Перейти к содержанию
Правила раздела

очень много вирусов в ноутбуке

chyb74

От chyb74
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

chyb74 Постоялец

chyb74

Опубликовано
  • Автор
Опубликовано

Доброго времени суток! Куча вирусов на буке, посмотрите пожалуйста что сделать?

файл больше 5 метров что сделать?

вот логи

 

CollectionLog-2015.12.23-20.59.zip

Ссылка на комментарий
Поделиться на другие сайты
chyb74 Постоялец

chyb74

Опубликовано
  • Автор
Опубликовано

в папке куда скачивал должен быть архив?


в папке куда скачивал должен быть архив?

или ещё раз проще сделать лог?


это тот лог который надо?

CollectionLog-2015.12.23-20.59.zip

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке
move.gif
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.
 
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

((
действительно, много адваре.
 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 TerminateProcessByName('c:\users\admin\appdata\local\zetagamesnews\zeta.exe');
 TerminateProcessByName('c:\program files\sound+\sound+.exe');
 TerminateProcessByName('c:\users\admin\appdata\local\205e18c0-1450832280-11b2-8000-9f1d6ea6b5ee\snshd54b.tmp');
 TerminateProcessByName('c:\program files (x86)\rec_en_77\rec_en_77.exe');
 TerminateProcessByName('c:\programdata\tmp0x0x\protectwindowsmanager.exe');
 TerminateProcessByName('c:\program files (x86)\oursoft\oursoft.exe');
 TerminateProcessByName('C:\Program Files (x86)\MPC Cleaner\MPCTray64.exe');
 TerminateProcessByName('c:\program files (x86)\mpc cleaner\mpctray.exe');
 TerminateProcessByName('c:\program files (x86)\mpc cleaner\mpcprotectservice.exe');
 TerminateProcessByName('c:\program files (x86)\205e18c0-1450814153-11b2-8000-9f1d6ea6b5ee\knsb4ee5.tmpfs');
 TerminateProcessByName('c:\program files (x86)\205e18c0-1450814153-11b2-8000-9f1d6ea6b5ee\jnsl70ad.tmp');
 TerminateProcessByName('c:\program files (x86)\205e18c0-1450814153-11b2-8000-9f1d6ea6b5ee\hnsw90ec.tmp');
 TerminateProcessByName('c:\users\admin\appdata\roaming\daemon2.exe');
 TerminateProcessByName('C:\Users\admin\AppData\Local\Con-trans.exe');
 SetServiceStart('5F375FE', 4);
 SetServiceStart('4F9779456D295912', 4);
 SetServiceStart('4F96753D5D04591A', 4);
 SetServiceStart('4F964E9F73582212', 4);
 SetServiceStart('4F964E91E1D60392', 4);
 SetServiceStart('4F964DDC54419412', 4);
 SetServiceStart('4F9648066DFD76F2', 4);
 SetServiceStart('44A86D0', 4);
 SetServiceStart('3C46AB0', 4);
 SetServiceStart('316D82B', 4);
 SetServiceStart('MPCKpt', 4);
 SetServiceStart('Bamcof', 4);
 SetServiceStart('Bioplus', 4);
 SetServiceStart('FinwarmSvc', 4);
 SetServiceStart('woforemu', 4);
 SetServiceStart('WindowsMangerProtect', 4);
 SetServiceStart('upuate', 4);
 SetServiceStart('rizyqibe', 4);
 SetServiceStart('MPCProtectService', 4);
 SetServiceStart('lytivysi', 4);
 SetServiceStart('HHandler Service', 4);
 StopService('wStLibG64');
 StopService('5F375FE');
 StopService('4F9779456D295912');
 StopService('4F96753D5D04591A');
 StopService('4F964E9F73582212');
 StopService('4F964E91E1D60392');
 StopService('4F964DDC54419412');
 StopService('4F9648066DFD76F2');
 StopService('44A86D0');
 StopService('3C46AB0');
 StopService('316D82B');
 StopService('MPCKpt');
 StopService('Bamcof');
 StopService('Bioplus');
 StopService('FinwarmSvc');
 StopService('woforemu');
 StopService('WindowsMangerProtect');
 StopService('upuate');
 StopService('rizyqibe');
 StopService('MPCProtectService');
 StopService('lytivysi');
 StopService('HHandler Service');
 QuarantineFile('C:\Users\admin\appdata\roaming\aspackage\aspackage.exe','');
 QuarantineFile('C:\Users\admin\appdata\local\smartweb\__u.exe','');
 QuarantineFile('C:\Program Files (x86)\ZetaGames\Upd.exe','');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Steam\Reversed\steam.exe','');
 QuarantineFile('C:\Program Files (x86)\Window Update\task Update\task.exe','');
 QuarantineFile('C:\Users\admin\AppData\Local\SmartWeb\SmartWebHelper.exe','');
 QuarantineFile('C:\Users\admin\AppData\Local\PPTAssist\notify.exe','');
 QuarantineFile('C:\Users\admin\AppData\Local\PPTAssist\assistupdate.exe','');
 QuarantineFile('C:\ProgramData\oAMEQcOChUwnhz\ZpHsOdlrWZl5.bat','');
 QuarantineFile('C:\ProgramData\wqChccQd\drnIpTBrX0.bat','');
