Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Вирусы.

Михаил Привалов

Автор Михаил Привалов
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Михаил Привалов Постоялец

Михаил Привалов

Опубликовано
Опубликовано

После захода на сайт, появилось очень много вирусов. На рабочем столе "Одноклассники" и "Вконтакте". Удалил через "Компоненты". Посмотрите мой лог. 

CollectionLog-2016.02.08-18.32.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 SetServiceStart('AnyDesk', 4);
 SetServiceStart('QQPCRTP', 4);
 SetServiceStart('QQSysMonX64', 4);
 SetServiceStart('TAOAccelerator', 4);
 SetServiceStart('TAOKernelDriver', 4);
 SetServiceStart('TFsFlt', 4);
 SetServiceStart('TsNetHlpX64', 4);
 SetServiceStart('TSSysKit', 4);
 DeleteService('TSSysKit');
 DeleteService('TsNetHlpX64');
 DeleteService('TFsFlt');
 DeleteService('TAOKernelDriver');
 DeleteService('TAOAccelerator');
 DeleteService('QQSysMonX64');
 DeleteService('QMUdisk');
 DeleteService('QQPCRTP');
 DeleteService('AnyDesk');
 QuarantineFile('C:\Users\fictu\AppData\Local\Temp\mslog.dll','');
 QuarantineFile('C:\Program Files (x86)\t_201602081700\201602081700\DuiLib_u.dll','');
 TerminateProcessByName('c:\program files (x86)\t_201602081700\201602081700\lgs.exe');
 TerminateProcessByName('c:\program files (x86)\t_201602081700\201602081700\lsas.exe');
 TerminateProcessByName('c:\program files (x86)\mtv20160128\mtview.exe');
 TerminateProcessByName('C:\Users\fictu\AppData\Local\Temp\MTViewbuildmtview_302.exe');
 TerminateProcessByName('c:\program files (x86)\tencent\qqpcmgr\11.3.17201.218\qqpcrtp.exe');
 QuarantineFile('c:\program files (x86)\t_201602081700\201602081700\lsas.exe','');
 QuarantineFile('c:\program files (x86)\t_201602081700\201602081700\lgs.exe','');
 TerminateProcessByName('c:\program files (x86)\anydesk\anydesk.exe');
 TerminateProcessByName('c:\program files (x86)\t_201602081700\201602081700\auds.exe');
 QuarantineFile('c:\program files (x86)\t_201602081700\201602081700\auds.exe','');
 QuarantineFile('c:\program files (x86)\anydesk\anydesk.exe','');
 DeleteFile('c:\program files (x86)\anydesk\anydesk.exe','32');
 DeleteFile('c:\program files (x86)\t_201602081700\201602081700\auds.exe','32');
 DeleteFile('c:\program files (x86)\t_201602081700\201602081700\lgs.exe','32');
 DeleteFile('c:\program files (x86)\t_201602081700\201602081700\lsas.exe','32');
 DeleteFile('c:\program files (x86)\mtv20160128\mtview.exe','32');
 DeleteFile('C:\Users\fictu\AppData\Local\Temp\MTViewbuildmtview_302.exe','32');
 DeleteFile('c:\program files (x86)\tencent\qqpcmgr\11.3.17201.218\qqpcrtp.exe','32');
 DeleteFile('C:\Program Files (x86)\MTV20160128\MTview.Core.dll','32');
 DeleteFile('C:\Program Files (x86)\MTV20160128\MTview.Image.dll','32');
 DeleteFile('C:\Program Files (x86)\MTV20160128\MTview.ImageBox.dll','32');
 DeleteFile('C:\Program Files (x86)\MTV20160128\MTview.Library.dll','32');
 DeleteFile('C:\Program Files (x86)\MTV20160128\MTview.Services.dll','32');
 DeleteFile('C:\Program Files (x86)\MTV20160128\MTview.Theme.dll','32');
 DeleteFile('C:\Program Files (x86)\MTV20160128\MTview.ThumbBar.dll','32');
 DeleteFile('C:\Program Files (x86)\MTV20160128\zoyobar.shared.panzer.IEBrowser.dll','32');
 DeleteFile('C:\Program Files (x86)\t_201602081700\201602081700\DuiLib_u.dll','32');
 DeleteFile('C:\Program Files (x86)\t_201602081700\201602081700\MSVCP100.dll','32');
