Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Вирус

Gluki

Автор Gluki
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!
 
Через Панель управления - Удаление программ - удалите нежелательное ПО:

yoursearching uninstall

 
 
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
 
Выполните скрипт в AVZ (Файл - Выполнить скрипт):
 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files (x86)\03000200-1448996434-0500-0006-000700080009\hnssffc5.tmp');
 TerminateProcessByName('c:\program files (x86)\03000200-1448996434-0500-0006-000700080009\jnsye805.tmp');
 TerminateProcessByName('c:\program files (x86)\03000200-1448996434-0500-0006-000700080009\knsgdb91.tmp');
 StopService('fujugize');
 StopService('symytupi');
 StopService('zycygufo');
 QuarantineFile('c:\program files (x86)\03000200-1448996434-0500-0006-000700080009\hnssffc5.tmp', '');
 QuarantineFile('c:\program files (x86)\03000200-1448996434-0500-0006-000700080009\jnsye805.tmp', '');
 QuarantineFile('c:\program files (x86)\03000200-1448996434-0500-0006-000700080009\knsgdb91.tmp', '');
 QuarantineFile('C:\Users\Igor\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk','');
 QuarantineFile('C:\Users\Igor\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk','');
 QuarantineFile('C:\Users\Igor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera 12.10 1652.lnk','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk','');
 QuarantineFile('C:\ProgramData\sKmPcQSM\SAcwbQzKEpTRxSU5.bat', '');
 QuarantineFile('C:\Users\Igor\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk','');
 QuarantineFile('C:\Users\Igor\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk','');
 QuarantineFile('C:\Users\Igor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera 12.10 1652.lnk','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk','');
 DeleteFile('c:\program files (x86)\03000200-1448996434-0500-0006-000700080009\hnssffc5.tmp', '32');
 DeleteFile('c:\program files (x86)\03000200-1448996434-0500-0006-000700080009\jnsye805.tmp', '32');
 DeleteFile('c:\program files (x86)\03000200-1448996434-0500-0006-000700080009\knsgdb91.tmp', '32');
 DeleteFile('C:\ProgramData\sKmPcQSM\SAcwbQzKEpTRxSU5.bat', '32');
 DeleteFile('C:\ProgramData\HFFOBzaEW\MiEXego2.bat','32');
 DeleteFile('C:\ProgramData\pFXFxWqP\dOGoigBa0.bat','32');
 DeleteService('fujugize');
 DeleteService('symytupi');
 DeleteService('zycygufo');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
 

 
Компьютер перезагрузится
 
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com
 

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Настройки отметьте дополнительно:
    • Сброс настроек Proxy
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

 

Затем:

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочками также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Gluki Постоялец

Gluki

Опубликовано
  • Автор
Опубликовано (изменено)

Логи AdwCleaner и FRST  в аттаче.

 

Ответ ни письмо:

KLAN-3405574681

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

hnssffc5.tmp,
jnsye805.tmp,
Launch Internet Explorer Browser.lnk,
Opera.lnk,
Internet Explorer.lnk,
Opera 12.10 1652.lnk,
Opera_0.lnk,
Google Chrome.lnk,
SAcwbQzKEpTRxSU5.bat

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ruhttp://www.viruslist.ru"