 QuarantineFile('C:\Program Files (x86)\Clownfish\Clownfish.exe','');
 QuarantineFile('C:\Users\admin\AppData\Roaming\LoadLeader\Updater.exe','');
 QuarantineFile('C:\Program Files (x86)\ZetaGames\ZetaGames.exe','');
 QuarantineFile('C:\Users\admin\AppData\Local\Amigo\Application\amigo.exe','');
 QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe','');
 QuarantineFile('C:\Windows\TEMP\316D82B.sys','');
 QuarantineFile('C:\Windows\TEMP\3C46AB0.sys','');
 QuarantineFile('C:\Windows\TEMP\44A86D0.sys','');
 QuarantineFile('C:\Windows\TEMP\49A0A71.sys','');
 QuarantineFile('C:\Windows\TEMP\3B22D42.sys','');
 QuarantineFile('C:\Windows\TEMP\4176A06.sys','');
 QuarantineFile('C:\Windows\TEMP\4184F9C.sys','');
 QuarantineFile('C:\Windows\TEMP\28C0DDE8E9.sys','');
 QuarantineFile('C:\Windows\TEMP\401ED5E.sys','');
 QuarantineFile('C:\Windows\TEMP\5F375FE.sys','');
 QuarantineFile('C:\Windows\system32\drivers\wStLibG64.sys','');
 QuarantineFile('C:\Users\admin\AppData\Local\Temp\pjOBTx\runner.exe','');
 QuarantineFile('C:\Program Files\Bioplus\bioplus.exe','');
 QuarantineFile('C:\ProgramData\Bamcof\Bamcof.exe','');
 QuarantineFile('C:\Windows\TEMP\1563266A.sys','');
 QuarantineFile('C:\Windows\system32\drivers\968B909.sys','');
 QuarantineFile('C:\Windows\system32\DRIVERS\MPCKpt.sys','');
 QuarantineFile('C:\Users\admin\AppData\Local\Video Logo\{EA6A89B3-FD90-B359-8EB8-C17D89581853}\{866EEE86-C006-8079-2C2D-0FFAA1EE434A}.dat','');
 QuarantineFile('C:\Users\admin\AppData\Local\Video Logo\{EA6A89B3-FD90-B359-8EB8-C17D89581853}\VideoLogo.dll','');
 QuarantineFile('C:\Users\admin\AppData\Local\Video Logo\{EA6A89B3-FD90-B359-8EB8-C17D89581853}\iglqh.dll','');
 QuarantineFile('C:\Program Files (x86)\MPC Cleaner\*','');
 QuarantineFile('c:\users\admin\appdata\local\zetagamesnews\zeta.exe','');
 QuarantineFile('c:\program files\sound+\sound+.exe','');
 QuarantineFile('c:\users\admin\appdata\local\205e18c0-1450832280-11b2-8000-9f1d6ea6b5ee\snshd54b.tmp','');
 QuarantineFile('d:\games\Пегас\аикери\ПКАЕПИВ\simс\Новая папка\Соонтрааааа\counter-strike source\run_css.exe','');
 QuarantineFile('c:\program files (x86)\rec_en_77\rec_en_77.exe','');
 QuarantineFile('c:\programdata\tmp0x0x\protectwindowsmanager.exe','');
 QuarantineFile('c:\program files (x86)\oursoft\oursoft.exe','');
 QuarantineFile('C:\Program Files (x86)\MPC Cleaner\MPCTray64.exe','');
 QuarantineFile('c:\program files (x86)\mpc cleaner\mpctray.exe','');
 QuarantineFile('c:\program files (x86)\mpc cleaner\mpcprotectservice.exe','');
 QuarantineFile('c:\program files (x86)\205e18c0-1450814153-11b2-8000-9f1d6ea6b5ee\knsb4ee5.tmpfs','');
 QuarantineFile('c:\program files (x86)\205e18c0-1450814153-11b2-8000-9f1d6ea6b5ee\jnsl70ad.tmp','');
 QuarantineFile('c:\program files (x86)\205e18c0-1450814153-11b2-8000-9f1d6ea6b5ee\hnsw90ec.tmp','');
 QuarantineFile('c:\users\admin\appdata\roaming\daemon2.exe','');
 QuarantineFile('C:\Users\admin\AppData\Local\Con-trans.exe','');
 DeleteFile('C:\Users\admin\AppData\Local\Con-trans.exe','32');
 DeleteFile('c:\program files (x86)\205e18c0-1450814153-11b2-8000-9f1d6ea6b5ee\hnsw90ec.tmp','32');
 DeleteFile('c:\program files (x86)\mpc cleaner\mpctray.exe','32');
 DeleteFileMask('C:\Program Files (x86)\MPC Cleaner\','*', true, '');
 DeleteDirectory ('C:\Program Files (x86)\MPC Cleaner\',);
 DeleteFile('C:\Users\admin\AppData\Local\Video Logo\{EA6A89B3-FD90-B359-8EB8-C17D89581853}\iglqh.dll','32');
 DeleteFile('C:\Users\admin\AppData\Local\Video Logo\{EA6A89B3-FD90-B359-8EB8-C17D89581853}\VideoLogo.dll','32');
 DeleteFile('C:\Users\admin\AppData\Local\Video Logo\{EA6A89B3-FD90-B359-8EB8-C17D89581853}\{866EEE86-C006-8079-2C2D-0FFAA1EE434A}.dat','32');
 DeleteFile('C:\Windows\system32\DRIVERS\MPCKpt.sys','32');
 DeleteFile('C:\Windows\TEMP\1563266A.sys','32');
 DeleteFile('C:\Program Files (x86)\Oursoft\Oursoft.exe','32');
 DeleteFile('C:\Program Files (x86)\205E18C0-1450814153-11B2-8000-9F1D6EA6B5EE\knsb4EE5.tmpfs','32');
 DeleteFile('C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe','32');
 DeleteFile('C:\Program Files (x86)\205E18C0-1450814153-11B2-8000-9F1D6EA6B5EE\jnsl70AD.tmp','32');
 DeleteFile('C:\ProgramData\Tmp0x0x\ProtectWindowsManager.exe','32');
 DeleteFile('C:\Users\admin\AppData\Local\205E18C0-1450832280-11B2-8000-9F1D6EA6B5EE\snshD54B.tmp','32');