 DeleteFile('C:\Program Files (x86)\t_201602081700\201602081700\MSVCR100.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\communic.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\dr.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\oDayProtect.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\plugins\QMBDScanner.dat','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\plugins\QMHipsEngine.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\plugins\qmiemalrtpplugin\qmiemalrtpplugin.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\plugins\QMRepairPlugin.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\plugins\sysspeeduprtpplugin\SysSpeedupRtpPlugin.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QMAntiInject.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QMAssocScan.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QMAVProxy.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QMCommon.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QMDns.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QMEmMat.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QMExt.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QMFileMon.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QMHIPSHeart.dll','32');
 DeleteFile('c:\program files (x86)\tencent\qqpcmgr\11.3.17201.218\qmhipslogpolicy.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QMHIPSService.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QMIpc.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QMNetworkMgr.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QMRtpCheck.dll','32');
 DeleteFile('c:\program files (x86)\tencent\qqpcmgr\11.3.17201.218\qmrtpcontroller.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QMRtpDLL.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QMSafeBoxHelperDll.dll','32');
 DeleteFile('c:\program files (x86)\tencent\qqpcmgr\11.3.17201.218\qmscripthost.dll','32');
 DeleteFile('c:\program files (x86)\tencent\qqpcmgr\11.3.17201.218\qmsysrepprov.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QMTrayPlugin\QMPerfCtrl\QMPerf.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QMUl.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\RefuseInject.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\scc.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\SoftMgr\processlogdll.dll','32');
 DeleteFile('C:\ProgramData\Tencent\TSVulFw\TSVulFW.DAT','32');
 DeleteFile('C:\Users\fictu\AppData\Local\Temp\mslog.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\TSSysKitProxy.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\tpk\2.0.11037.1971\tpktt.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\tpk\2.0.11037.1971\tpkreport.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\tpk\2.0.11037.1971\tpkcom.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\tinyxml.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\TAVUpload.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\TavPedc.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\TAVInterface.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\TAVEng.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\tave.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\TAVCache.dll','32');
 DeleteFile('c:\program files (x86)\tencent\qqpcmgr\11.3.17201.218\sxcombase.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\sqlite.dll','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QMUdisk64.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QQSysMonX64.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\softaal64.sys','32');
 DeleteFile('C:\WINDOWS\system32\Drivers\TAOAccelerator64.sys','32');
 DeleteFile('C:\WINDOWS\system32\Drivers\TAOKernelEx64.sys','32');
 DeleteFile('C:\WINDOWS\system32\Drivers\TFsFltX64.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\TsNetHlpX64.sys','32');
 DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\TSSysKit64.sys','32');
 DeleteFile('C:\Users\fictu\AppData\Local\Temp\qq-bundle.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','QQPCTray');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MTview');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','qq-bundle');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','lsas');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved','{63332668-8CE1-445D-A5EE-25929176714E}');
 DeleteFile('C:\WINDOWS\system32\Tasks\{E4F787F6-8873-46AD-9A5D-F8B5CAEE327E}','64');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты
Михаил Привалов Постоялец

