrojanDownloader.Ftp.NOK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: C:\WINDOWS\system32\cmd.exe.
17.07.2015 13:27:11 Защита в режиме реального времени файл C:\shget.exe BAT/TrojanDownloader.Ftp.NOK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: C:\WINDOWS\system32\cmd.exe.
17.07.2015 13:27:08 Защита в режиме реального времени файл C:\RECYCLER\shget.exe BAT/TrojanDownloader.Ftp.NOK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: C:\WINDOWS\system32\cmd.exe.
17.07.2015 13:27:06 Защита в режиме реального времени файл C:\WINDOWS\system32\shget.exe BAT/TrojanDownloader.Ftp.NOK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: C:\WINDOWS\system32\cmd.exe.
17.07.2015 13:26:45 Защита в режиме реального времени файл C:\xpget.exe BAT/TrojanDownloader.Ftp.NOK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe.
17.07.2015 13:26:43 Защита в режиме реального времени файл C:\RECYCLER\xpget.exe BAT/TrojanDownloader.Ftp.NOK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe.
17.07.2015 13:26:38 Защита в режиме реального времени файл C:\WINDOWS\system32\xpget.exe BAT/TrojanDownloader.Ftp.NOK троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe.
17.07.2015 13:26:21 Защита в режиме реального времени файл C:\WINDOWS\system32\us.dat BAT/TrojanDownloader.Ftp.NLV троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe.

Они прям сейчас дальше и дальше вылазят, иногда со скоростью несколько штук в секунду

Ссылка на сообщение
Поделиться на другие сайты

Стоит SQL Server 2000 с последним SP4.

Хочу обратить внимание, что весь этот конкретный набор программ один к одному стоит более, чем на 20 компьютерах, на всех магазинах розничной сети, но конкретно эта проблема возникала ТОЛЬКО на тех, которые подключены к интернету через модем PeopleNet. Но раньше, единственный способ, который я нашел избавиться от этой дряни - полностью снос всех разделов жесткого диска, и разбиение заново... После этого, даже далее используя этот же модем, такая проблема больше не повторялась. В данном же случае, не помогает ничего, проблема всегда появляется снова((((

Ссылка на сообщение
Поделиться на другие сайты

Да при чем тут старье? На всех других машинах, на которых не стоит PeopleNet, но стоит это "старье", то все в порядке!

Так что, никто не сможет помочь?

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От DarDOne
      Поймал вирус майнер и возможно не только его который жрет оперативку почти под 100%, после нескольких манипуляций в /PrgramData нашел папку "Puzzle media"
      CollectionLog-2021.10.17-03.47.zip
    • От OrionBlack
      На работе подключил свою флешку  к компу
      вернулся домой на флешке файлы MusaLLaT.exe
      Ozel Dosyalar.exe
      на компе не было антивирусника успел заразиться 
      вирус блокает диспетчер задач командную строку и редактор реестра 
      с помощью 
      Kaspersky Virus Removal Tool;
      реестр стал открываться пока правок не делал
      диспетчер всё так же в отключке 
      права администратора забрал себе вирусник CollectionLog-2021.10.14-19.12.zip
    • От Sophinator
      Добрый день!
       
      Заметила, что стал тупить ноутбук (MSI GF63), хотя раньше за ним такого не замечала никогда. Зависает, когда переношу файлы в проводнике, при пользовании Хромом и Microsoft Edge (я в нём PDF-файлы просматриваю). И меня заблокировали в некоторых социальных сетях, в которые я заходила через браузер. Решила проверить на вирусы, Microsoft Defender выявил 2 угрозы (вложения 1, 2). Торрент - оно понятно, телеграм раньше тоже считала, что ругается просто на приложение стороннее, но загуглила про Uwasson, отправила лечиться и удаляться. Телеграм вроде как работает.
      Скачала dr.web.cureit, прогнала им, ничего не нашёл вроде (файл под названием cureit.log во вложениях). Полезла в интернет, нашла этот форум, скачала malwarebytes, ещё и им прогнала (отчёт в файле .txt под названием virus). Нашёл ещё заражённый файл, но в интернете я ничего толкового понять не смогла, а расположение пугает.
       
      Логи собрала, файл также во вложениях.
       
      Буду рада помощи, а ещё больше буду рада, если мне скажут, что это всё ок и я паникёрша.
       
      Спасибо!
       


      CollectionLog-2021.10.01-09.11.zip virus.txt cureit.log
    • От bxz1ngx
      Помогите устранить эту проблему,пожалуйста.
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из "Технический раздел".
    • От 66668
      Здравствуйте, заметил странное поведение у своего ноутбука. После включения примерно через 3-5 минут начинают усиленно работать вентиляторы, комп уже тёплый (все приложения из автозагрузки закрыты), а при запуске диспетчера задач (ДЗ) на миг мелькает «100%» ЦП, а потом падает до около 5%. Но если закрыть ДЗ, то комп опять начинает усиленно работать. Уже сделал проверку через securitycheck, он злится на netshield 1.4.0.0 и netshield 1.4.0.1. Самое забавное, что браузер не давал открыть через ноут ни сайт Касперского, ни другие сайты с целью создания темы про вирусы. Постараюсь придумать способ сбросить логи из securitycheck.
×
×
  • Создать...