Перейти к содержанию

.better_call_saul вирус троян?

AdmMez
 Поделиться

Рекомендуемые сообщения

AdmMez

AdmMez

Опубликовано
  • Автор
Опубликовано

 

выполнил скрипт

Какой? Вы прошли по ссылке?

Ждем CollectionLog.zip - результат работы программы Autologger.

 

Вот этот вроде надо?

CollectionLog-2016.03.22-17.22.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.
 
Выполните скрипт в AVZ (Файл - Выполнить скрипт):
 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\documents and settings\user\local settings\application data\ixkxsoft\95df7314.exe');
 TerminateProcessByName('c:\documents and settings\all users.windows\application data\windows\csrss.exe');
 QuarantineFile('C:\WINDOWS\system32\VyLBSsBEGthkXH.exe','');
 QuarantineFile('c:\documents and settings\user\local settings\application data\ixkxsoft\95df7314.exe','');
 QuarantineFile('c:\documents and settings\all users.windows\application data\windows\csrss.exe', '');
 QuarantineFile('C:\Documents and Settings\User\Local Settings\Application Data\YmzjPack\slcgacpl.dll', '');
 QuarantineFile('C:\Documents and Settings\User\Рабочий стол\Неиспользуемые ярлыки\Google Chrome.lnk', '');
 QuarantineFile('C:\Documents and Settings\User\Рабочий стол\Неиспользуемые ярлыки\Opera.lnk', '');
 QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\Mail.Ru Агент.lnk', '');
 QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Главное меню\Программы\Портал СУФД\Портал СУФД.lnk', '');
 QuarantineFile('C:\Documents and Settings\Главбух\Local Settings\Application Data\Google\chrome.bat', '');
 QuarantineFile('C:\opera.bat', '');
 QuarantineFile('C:\FirefoxPortable.bat', '');
 QuarantineFileF('C:\Documents and Settings\Главбух\Local Settings\Application Data\Google', '*', true, '', 0, 0);
 DeleteFile('c:\documents and settings\user\local settings\application data\ixkxsoft\95df7314.exe','32');
 DeleteFile('C:\WINDOWS\system32\VyLBSsBEGthkXH.exe','32');
 DeleteFile('C:\Documents and Settings\Главбух\Local Settings\Application Data\Google\chrome.bat', '');
 DeleteFile('C:\opera.bat', '');
 DeleteFile('C:\FirefoxPortable.bat', '');
 DeleteFile('c:\documents and settings\all users.windows\application data\windows\csrss.exe', '32');
 DeleteFile('C:\Documents and Settings\User\Local Settings\Application Data\YmzjPack\slcgacpl.dll', '32');
 DeleteFileMask('C:\Documents and Settings\Главбух\Local Settings\Application Data\Google', '*', true);
 DeleteDirectory('C:\Documents and Settings\Главбух\Local Settings\Application Data\Google');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ixkxsoft');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
 

 
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:
 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com
 
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Раз уж Вы самостоятельно очистили, то нужно было и эту строку пометить:

***** [ Файлы ] *****
 
Файл Найдено : C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\User Data\Default\Local Extension Settings\dldcbakcjliccckkmfjcblhciilpdcil

 
Файл

C:\AdwCleaner\AdwCleaner[C1].txt

тоже покажите.
 
 
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".
 
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
AdmMez

AdmMez

Опубликовано
  • Автор
Опубликовано

KLAN-3992020961,

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

95df7314.exe,
Google Chrome.lnk,
Opera.lnk,
Mail.Ru Агент.lnk,
Портал СУФД.lnk,
bcqr00009.dat,
bcqr00010.dat,
bcqr00011.dat,
bcqr00012.dat,
bcqr00015.dat,
bcqr00016.dat

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

csrss.exe - Trojan.Win32.Fsysna.czqx

Детектирование файла будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ruhttp://www.viruslist.ru"


Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.

95df7314.exe,
Google Chrome.lnk,
Opera.lnk,
Mail.Ru Агент.lnk,
Портал СУФД.lnk,
bcqr00009.dat,
bcqr00010.dat,
bcqr00011.dat,
bcqr00012.dat,
bcqr00015.dat,
bcqr00016.dat

A set of unknown files has been received. They will be sent to the Virus Lab.

csrss.exe - Trojan.Win32.Fsysna.czqx

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.comhttp://www.viruslist.com"
 

 