Михаил Привалов

Опубликовано
  • Автор
Опубликовано (изменено)

KLAN-3732170165

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

mslog.dll,
DuiLib_u.dll,
lsas.exe,
lgs.exe,
auds.exe,
anydesk.exe

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

 


Ещё хочу сообщить, что после 10-15 минут запуска системы, открывается браузер. С вирусным сайтом. 

CollectionLog-2016.02.08-21.40.zip

Изменено пользователем Михаил Привалов
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Внимание: выполнять написанное ниже строго в безопасном режиме!

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM-x32\...\Run: [sun11] => [X]
HKLM-x32\...\Run: [ QQPCTray] => C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QQPCTRAY.EXE [355296 2016-02-08] (Tencent)
ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QMGCShellExt64.dll [2016-02-08] (Tencent)
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
Startup: C:\Users\fictu\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Контроль предупреждений о чернилах - HP Deskjet 3070 B611 series.lnk [2016-02-09]
ShortcutTarget: Контроль предупреждений о чернилах - HP Deskjet 3070 B611 series.lnk ->  (No File)
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=97530839_hao_pg
HKU\S-1-5-21-1816131258-3556736179-3887475053-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=97530839_hao_pg
BHO: 电脑管家网页防火墙 -> {7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B} -> C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\TSWebMon64.dat [2016-02-08] (Tencent)
CHR StartupUrls: Default -> "hxxp://www.yandex.ru/","hxxp://www.odnoklassniki.ru/","hxxp://www.yandex.ru/?clid=2073350","hxxp://mail.ru/cnt/10445","hxxp://mail.ru/cnt/10445?gp=newcustom3","hxxp://isearch.omiga-plus.com/?type=hp&ts=1419413290&from=cor&uid=FUJITSUXMHZ2160BHXG2_K62KT8A28FWKT8A28FWKX","hxxp://mail.ru/cnt/10445?gp=openpart3","hxxp://mail.ru/cnt/10445?gp=openpart1","hxxp://mail.ru/cnt/10445?gp=profitraf7","hxxp://mail.ru/cnt/10445?gp=anvir2","hxxp://mail.ru/cnt/10445?gp=newcustom15","hxxp://mail.ru/cnt/10445?gp=ticno2","hxxp://mail.ru/cnt/10445?gp=newcustom14","hxxp://www.istartsurf.com/?type=hp&ts=1433829287&z=5a1cb7ba37bf086a959d2d6g6z1cbcdb9w3q3odo8o&from=face&uid=SAMSUNGXHD502IJ_S13TJ1BQ613933","hxxp://www.istartsurf.com/?type=hppp&ts=1433829303&z=844396268032902012a11c7g7z6c8ccbcw5qbodc8b&from=face&uid=SAMSUNGXHD502IJ_S13TJ1BQ613933","hxxp://mail.ru/cnt/10445?gp=blackbear15","hxxp://mail.ru/cnt/10445?gp=mp4","hxxp://www.istartsurf.com/?type=hp&ts=1440872528&z=6a4c9eed959a932deca7b0bgfzfz6ecbfmeo0zcedz&from=face&uid=SAMSUNGXHM321HI_S26VJ9CBA33147","hxxp://www.mystartsearch.com/?type=hp&ts=1440875984&z=6e9fa403c9addbdfd4b7f27g3z2z6e4b7m3w4b1q6e&from=cmi&uid=SAMSUNGXHM321HI_S26VJ9CBA33147","hxxp://minizona.ru","hxxp://www.yoursearching.com/?type=hp&ts=1454932120&z=3163218e756c9f21978cc01g1zawdz0tec7o8g5oee&from=itr&uid=samsungxhd502ij_s13tj1bq613933"
CHR Extension: (Качай музыку с Вконтакте) - C:\Users\fictu\AppData\Local\Google\Chrome\User Data\Default\Extensions\eokaofdjnhmjbdocmddemamelgnecjka [2016-02-08]
CHR Extension: (Купоны на все!) - C:\Users\fictu\AppData\Local\Google\Chrome\User Data\Default\Extensions\lamnalpbepohkoppclbgfcagnlbcoofj [2016-02-08]
R2 QQPCRTP; C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QQPCRTP.exe [301728 2016-02-08] (Tencent)