FRST.txt

Addition.txt

Shortcut.txt

AdwCleanerC1.txt

Изменено пользователем Gluki
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
2015-12-02 11:34 - 2015-12-02 14:39 - 00000000 ____D C:\Users\Все пользователи\sKmPcQSM
2015-12-02 11:34 - 2015-12-02 14:39 - 00000000 ____D C:\Users\Все пользователи\pFXFxWqP
2015-12-02 11:34 - 2015-12-02 14:39 - 00000000 ____D C:\Users\Все пользователи\HFFOBzaEW
2015-12-02 11:34 - 2015-12-02 14:39 - 00000000 ____D C:\ProgramData\sKmPcQSM
2015-12-02 11:34 - 2015-12-02 14:39 - 00000000 ____D C:\ProgramData\pFXFxWqP
2015-12-02 11:34 - 2015-12-02 14:39 - 00000000 ____D C:\ProgramData\HFFOBzaEW
C:\Users\Igor\AppData\Local\Temp\tmpF7B5.tmp.exe
Shortcut: C:\Users\Igor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\ProgramData\sKmPcQSM\SAcwbQzKEpTRxSU5.bat (No File) <==== ATTENTION
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\ProgramData\HFFOBzaEW\MiEXego2.bat (No File) <==== ATTENTION
AlternateDataStreams: C:\Program Files\Adblock Plus for IE:Win32App_1
AlternateDataStreams: C:\Program Files\Bonjour:Win32App_1
AlternateDataStreams: C:\Program Files\Broadcom:Win32App_1
AlternateDataStreams: C:\Program Files\iTunes:Win32App_1
AlternateDataStreams: C:\Program Files\K-Lite Codec Pack x64:Win32App_1
AlternateDataStreams: C:\Program Files\Microsoft Silverlight:Win32App_1
AlternateDataStreams: C:\Program Files\Uninstall Tool:Win32App_1
AlternateDataStreams: C:\Program Files (x86)\Apple Software Update:Win32App_1
AlternateDataStreams: C:\Program Files (x86)\Bonjour:Win32App_1
AlternateDataStreams: C:\Program Files (x86)\Clip2Net:Win32App_1
AlternateDataStreams: C:\Program Files (x86)\iFunbox 2014:Win32App_1
AlternateDataStreams: C:\Program Files (x86)\KMPlayer:Win32App_1
AlternateDataStreams: C:\Program Files (x86)\Master_of_Orion2:Win32App_1
AlternateDataStreams: C:\Program Files (x86)\Microsoft Office:Win32App_1
AlternateDataStreams: C:\Program Files (x86)\Opera:Win32App_1
AlternateDataStreams: C:\Program Files (x86)\Sony:Win32App_1
AlternateDataStreams: C:\Program Files (x86)\TeamViewer:Win32App_1
AlternateDataStreams: C:\Program Files (x86)\The Sims 3. Supernatural:Win32App_1
AlternateDataStreams: C:\Program Files (x86)\The Sims 4:Win32App_1
AlternateDataStreams: C:\Program Files\Common Files\microsoft shared:Win32App_1
AlternateDataStreams: C:\Users\Igor\AppData\LocalLow\Adblock Plus for IE:Win32App_1
FirewallRules: [{B9FC7E3F-F693-4885-8FEB-B3CF03306EBC}] => (Allow) C:\Users\Igor\AppData\Local\Amigo\Application\amigo.exe
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

 

Сообщите что с проблемой.

Ссылка на комментарий
Поделиться на другие сайты
Gluki Постоялец

Gluki

Опубликовано
  • Автор
Опубликовано

Пока не поймал для скриншота, вот что есть в отчетах (правда это в момент проведения лечения).

post-18927-0-75542400-1449069291_thumb.jpg

сейчас проблема с браузерами Хром и Эдже не стартуют + кнопка пуск у винды тоже отказывается работать.

 


Сделал откат системы, заработала кнопка пуск, Edge, все стало нормально с правами учетки, но с браузерами Опера и Хром твориться непонятное.

Хром не может установиться, но работает, а Опера при старте выдает голосовое сообщение (Зря вы покидаете наш сайт), но правда левых страниц не открывается.

Сделал логи занового, посмотрите в какую сторону копать?

CollectionLog-2015.12.02-19.33.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано (изменено)

Выполните скрипт в AVZ (Файл - Выполнить скрипт):
 

var PathAutoLogger, CMDLine : string;
 
begin
clearlog;
PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
SaveLog(PathAutoLogger+'report3.log');
if FolderIsEmpty(PathAutoLogger+'CrashDumps')
then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log"'
else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
if FileExists('7za.exe') then ExecuteFile('7za.exe', CMDLine, 0, 100000, false)
else ExecuteFile('7za.pif', CMDLine, 0, 100000, false);
AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.

 
архив Report.7z из папки с AutoLogger пожалуйста прикрепите к своему сообщению.
 
 
Повторите лог сканирования AdwCleaner.
 
Наберитесь терпения и не предпринимайте самостоятельных шагов до окончания лечения.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Настройки отметьте дополнительно:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Еще раз:

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".
 
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sasaks11
      Вирус
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Ferri
      [РЕШЕНО] Обнауржен вирус CAAServieces.exe
      Автор Ferri
      Доброго времени суток.