 DeleteFile('C:\ProgramData\Bamcof\Bamcof.exe','32');
 DeleteFile('C:\Program Files\Bioplus\bioplus.exe','32');
 DeleteFile('C:\Users\admin\AppData\Local\Temp\pjOBTx\runner.exe','32');
 DeleteFile('C:\Windows\TEMP\5F375FE.sys','32');
 DeleteFile('C:\Windows\TEMP\401ED5E.sys','32');
 DeleteFile('C:\Windows\TEMP\28C0DDE8E9.sys','32');
 DeleteFile('C:\Windows\TEMP\4184F9C.sys','32');
 DeleteFile('C:\Windows\TEMP\4176A06.sys','32');
 DeleteFile('C:\Windows\TEMP\3B22D42.sys','32');
 DeleteFile('C:\Windows\TEMP\49A0A71.sys','32');
 DeleteFile('C:\Windows\TEMP\44A86D0.sys','32');
 DeleteFile('C:\Windows\TEMP\3C46AB0.sys','32');
 DeleteFile('C:\Windows\TEMP\316D82B.sys','32');
 DeleteFile('C:\Program Files (x86)\rec_en_77\rec_en_77.exe','32');
 DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe','32');
 DeleteFile('C:\Users\admin\AppData\Local\Amigo\Application\amigo.exe','32');
 DeleteFile('C:\Users\admin\AppData\Local\ZetaGamesNews\zeta.exe','32');
 DeleteFile('C:\Program Files (x86)\ZetaGames\ZetaGames.exe','32');
 DeleteFile('C:\Users\admin\AppData\Roaming\LoadLeader\Updater.exe','32');
 DeleteFile('C:\Program Files\Sound+\Sound+.exe','32');
 DeleteFile('C:\ProgramData\wqChccQd\drnIpTBrX0.bat','32');
 DeleteFile('C:\ProgramData\oAMEQcOChUwnhz\ZpHsOdlrWZl5.bat','32');
 DeleteFile('C:\Windows\Tasks\PPTAssistantNotifyTask_admin.job','32');
 DeleteFile('C:\Windows\Tasks\PPTAssistantUpdateTask_admin.job','32');
 DeleteFile('C:\Users\admin\AppData\Local\PPTAssist\assistupdate.exe','32');
 DeleteFile('C:\Users\admin\AppData\Local\PPTAssist\notify.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\PPTAssistantNotifyTask_admin','64');
 DeleteFile('C:\Windows\system32\Tasks\PPTAssistantUpdateTask_admin','64');
 DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','64');
 DeleteFile('C:\Users\admin\AppData\Local\SmartWeb\SmartWebHelper.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Steam-S-1-8-22-9865GUI','64');
 DeleteFile('C:\Windows\system32\Tasks\task Update','64');
 DeleteFile('C:\Windows\system32\Tasks\Video Logo','64');
 DeleteFile('C:\Program Files (x86)\Window Update\task Update\task.exe','32');
 DeleteFile('C:\Users\admin\AppData\Roaming\Steam\Reversed\steam.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Video Logo2','64');
 DeleteFile('C:\Windows\system32\Tasks\ZetaUpdate','64');
 DeleteFile('C:\Program Files (x86)\ZetaGames\Upd.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\{0EFB1E0E-7607-4F0B-A95C-249D190FE6B2}','64');
 DeleteFile('C:\Users\admin\appdata\local\smartweb\__u.exe','32');
 DeleteFile('C:\Users\admin\appdata\roaming\aspackage\aspackage.exe','32');
 DeleteFile('C:\Users\admin\appdata\roaming\daemon2.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','rec_en_77');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','amigo');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ZetaGamesNews');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Daemon');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LoadLeader');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ZetaGames');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Sound+');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\amigo','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Clownfish','command');
 DeleteService('5F375FE');
 DeleteService('4F9779456D295912');
 DeleteService('4F96753D5D04591A');
 DeleteService('4F964E9F73582212');
 DeleteService('4F964E91E1D60392');
 DeleteService('4F964DDC54419412');
 DeleteService('4F9648066DFD76F2');
 DeleteService('44A86D0');
 DeleteService('3C46AB0');
 DeleteService('316D82B');
 DeleteService('MPCKpt');
 DeleteService('Bamcof');
 DeleteService('Bioplus');
 DeleteService('FinwarmSvc');
 DeleteService('woforemu');
 DeleteService('WindowsMangerProtect');
 DeleteService('upuate');
 DeleteService('rizyqibe');
 DeleteService('MPCProtectService');
 DeleteService('lytivysi');
 DeleteService('HHandler Service');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Virus Desk.
Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;
2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.
Важно: размер архива не должен превышать 12 МБ;
3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.
4) Дождитесь ответа об успешной загрузке карантина.