Addition.txt

FRST.txt

Shortcut.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
CHR Extension: (Универсальный перевод для Chrome) - C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\gdalhedleemkkdjddjgfjmcnbpejpapp [2015-04-17]
CHR Extension: (Удаление рекламы в интернете) - C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\feoemeampplpladbjblhhbnkabehflpi [2015-04-29]
2016-03-22 10:54 - 2016-03-22 10:54 - 00002708 _____ C:\Documents and Settings\User\Рабочий стол\README9.txt
2016-03-22 10:54 - 2016-03-22 10:54 - 00002708 _____ C:\Documents and Settings\User\Рабочий стол\README8.txt
2016-03-22 10:54 - 2016-03-22 10:54 - 00002708 _____ C:\Documents and Settings\User\Рабочий стол\README7.txt
2016-03-22 10:54 - 2016-03-22 10:54 - 00002708 _____ C:\Documents and Settings\User\Рабочий стол\README6.txt
2016-03-22 10:54 - 2016-03-22 10:54 - 00002708 _____ C:\Documents and Settings\User\Рабочий стол\README5.txt
2016-03-22 10:54 - 2016-03-22 10:54 - 00002708 _____ C:\Documents and Settings\User\Рабочий стол\README4.txt
2016-03-22 10:54 - 2016-03-22 10:54 - 00002708 _____ C:\Documents and Settings\User\Рабочий стол\README3.txt
2016-03-22 10:54 - 2016-03-22 10:54 - 00002708 _____ C:\Documents and Settings\User\Рабочий стол\README2.txt
2016-03-22 10:54 - 2016-03-22 10:54 - 00002708 _____ C:\Documents and Settings\User\Рабочий стол\README10.txt
2016-03-22 10:54 - 2016-03-22 10:54 - 00002708 _____ C:\Documents and Settings\User\Рабочий стол\README1.txt
2016-03-22 10:54 - 2016-03-22 10:54 - 00002708 _____ C:\Documents and Settings\All Users.WINDOWS\Рабочий стол\README9.txt
2016-03-22 10:54 - 2016-03-22 10:54 - 00002708 _____ C:\Documents and Settings\All Users.WINDOWS\Рабочий стол\README8.txt
2016-03-22 10:54 - 2016-03-22 10:54 - 00002708 _____ C:\Documents and Settings\All Users.WINDOWS\Рабочий стол\README7.txt
2016-03-22 10:54 - 2016-03-22 10:54 - 00002708 _____ C:\Documents and Settings\All Users.WINDOWS\Рабочий стол\README6.txt
2016-03-22 10:54 - 2016-03-22 10:54 - 00002708 _____ C:\Documents and Settings\All Users.WINDOWS\Рабочий стол\README5.txt
2016-03-22 10:54 - 2016-03-22 10:54 - 00002708 _____ C:\Documents and Settings\All Users.WINDOWS\Рабочий стол\README4.txt
2016-03-22 10:54 - 2016-03-22 10:54 - 00002708 _____ C:\Documents and Settings\All Users.WINDOWS\Рабочий стол\README3.txt
2016-03-22 10:54 - 2016-03-22 10:54 - 00002708 _____ C:\Documents and Settings\All Users.WINDOWS\Рабочий стол\README2.txt
2016-03-22 10:54 - 2016-03-22 10:54 - 00002708 _____ C:\Documents and Settings\All Users.WINDOWS\Рабочий стол\README10.txt
2016-03-22 10:54 - 2016-03-22 10:54 - 00002708 _____ C:\Documents and Settings\All Users.WINDOWS\Рабочий стол\README1.txt
2016-03-22 10:38 - 2016-03-22 10:38 - 00002708 _____ C:\README9.txt
2016-03-22 10:38 - 2016-03-22 10:38 - 00002708 _____ C:\README8.txt
2016-03-22 10:38 - 2016-03-22 10:38 - 00002708 _____ C:\README7.txt
2016-03-22 10:38 - 2016-03-22 10:38 - 00002708 _____ C:\README6.txt
2016-03-22 10:38 - 2016-03-22 10:38 - 00002708 _____ C:\README5.txt
2016-03-22 10:38 - 2016-03-22 10:38 - 00002708 _____ C:\README4.txt
2016-03-22 10:38 - 2016-03-22 10:38 - 00002708 _____ C:\README3.txt
2016-03-22 10:38 - 2016-03-22 10:38 - 00002708 _____ C:\README2.txt
2016-03-22 10:38 - 2016-03-22 10:38 - 00002708 _____ C:\README10.txt
2016-03-22 10:38 - 2016-03-22 10:38 - 00002708 _____ C:\README1.txt
2016-03-22 10:28 - 2016-03-22 17:49 - 00000000 __SHD C:\Documents and Settings\All Users.WINDOWS\Application Data\Windows
2016-03-22 10:28 - 2016-03-22 17:49 - 00000000 __SHD C:\Documents and Settings\All Users.WINDOWS\Application Data\Windows
2016-03-22 11:01 - 2016-03-22 17:50 - 00000000 ____D C:\Documents and Settings\User\Local Settings\Application Data\YmzjPack
2016-03-22 11:01 - 2016-03-22 17:50 - 00000000 ____D C:\Documents and Settings\User\Local Settings\Application Data\Ixkxsoft
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