      Столкнулась с проблемой майнер CAAServieces.exe. Начала искать способы по отключению, удалению вируса. Отключить отключила, Из реестра удалила, Удалила. Провела несколько проверок через антивирусы - чисто. Только при перезагрузке и некоторого времени (1-2 минуты) создается снова папка и файл с вирусом (но не запускается) по расположению: C:\ProgramData\CAAService.

      Прикладываю проверку с KVRT и AutoLogger.

      Найдя на форуме такую же проблему - уже решённую ранее - прикрепляю логи из FRST64

      CollectionLog-2025.07.19-02.48.zip Addition.txt FRST.txt
    • lostintired
      Вирус-майнер CAAServices.exe
      Автор lostintired
      Здравствуйте!
       
      Обращаюсь за помощью в полном удалении вредоносного ПО. Ранее на компьютере был обнаружен вирус, связанный с процессом CAAService.exe, который осуществлял майнинг. На тот момент мне удалось остановить вредоносную активность, и майнинг-процессы больше не наблюдаются.
      Однако, несмотря на это, файл CAAService.exe продолжает самовосстанавливаться по следующему пути: "C:\ProgramData\CAAService\CAAService.exe"
       
      Удалял вручную — файл вновь появляется сам, также сам себя добавляет в исключения защитника Windows. Также пытался выполнить рекомендации, приведённые в ТЕМЕ, но проблема не была полностью решена — папка и исполняемый файл восстанавливаются.
      Прошу помощи в полном удалении остаточных компонентов этой угрозы. Готов предоставить все необходимые логи и выполнить диагностику согласно требованиям форума.
      Заранее благодарю за помощь.
      CollectionLog-2025.07.18-23.17.zip
      Addition.txt FRST.txt
    • composer1995
      [РЕШЕНО] Вирус CAAServices.exe
      Автор composer1995
      Добрый день!

      Столкнулся с вирусом CAAServices.exe. Изложу последовательно события и свои действия:

      1. Центр обновления Windows установил обновления (не знаю, связано ли это с дальнейшей проблемой)
      - Накопительное обновление для Windows 11 Version 24H2 для систем на базе процессоров x64, 2025 07 (KB5062553)
      - 2025-07 Накопительное обновление .NET Framework 3.5 и 4.8.1 для Windows 11, version 24H2 для x64-разрядных систем (KB5056579)

      2. После обновления комп перезагрузился и в простое на рабочем столе начал сильно шуметь. Я решил проверить диспетчер задач и заглянуть в автозагрузки. В этот момент комп уже остыл и вернулся к нормальному уровню шума. В списке автозагрузок обнаружил файл CAAServices.exe, расположение файла C:\ProgramData\CAAService

      3. Нагуглил, что это майнер, провёл проверку защитником Windows, обнаружил вирус:
      - Trojan:Win64/DisguisedXMRigMiner!rfn, затронутые элементы C:\ProgramData\CAAService\Microsoft Network Realtime lnspection Service.exe

      Далее, в исключениях обнаружил CAAServices.exe, убрал его из списка исключений. Вручную указал папку CAAService, и в ней он нашёл:
      - Trojan:Win32/Wacatac.H!ml, затронутые элементы C:\ProgramData\CAAService\CAAServices.exe

      Защитник удалил оба вируса. После рестарта компа в автозагрузках снова обнаружил этот CAAServices.exe. Повторил процедуру по поиску и удалению вируса, комп не перезагружал.

      4. Пришёл сюда на сайт, провёл проверку Kaspersky Virus Removal Tool, обнаружил два вируса (прикладываю скрин). После проверки данной утилитой и рестарта компа в автозагрузке майнер не появляется. В папке C:\ProgramData\CAAService исчез файл CAAServices.exe. Остались только файлы CAAServices.vdr и OpenCL.dll.

      5. Собрал логи с помощью AutoLogger, прикладываю архив.

      Скажите, пожалуйста, избавился ли я от майнера, или нужно предпринять ещё какие-то меры?

      CollectionLog-2025.07.10-12.42.zip
    • Aleks yakov
      Вирус шифровальщик kozanostra
      Автор Aleks yakov
      Здравствуйте  шифровальщик заразил 2 пк в локальной сети (kozanostra)
      Новая папка.zip
×
×
  • Создать...