Полученный через электронную почту ответ сообщите в этой теме.
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = search.mpc.am
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuNBlZSWebrcVmfQxx2LIRo6aGI8vj12XwDuIDa8YlCCdilyc3w-NQmuZeNOn08qEu5K2lNufwEN-gqk6hUAnOge3SzepgSHIM5i8jtQolNMZ_ylFFSyaInVxtZBzscdmV5quH4wfYLkrV3Gw,,&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuNBlZSWebrcVmfQxx2LIRo6aGI8vj12XwDuIDa8YlCCdilyc3w-NQmuZeNOn08qEu5K2lNufwEN-gqk6hUAnOge3SzepgSHIM5i8jtQolNMZ_ylFFSyaInVxtZBzscdmV5quH4wfYLkrV3Gw,,&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuNBlZSWebrcVmfQxx2LIRo6aGI8vj12XwDuIDa8YlCCdilyc3w-NQmuZeNOn08qEu5K2lNufwEN-gqk6hUAnOge3SzepgSHIM5i8jtQolNMZ_ylFFSyaInVxtZBzscdmV5quH4wfYLkrV3Gw,,&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = search.mpc.am
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = search.mpc.am
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = search.mpc.am
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRYSttY34mamef947lyuNBlZSWebrcVmfQxx2LIRo6aGI8vj12XwDuIDa8YlCCdilyc3w-NQmuZeNOn08qEu5K2lNufwEN-gqk6hUAnOge3SzepgSHIM5i8jtQolNMZ_ylFFSyaInVxtZBzscdmV5quH4wfYLkrV3Gw,,&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O4 - HKLM\..\Run: [rec_en_77] "C:\Program Files (x86)\rec_en_77\rec_en_77.exe"
O4 - HKLM\..\Run: [Timestasks] C:\ProgramData\TimeTasks\timetasks.exe"
O4 - HKCU\..\Run: [amigo] C:\Users\admin\AppData\Local\Amigo\Application\amigo.exe --no-startup-windower-Strike Source\run_css.exe" autorun
O4 - HKCU\..\Run: [ZetaGamesNews] C:\Users\admin\AppData\Local\ZetaGamesNews\zeta.exe
O4 - HKCU\..\Run: [Daemon] "C:\Users\admin\AppData\Roaming\daemon2.exe"
O4 - HKCU\..\Run: [LoadLeader] C:\Users\admin\AppData\Roaming\LoadLeader\Updater.exe
O4 - HKCU\..\Run: [ZetaGames] "C:\Program Files (x86)\ZetaGames\ZetaGames.exe" /hide
O4 - Startup: SmartWeb.lnk = admin\AppData\Local\SmartWeb\SmartWebHelper.exe
O8 - Extra context menu item: Скачать с Mipony - file://C:\Program Files (x86)\MiPony\Browser\IEContext.htm