Ярлыки

C:\Documents and Settings\User\Рабочий стол\Неиспользуемые ярлыки\Google Chrome.lnk

C:\Documents and Settings\User\Рабочий стол\Неиспользуемые ярлыки\Opera.lnk

C:\Documents and Settings\All Users.WINDOWS\Главное меню\Программы\Портал СУФД\Портал СУФД.lnk

исправьте с помощью утилиты ClearLNK.

Отчет в виде файла ClearLNK-<Дата>.log прикрепите к следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано

+

 

 

Антивирус Касперского 6.0 для Windows Workstations (HKLM\...\{8F023021-A7EB-45D3-9269-D65264C81729}) (Version: 6.0.4.1611 - Лаборатория Касперского)

Антивирус уже давно снят с поддержки. Обновляйтесь до KES 10! Переход на новую версию бесплатный.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Екатерина12165
      Троян не удалился
      Автор Екатерина12165
      Всем привет. У меня винда 11.
      Недавно появились такие файлы и папки с иконкой моего антивирусника, но со странными названия, внутри папок был текст на латинице. Мой антивирусник "pro 32 ultimate security" не нашел вирусов. Прогнала ноут через DR.WEB он нашел вирус, после удаления и перезарузки ноута, файлы остались. Скачала касперского, тот нашел троян, также три раза прогнала через проверку, в первый раз якобы удалился троян и вирусы, а в след. разы пыталась таким способом удалить файлы, которые остались, также 0 результата, хотя вирусы вроде бы удалились, но что меня пугает это остаточные файлы и папки, они обновляются ежедневно. 
      Ранее скачивала через проверенный торрент игрушки... Мб из-за этого словила вирусы.
      Также Ярлыки и игрушки купленные в стиме открываются раз через раз, + иногда рабочий стол не откликается, просто не кликается.
      По поводу ярлыков и приложений, через диспетчер задач снимала их, после пыталась открыть, но без результата, помогала только перезагрузка на +- 2-3 раз. 
      Помогите, пожалуйста, убрать всё таки вирусы или трояны.  



    • varzi_73
      Троян trojan.multi.aum
      Автор varzi_73
      Добрый день! подцепил троян. Как восстановить данные?
      RDesk_Backup.rar
    • Scalpu
      Троян после перезапуска запускает powershell.exe
      Автор Scalpu
      Привет. Месяца 2 назад непонятно откуда поймал, видимо, троян. Проявлялся он так что в играх падал фпс при загрузке гпу 99% и работа видюхи не прерывалась даже при обычной работе в системе.
      В автозагрузке всё ещё присутствует некий файл WinAIHservice. По пути (C:)/ProgramData была папка WinAIHservice, но я её удалял и вроде всё в порядке было это время. Но недавно решил скачать антивирус malwarebytes и он блокировал активацию powershell.exe при каждой перезагрузке, то есть какой-то скрипт всё ещё находится у меня на пк + из автозагрузки этот WinAIHservice удалить невозможно. Прилагаю по правилам collection log + лог malwarebytes. Спасибо!
       
      Malwarebytes Отчет о заблокированных веб-сайтах 2025-08-15 213943.txt CollectionLog-2025.08.16-03.11.zip
    • MirTa
      Троян ISTANBULTEAM зашифровал файлы
      Автор MirTa
      Здравствуйте, вчера в два этапа  10.00 и  20.00 оказались зашифрованы почти все файлы, в том числе и архиватор, поэтому не могу сложить в архив и не могу их прикрепить, подскажите, пожалуйста, как их сюда добавить
      Important_Notice.txt Addition.txt FRST.txt
    • user344
      Поймал майнер или троян
      Автор user344
      Здравствуйте! Недавно компьютер в простое начинает переодически нагружаться до 100%, вентиляторы начинают крутить на полную в течении 5-10 минут, только начинаешь водить мышкой по рабочему столу, то сразу же нагрузка падает до дефолтных значений. Проверял лечащай утилитой др.веб и kvrt они вирусов не нашли.
      CollectionLog-2025.06.25-21.11.zip
×
×
  • Создать...