Перейти к содержанию
Правила раздела
Летний корпоратив «Лаборатории Касперского» 2025. Как попасть?

Файл nbs07.sys

Tatyana

Автор Tatyana
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Tatyana Опытный

Tatyana

Опубликовано
Опубликовано (изменено)

Здравствуйте!

У меня такая проблема! Поймала вирус. Он жутко размножился - появилась целая куча файлов *.sys, которые находит Касперский, но хуже всего то, что он не только не может их вылечить, но, похоже, сам повредился. Он пишет, что файл svhost.exe не может соединиться с интернетом, и что какой-то процесс блокирует avp.exe. Получается такая картина:

1. Загружается Касперский;

2. пишет про svchost.exe и avp.exe;

3. вываливает один да другим красные уведомления, что я только и успеваю нажимать "Запретить";

4. а потом пишет, что найден файл nbs07.sys и спрашивает "Лечить" или "Игнорировать".

5. я нажимаю "Лечить" и сразу же комп сам по себе перезагружается;

6. после перезагрузки все сначала.

 

У меня еще такой вопрос. У меня куплен лицензионный ключ на один год. Если я переустановлю антивирус, то этот ключ подойдет или он только на 1 установку?

 

Кстати, я забыла написать, а это может быть важно. Вирус установился в момент обновления. Они совпали по времени. Касперский может быть уезвимым во время обновления?

Изменено пользователем Tatyana
Ссылка на комментарий
Поделиться на другие сайты
MedvedevUnited Ветеран

MedvedevUnited

Опубликовано
Опубликовано (изменено)

Здравствуйте!

 

Вы не пробовали загрузить систему в безопасном режиме и провести проверку компьютера?

Выполните, пожалуйста, вот эти правила.

 

Ключ можно использовать в течение срока его действия независимо от количества переустановок продукта.

Изменено пользователем MedvedevUnited
Ссылка на комментарий
Поделиться на другие сайты
Vsoft Опытный

Vsoft

Опубликовано
Опубликовано

Если возможно, отошлите один из этих *.sys на khooly@rambler.ru

Повреждение avp.exe - вполне возможно т.к. в режиме ядра (а там и находится вредонос) - ограничений нет. (с) Уолтер Они

Ссылка на комментарий
Поделиться на другие сайты
Tatyana Опытный

Tatyana

Опубликовано
  • Автор
Опубликовано
Вы не пробовали загрузить систему в безопасном режиме и провести проаерку компьютера?

Скажем так: я не очень разбираюсь в "мозгах" компьютера - я рядовой пользователь. Когда все работает, то все чудесно, но если подобные проблемы, то я не знаю, что делать, и, честно говоря, боюсь экспериментировать, но я попробую.

Выполните, пожалуйста, вот эти правила.

Ничего себе... :) Попробую разобраться...

 

Если возможно, отошлите один из этих *.sys на khooly@rambler.ru

А как это сделать?

Повреждение avp.exe - вполне возможно т.к. в режиме ядра (а там и находится вредонос) - ограничений нет. (с) Уолтер Они

А если я переустановлю Касперского, но вирус перед этим не удалю, то он при установке снова повредится?

Ссылка на комментарий
Поделиться на другие сайты
MedvedevUnited Ветеран

MedvedevUnited

Опубликовано
Опубликовано
А если я переустановлю Касперского, но вирус перед этим не удалю, то он при установке снова повредится?

 

Да, вполне такое может быть.

Ссылка на комментарий
Поделиться на другие сайты
MiStr Корифей

MiStr

Опубликовано
Опубликовано
Кстати, я забыла написать, а это может быть важно. Вирус установился в момент обновления. Они совпали по времени. Касперский может быть уезвимым во время обновления?

В обновлении пришла запись о новом вирусе, который сразу же обнаружился после применения обновлений.

Ссылка на комментарий
Поделиться на другие сайты
апкиш Новичок

апкиш

Опубликовано
Опубликовано
У меня еще такой вопрос. У меня куплен лицензионный ключ на один год. Если я переустановлю антивирус, то этот ключ подойдет или он только на 1 установку?