R1 QMUdisk; C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QMUdisk64.sys [79160 2016-02-08] (Tencent)
R2 QQSysMonX64; C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QQSysMonX64.sys [138552 2016-02-08] (电脑管家)
R1 softaal; C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\softaal64.sys [35128 2016-02-08] (Tencent)
R3 TAOAccelerator; C:\WINDOWS\system32\Drivers\TAOAccelerator64.sys [89464 2016-02-08] (Tencent)
R2 TAOKernelDriver; C:\WINDOWS\system32\Drivers\TAOKernelEx64.sys [128312 2016-02-08] (Tencent Technology(Shenzhen) Company Limited)
R3 TFsFlt; C:\Windows\System32\Drivers\TFsFltX64.sys [87864 2016-02-08] (电脑管家)
R3 TS888x64; C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\TS888x64.sys [28984 2016-02-09] (Tencent)
S1 TSDefenseBt; C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\TSDefenseBT64.sys [28984 2016-02-08] (Tencent)
R2 tsnethlpx64; C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\TsNetHlpX64.sys [48440 2016-01-14] ()
R1 TSSysKit; C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\TSSysKit64.sys [87352 2016-02-08] (电脑管家)
2016-02-08 21:29 - 2016-02-09 06:29 - 00028984 _____ (Tencent) C:\WINDOWS\SysWOW64\Drivers\TS888x64.sys
2016-02-08 17:03 - 2016-01-14 14:47 - 00128280 _____ (电脑管家) C:\WINDOWS\SysWOW64\Drivers\TsFltMgr.sys
2016-02-08 17:02 - 2016-02-08 17:02 - 00000000 ____D C:\Users\Все пользователи\TXQMPC
2016-02-08 17:02 - 2016-02-08 17:02 - 00000000 ____D C:\ProgramData\TXQMPC
2016-02-08 17:02 - 2016-02-08 17:02 - 00000000 ____D C:\Program Files\Common Files\Tencent
2016-02-08 17:02 - 2016-02-08 17:01 - 00128312 _____ (Tencent Technology(Shenzhen) Company Limited) C:\WINDOWS\system32\Drivers\TAOKernelEx64.sys
2016-02-08 17:02 - 2016-02-08 17:01 - 00089464 _____ (Tencent) C:\WINDOWS\system32\Drivers\TAOAccelerator64.sys
2016-02-08 17:02 - 2016-02-08 17:01 - 00087864 _____ (电脑管家) C:\WINDOWS\system32\Drivers\TFsFltX64.sys
2016-02-08 17:01 - 2016-02-08 17:34 - 00000000 ____D C:\Users\fictu\AppData\Roaming\Tencent
2016-02-08 17:01 - 2016-02-08 17:04 - 00000000 ____D C:\Users\Все пользователи\Tencent
2016-02-08 17:01 - 2016-02-08 17:04 - 00000000 ____D C:\ProgramData\Tencent
2016-02-08 17:01 - 2016-02-08 17:01 - 00000000 ____D C:\Program Files (x86)\Tencent
2016-02-08 17:00 - 2016-02-08 21:26 - 00000000 ____D C:\Program Files (x86)\MTV20160128
2016-02-08 17:00 - 2016-02-08 17:00 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ГАНјдЇАА
2016-02-08 17:00 - 2016-02-08 17:00 - 00000000 ____D C:\Program Files (x86)\t_201602081700
C:\Users\fictu\AppData\Local\Temp\AmigoDistrib.exe
C:\Users\fictu\AppData\Local\Temp\hcv_mailruhomesearch (1).exe
C:\Users\fictu\AppData\Local\Temp\hcv_mailruhomesearch.exe
C:\Users\fictu\AppData\Local\Temp\vk_ok_adblock.exe
Task: {28080C6B-7B23-44E5-BA3B-FB8333074F46} - \{E4F787F6-8873-46AD-9A5D-F8B5CAEE327E} -> No File <==== ATTENTION
Task: {428FF15A-FD35-4003-85F4-0023CE1D6604} - \Обновление Браузера Яндекс  -> No File <==== ATTENTION
Task: {4371E46C-1441-4F9D-8424-3AE7A2DEE820} - System32\Tasks\MS => hxxp://gangnamgame.org
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service"
HKU\S-1-5-21-1816131258-3556736179-3887475053-1001\Software\Classes\.exe:  =>  <===== ATTENTION
HKU\S-1-5-21-1816131258-3556736179-3887475053-1001\Software\Classes\exefile:  <===== ATTENTION
FirewallRules: [{9B8E5E2C-E20C-4B0D-AF32-A5CE17D856A5}] => (Allow) C:\Users\fictu\AppData\Local\Amigo\Application\amigo.exe