 

 
Сделайте новые логи по правилам (только пункт 2).
 
+ логи FRST
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • ShadowIce449
      Майнер на ноутбуке
      От ShadowIce449
      ноут греется как бешанный хоть фильм смотришь,фпс низкий, Цп под 100%, понял что майнер на, не давал открывать avbr и т.д говорил не прав, поэтому пришлось переменовать. использовал avbr случайно удалил log, пиh его удалисалось что был пользователь Jonh. Запустил второй раз и прикрепил log другой уже. 
      CollectionLog-2025.01.11-14.02.zip
      AV_block_remove_2025.01.11-14.13.log
    • couitatg
      Очень странное и необычное заражение вирусом удалённого доступа
      От couitatg
      В субботу, пока я играл в игру, антивирус Касперского проводил сканирование в фоновом режиме. По отчетам, он обнаружил 56 попыток майнинга, а также удалил 351 вирусный объект.
      После этого я решил провести дополнительное сканирование. В результате была выявлена безфайловая угроза и фейковый процесс msedge.exe, который установил TCP-соединение.
      Спустя 20–30 минут попыток устранить угрозу, я заметил, что Windows Defender работает как единственный антивирус в системе, а Касперский будто бы не функционирует. Defender обнаружил троян Njrat в msedge.exe, но не смог его устранить. Более того, в исключениях Windows Defender оказались указаны диск, файл msedge.exe и папка Program Files.
      Позже я обнаружил майнер в поддельных файлах taskmgr.exe, regedit.exe и svchost.exe.
      Самым неприятным оказалось то, что был выявлен руткит (C:\Program Files\DrWeb\drwebnet.sys), хотя антивирус Dr.Web на системе отсутствовал. У руткита была действительная цифровая подпись от Microsoft. Windows Defender смог успешно устранить руткит, но с трояном Njrat так и не справился.
      Затем аналогичная копия руткита обнаружилась в папке антивируса Avast, который тоже не был установлен на системе.
      Наконец, система подверглась попытке шифрования вирусом (предположительно Chaos Ransomware). Мне удалось остановить процесс с помощью утилиты Process Hacker.

      CollectionLog-2024.12.15-13.23.zip
    • Jafar_e
      Очень похоже на lockbit 3.0
      От Jafar_e
      Поймали паразита который зашифровал все файлы кроме программ и скриптов. С помощью ПО отловили нахождение.
      К компьютеру в был подключен NAS - результат зашифрован весь архив рабочий.
      В приложении образцы зашифрованных файлов, зловреда, отчет FRST и письмо счастья, в котом на удивление нет уникального ID и обои не были сменены на рабочем столе.
      pass: virus
      Mimik.zip
    • AlexPh_Vl
      Шифровальщик зашифровал всё, очень нужна база 1С
      От AlexPh_Vl
      Добрый день, продолжение  темы 
      файлы уже были отправлены в вышеуказанной теме.
      Речь об одном и том же компьютере.
      Прислали дешифровщик, но после лечения (удаления вируса) он  выдает ошибки. Как передать данный дешифровщик и  данные для анализа?
    • Саша Добрынин
      Шифровальщик зашифровал всё, очень нужна база 1С
      От Саша Добрынин
      Добрый день, помогите спасти базу 1с, там несколько лет работы, а диск с бэкапами в самый неподходящий момент навернулся.
      H.7z Addition.txt FRST.txt
×
×
  • Создать...