всё пучком будет, главное не забудьте переписать ваш персональный номер

да и вообще, коли как вы говорите у вас лицензия, прошу сюда http://www.kaspersky.ru/support

тут вам стопудняк помогут

Ссылка на комментарий
Поделиться на другие сайты
Tatyana Опытный

Tatyana

Опубликовано
  • Автор
Опубликовано (изменено)
да и вообще, коли как вы говорите у вас лицензия, прошу сюда

Я попробую сначала выполнить условия оформления запроса, ведь, наверное, туда все равно придется писать все данные. Кстати, похоже, что эти файлы *.sys - это не сама суть проблемы. Вчера я другим антивирусом нашла штук 12 Trojan-Downloader'ов. С ними реально бороться вообще? А то с утра был 1, а вечером уже 12. Они, похоже, невероятно быстро плодятся. :)

Изменено пользователем Tatyana
Ссылка на комментарий
Поделиться на другие сайты
Falcon Ветеран

Falcon

Опубликовано
Опубликовано
С ними реально бороться вообще? А то с утра был 1, а вечером уже 12. Они, похоже, невероятно быстро плодяться.

Trojan-Downloader - троянские программы этого класса предназначены для загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки «троянцев» или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются «троянцем» на автозагрузку в соответствии с возможностями операционной системы. Данные действия при этом происходят без ведома пользователя.

Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно с веб-страницы).

 

Бороться с ними вполне реально, если бороться правильно :)

Ссылка на комментарий
Поделиться на другие сайты
Tatyana Опытный

Tatyana

Опубликовано
  • Автор
Опубликовано

Я выполнила эти правила. Вот логи. Суть проблемы я изложила выше. Жду дальнейших инструкций.

 

Кстати, из-за проблем с моим лицензионным Касперским, я боюсь его запускать. Я проверила онлайновой версией важные секторы. Он ничего не нашел, но отчет я сохранила. Если нужно, могу его тоже добавить.

 

И еще такой вопрос. По инструкции я выключила восстановление системы. Когда эту функцию можно будет включить?

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.zip

sysinfo.zip

Ссылка на комментарий
Поделиться на другие сайты
akoK Ветеран

akoK

Опубликовано
Опубликовано
Windows XP:

Пуск > Пpогpаммы > Стандаpтные > Пpоводник Windows. (Start > Programs > Accessories > Windows Explorer)

Кликнуть пpавой кнопкой мыши на "Мой компьютеp" (My Computer). Выбpать "Свойства" (Properties).

Вкладка "Восстановление системы" (System Restore). Поставить птичку на "Запpетить восстановление системных файлов на всех дисках" (Turn off System Restore on all drives)

Hажать "Пpименить" (Apply). Появится сообщение, пpедупpеждающее об удалении всех точек восстановления. Подтвеpдить, нажав "ОК".

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('Wva38', 4);
SetServiceStart('tcpsr', 4);
SetServiceStart('rxU78', 4);
SetServiceStart('Rfu78', 4);
SetServiceStart('opX80', 4);
SetServiceStart('neR70', 4);
SetServiceStart('ndC57', 4);
SetServiceStart('Nbs07', 4);
SetServiceStart('Mpx48', 4);
SetServiceStart('jswmidin', 4);
SetServiceStart('Hru68', 4);
SetServiceStart('Bmc33', 4);
SetServiceStart('bnM44', 4);
SetServiceStart('msupdate', 4);
QuarantineFile('C:\WINDOWS\system32\Drivers\iqvw32.sys','');
QuarantineFile('C:\DOCUME~1\Tatjana\LOCALS~1\Temp\jswmidin.sys','');
QuarantineFile('c:\program files\gotview\remote.exe','');
QuarantineFile('c:\windows\system32\..\svchost.exe','');
DeleteFile('c:\windows\system32\..\svchost.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Bmc33.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\bnM44.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Hru68.sys');
DeleteFile('C:\DOCUME~1\Tatjana\LOCALS~1\Temp\jswmidin.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Mpx48.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Nbs07.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ndC57.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\neR70.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\opX80.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Rfu78.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\rxU78.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wva38.sys');
DeleteService('Wva38');
DeleteService('tcpsr');
DeleteService('rxU78');
DeleteService('msupdate');
DeleteService('bnM44');
DeleteService('Bmc33');
DeleteService('Hru68');
DeleteService('jswmidin');
DeleteService('Mpx48');
DeleteService('Nbs07');
DeleteService('ndC57');
DeleteService('neR70');
DeleteService('opX80');
DeleteService('Rfu78');
DelBHO('{7E853D72-626A-48EC-A868-BA8D5E23E045}');
BC_ImportALL;
BC_DeleteSvc('runtime2');
BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime2.sys');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Ссылка на комментарий
Поделиться на другие сайты
Tatyana Опытный