FirewallRules: [{1F6F3B26-9127-4A88-87E6-241A8D3E9F80}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
FirewallRules: [{CAF32D47-96C7-4553-A216-D5630B83A0D1}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QQPCmgrInstallGuide.exe
FirewallRules: [{ED8F5BD0-553B-4D19-816E-DC4821E69EAD}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QQPCTray.exe
FirewallRules: [{D424B2D8-89AD-4B92-B867-99C6D7534A3A}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe
FirewallRules: [{471A77A7-EB99-433C-B80E-3338078D7130}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QQPCMgr.exe
FirewallRules: [{49DD23A9-E41F-4A5F-ADF4-A00503CA4697}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QQPCRTP.exe
FirewallRules: [{A8CA8D83-18FD-4B53-9D69-E8D4A105E2EF}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QMDL.exe
FirewallRules: [{681DCA7E-A06A-423E-A352-E8872FB10B8E}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\bugreport.exe
FirewallRules: [{53F8F7CF-75DC-4D41-9FB3-C6E7EE83F852}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QQPCFileOpen.exe
FirewallRules: [{279381C6-36AA-47E1-B989-9407AAE17B5E}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QQPCLeakScan.exe
FirewallRules: [{F3530CB8-0383-41E5-9ED3-7795BCA1DCD9}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QQPConfig.exe
FirewallRules: [{7E5035D3-6C4C-49E6-9F03-141001D02BA7}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QQPCSoftMgr.exe
FirewallRules: [{D0435707-D6F6-4B0A-A35D-7377AC2BA7AC}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\plugins\QMNetMon\QQPCNetFlow.exe
FirewallRules: [{D902B9DB-814D-4A10-88AD-F16C5CF99C51}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QQPCBTU.exe
FirewallRules: [{93D5A06E-0603-4F43-BDB1-7BFB75BB4E6F}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QQPCClinic.exe
FirewallRules: [{34C193B6-B972-491A-94AA-B5DC88C5215D}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QQPCLaunch.exe
FirewallRules: [{EEBCDE81-28E6-4774-9E3F-2F658ECE085C}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QMUpdate\QQPCMgrUpdate.exe
FirewallRules: [{93924FB4-2E6E-4638-B4B7-E743C5574423}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QQPCSoftGame.exe
FirewallRules: [{C74C9C5F-EB63-40DF-B858-5757EECF411B}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QQPCSysOptimize.exe
FirewallRules: [{26AB9C79-54EF-4466-8253-CD2F1B367756}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QQPCUpdateAVLib.exe
FirewallRules: [{E557A823-0465-4871-8563-6206A6D80256}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QQRepair.exe
FirewallRules: [{AC37EC49-5224-4950-B944-7CE1DF26CDDF}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\Uninst.exe
FirewallRules: [{C4669539-1F4B-492D-BE87-CE3F14177CA9}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QQPCPatch.exe
FirewallRules: [{0219CAA7-9309-46F2-8223-400B90B3CB4C}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\TpkUpdate.exe
FirewallRules: [{211EA04C-3E7C-4D53-BCA1-E330321CB9B3}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QMRouterMgr.exe
FirewallRules: [{407036C8-3F0B-4E99-9143-6D1183807E86}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QMAccountProtection.exe
FirewallRules: [{BCF58F81-F6DD-41AA-8FA9-70502BC4855F}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QMAdBlock.exe
Reboot:

2. Нажмите ФайлСохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файлаВсе файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Ferri
      [РЕШЕНО] Обнауржен вирус CAAServieces.exe
      Автор Ferri
      Доброго времени суток.

      Столкнулась с проблемой майнер CAAServieces.exe. Начала искать способы по отключению, удалению вируса. Отключить отключила, Из реестра удалила, Удалила. Провела несколько проверок через антивирусы - чисто. Только при перезагрузке и некоторого времени (1-2 минуты) создается снова папка и файл с вирусом (но не запускается) по расположению: C:\ProgramData\CAAService.

      Прикладываю проверку с KVRT и AutoLogger.

      Найдя на форуме такую же проблему - уже решённую ранее - прикрепляю логи из FRST64

      CollectionLog-2025.07.19-02.48.zip Addition.txt FRST.txt
    • sasaks11
      Вирус
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • lostintired
      Вирус-майнер CAAServices.exe
      Автор lostintired
      Здравствуйте!
       
      Обращаюсь за помощью в полном удалении вредоносного ПО. Ранее на компьютере был обнаружен вирус, связанный с процессом CAAService.exe, который осуществлял майнинг. На тот момент мне удалось остановить вредоносную активность, и майнинг-процессы больше не наблюдаются.
      Однако, несмотря на это, файл CAAService.exe продолжает самовосстанавливаться по следующему пути: "C:\ProgramData\CAAService\CAAService.exe"
       
      Удалял вручную — файл вновь появляется сам, также сам себя добавляет в исключения защитника Windows. Также пытался выполнить рекомендации, приведённые в ТЕМЕ, но проблема не была полностью решена — папка и исполняемый файл восстанавливаются.
      Прошу помощи в полном удалении остаточных компонентов этой угрозы. Готов предоставить все необходимые логи и выполнить диагностику согласно требованиям форума.
      Заранее благодарю за помощь.
      CollectionLog-2025.07.18-23.17.zip
      Addition.txt FRST.txt
    • composer1995
      [РЕШЕНО] Вирус CAAServices.exe
      Автор composer1995
      Добрый день!

      Столкнулся с вирусом CAAServices.exe. Изложу последовательно события и свои действия:

      1. Центр обновления Windows установил обновления (не знаю, связано ли это с дальнейшей проблемой)
      - Накопительное обновление для Windows 11 Version 24H2 для систем на базе процессоров x64, 2025 07 (KB5062553)
      - 2025-07 Накопительное обновление .NET Framework 3.5 и 4.8.1 для Windows 11, version 24H2 для x64-разрядных систем (KB5056579)

      2. После обновления комп перезагрузился и в простое на рабочем столе начал сильно шуметь. Я решил проверить диспетчер задач и заглянуть в автозагрузки. В этот момент комп уже остыл и вернулся к нормальному уровню шума. В списке автозагрузок обнаружил файл CAAServices.exe, расположение файла C:\ProgramData\CAAService

      3. Нагуглил, что это майнер, провёл проверку защитником Windows, обнаружил вирус:
      - Trojan:Win64/DisguisedXMRigMiner!rfn, затронутые элементы C:\ProgramData\CAAService\Microsoft Network Realtime lnspection Service.exe

      Далее, в исключениях обнаружил CAAServices.exe, убрал его из списка исключений. Вручную указал папку CAAService, и в ней он нашёл:
      - Trojan:Win32/Wacatac.H!ml, затронутые элементы C:\ProgramData\CAAService\CAAServices.exe

      Защитник удалил оба вируса. После рестарта компа в автозагрузках снова обнаружил этот CAAServices.exe. Повторил процедуру по поиску и удалению вируса, комп не перезагружал.

      4. Пришёл сюда на сайт, провёл проверку Kaspersky Virus Removal Tool, обнаружил два вируса (прикладываю скрин). После проверки данной утилитой и рестарта компа в автозагрузке майнер не появляется. В папке C:\ProgramData\CAAService исчез файл CAAServices.exe. Остались только файлы CAAServices.vdr и OpenCL.dll.

      5. Собрал логи с помощью AutoLogger, прикладываю архив.

      Скажите, пожалуйста, избавился ли я от майнера, или нужно предпринять ещё какие-то меры?

      CollectionLog-2025.07.10-12.42.zip
    • Aleks yakov
      Вирус шифровальщик kozanostra
      Автор Aleks yakov
      Здравствуйте  шифровальщик заразил 2 пк в локальной сети (kozanostra)
      Новая папка.zip
×
×
  • Создать...