Tatyana

Опубликовано
  • Автор
Опубликовано
После выполнения скрипта компьютер перезагрузится.

Здесь возникла проблема. Компьютер, вроде, пошел на перезагрузку, вырубились все ярлыки на рабочем столе, все вообще исчезло, кроме самого рабочего стола. Он где-то минуту так провисел, и мне пришлось нажать кнопку перезагрузки на корпусе. Это ошибка? А архив карантина нормально сделался. Сейчас пришлю.

Ссылка на комментарий
Поделиться на другие сайты
akoK Ветеран

akoK

Опубликовано
Опубликовано

Выполните все действия для получения 

virusinfo_syscure.zip 
virusinfo_syscheck.zip 
hijackthis.zip
sysinfo.zip

 

Т.е. мне необходимо посмотреть как отработала AVZ и прописать дальнейший курс лечения.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Couita
      [РЕШЕНО] Касперский не обнаруживает Zam64.sys и ZamGuard64.sys
      Автор Couita
      Здравствуйте! 
      Подозреваю, что я заражен каким-то вирусом, или же остались его следы. Ранее до Касперского загрузил зараженный установщик игры (Trojan-Dropper), неизвестно, что он выполнил.
      Dr.Web CureIt! обнаруживает zam64.sys и zamguard64.sys.
      CollectionLog-2025.03.24-11.59.zip
    • Sgorick
      Переписанные файлы
      Автор Sgorick
      Добрый день. Прошу помощи, переименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. wuauserv я с помощью роликов переделал. bits существует в двух экземплярах, один из которых был bkp, но потом стал обычным.
      FRST.txt Addition.txt CollectionLog-2025.06.07-20.41.zip
    • tamerlan
      Зашифровались файлы
      Автор tamerlan
      Доброго дня. зашифровались все файлы в формат .danie 
      Волнует только расшифровать файл базы 1С, пото просто переустановлю систему и все. 
      Помогите пожалуйста.
    • Mep3aBEz
      Зашифровались файлы
      Автор Mep3aBEz
      Добрый день!
      6 мая 2025 года зашифровались файлы.
      Как проник вирус неизвестно.
       
      Произошло:
      Ночью на виртуалку на Win10x64 с включенным RDP в папку c:\users\admin\music попал файл AD.exe
      На самой виртуалке ничего не зашифровалось, но два рабочих компьютера на Win11, которые были включены в тот момент зашифровались.
      Также не зашифровался ни один (из 5) рабочий сервер на виртуалках с WS2022.
      С зашифрованных компов была удалена система, поэтому лог анализа системы прикрепить не могу, файл шифровальщика тоже не сохранили.
       
       
       
      encrypt_files.zip
    • robocop1974
      Зашифрованные файлы
      Автор robocop1974
      Добрый день. Если есть возможность выяснить есть ли дешифратор?
      Система была переустановлена (но имеется клон, для анализа смогу без проблем предоставить логи Farbar Recovery Scan Tool, но к сожалению позже).
      В архиве несколько зашифрованных файлов.
      *.txt, *.html файлов для выкупа не было. Но была папка с названием "DontDeleteThisFolder" в ней лежал файл "enc". Файл так же в архиве.
       
      Пробовал некоторые дешифраторы с сайта Касперского и Крипто-шерифа, но к сожалению безуспешно.
       
      Заранее спасибо за уделенное время!
       
      files.zip
×
×
  • Создать...