Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Вирус помеля колировку фаилов ворд, эксель пдф

Alfistas
 Поделиться

Рекомендуемые сообщения

Alfistas Новичок

Alfistas

Опубликовано
Опубликовано (изменено)

Добрый день. Пришло письмо в бухгалтерию с вложенным файлом, после открытия на сетевых папках поменялась кодировка ворд, эксель и пдф, после сканирования KVRT нашел 2 вируса Backdoor.Win32.Androm.mgfm  C:\Documents and Settings\Галина\Local Settings\Temp\goodtdeaasdgb54.exe и HEUR:Trojan-Downloader.Script.Generic C:\Documents and Settings\Галина\Рабочий стол\1419214.gz. На рабочем столе появился скрытый файл реестра RUD1A-95AEK-GTERR-TXTOE-ETXZH-KFTRK-RYYYY.KEY.

 

Заражены только сетевые папки и локальный компьютер пользователя!

CollectionLog-2017.01.17-16.30.zip

Изменено пользователем Alfistas
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

 

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Далеко пойдете с такой дырявой системой. Вообще за такое нужно наказывать. 

 

Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP прекращена
 
Установите SP3 (может потребоваться активация) для Windows 
 
Установите Internet Explorer 8 (даже если им не пользуетесь)
 
Только после этого
 
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

3munStB.png
 
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Тут не пользователь виноват, а админ.

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
CloseProcesses:
2017-01-16 09:36 - 2017-01-16 09:36 - 00001088 ___RH C:\Documents and Settings\Галина\Application Data\RUD1A-95AEK-GTERR-TXTOE-ETXZH-KFTRK-RYYYY.KEY
2017-01-16 09:33 - 2017-01-16 09:36 - 02724280 _____ C:\Documents and Settings\Галина\Application Data\813320628
2017-01-16 09:36 - 2017-01-16 09:36 - 00001088 ___RH C:\RUD1A-95AEK-GTERR-TXTOE-ETXZH-KFTRK-RYYYY.KEY
2011-12-15 12:25 - 2011-12-15 12:25 - 0010338 _____ () C:\Documents and Settings\Галина\Local Settings\Application Data\SEC12A8.tmp
2011-12-19 12:55 - 2011-12-19 12:55 - 0010338 _____ () C:\Documents and Settings\Галина\Local Settings\Application Data\SEC1533.tmp
2011-11-15 18:37 - 2011-11-15 18:37 - 0010338 _____ () C:\Documents and Settings\Галина\Local Settings\Application Data\SEC2E9C.tmp
2011-11-16 14:49 - 2011-11-16 14:49 - 0010338 _____ () C:\Documents and Settings\Галина\Local Settings\Application Data\SEC33E5.tmp
2011-12-14 19:45 - 2011-12-14 19:46 - 0010338 _____ () C:\Documents and Settings\Галина\Local Settings\Application Data\SECF95.tmp
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Процитируйте содержимое этого C:\Documents and Settings\Галина\cleaner.bat файла.
Ссылка на комментарий
Поделиться на другие сайты
Alfistas Новичок

Alfistas

Опубликовано
  • Автор
Опубликовано (изменено)

Тут не пользователь виноват, а админ.

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
CloseProcesses:
2017-01-16 09:36 - 2017-01-16 09:36 - 00001088 ___RH C:\Documents and Settings\Галина\Application Data\RUD1A-95AEK-GTERR-TXTOE-ETXZH-KFTRK-RYYYY.KEY
2017-01-16 09:33 - 2017-01-16 09:36 - 02724280 _____ C:\Documents and Settings\Галина\Application Data\813320628
2017-01-16 09:36 - 2017-01-16 09:36 - 00001088 ___RH C:\RUD1A-95AEK-GTERR-TXTOE-ETXZH-KFTRK-RYYYY.KEY
2011-12-15 12:25 - 2011-12-15 12:25 - 0010338 _____ () C:\Documents and Settings\Галина\Local Settings\Application Data\SEC12A8.tmp
2011-12-19 12:55 - 2011-12-19 12:55 - 0010338 _____ () C:\Documents and Settings\Галина\Local Settings\Application Data\SEC1533.tmp
2011-11-15 18:37 - 2011-11-15 18:37 - 0010338 _____ () C:\Documents and Settings\Галина\Local Settings\Application Data\SEC2E9C.tmp
2011-11-16 14:49 - 2011-11-16 14:49 - 0010338 _____ () C:\Documents and Settings\Галина\Local Settings\Application Data\SEC33E5.tmp
2011-12-14 19:45 - 2011-12-14 19:46 - 0010338 _____ () C:\Documents and Settings\Галина\Local Settings\Application Data\SECF95.tmp
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Процитируйте содержимое этого C:\Documents and Settings\Галина\cleaner.bat файла.

 

"C:\Program Files\CCleaner\CCleaner.exe" /AUTO

Прикладываю фаил!!!

Fixlog.txt

Изменено пользователем Alfistas
Ссылка на комментарий
Поделиться на другие сайты
seka555 Новичок

seka555

Опубликовано
Опубликовано

Добрый день! У меня аналогичная проблема. Два дня назад поработал этот же вирус и так же оставил скрытый файл на рабочем столе.  Есть ли решение по данной проблеме.??

Ссылка на комментарий
Поделиться на другие сайты
Alfistas Новичок

Alfistas

Опубликовано
  • Автор
Опубликовано

Добрый день! У меня аналогичная проблема. Два дня назад поработал этот же вирус и так же оставил скрытый файл на рабочем столе.  Есть ли решение по данной проблеме.??

Решений нет по этой проблеме!

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

 

AV: ESET NOD32 Antivirus 4.0 (Enabled - Up to date) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}

Антивирус безнадежно устарел. Самое печальное в этой ситуации, что пока жаренным не запахнет никто ничего в организации делать не будет. Может быть после этого случая вы задумайтесь над резервным копированием важной информации и своевременным обновлением антивируса до последней версии! Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт). За расшифровкой обращайтесь в техподдержку вашего антивируса. 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sasaks11
      Вирус
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Ferri
      [РЕШЕНО] Обнауржен вирус CAAServieces.exe
      Автор Ferri
      Доброго времени суток.

      Столкнулась с проблемой майнер CAAServieces.exe. Начала искать способы по отключению, удалению вируса. Отключить отключила, Из реестра удалила, Удалила. Провела несколько проверок через антивирусы - чисто. Только при перезагрузке и некоторого времени (1-2 минуты) создается снова папка и файл с вирусом (но не запускается) по расположению: C:\ProgramData\CAAService.

      Прикладываю проверку с KVRT и AutoLogger.

      Найдя на форуме такую же проблему - уже решённую ранее - прикрепляю логи из FRST64

      CollectionLog-2025.07.19-02.48.zip Addition.txt FRST.txt
    • lostintired
      Вирус-майнер CAAServices.exe
      Автор lostintired
      Здравствуйте!
       
      Обращаюсь за помощью в полном удалении вредоносного ПО. Ранее на компьютере был обнаружен вирус, связанный с процессом CAAService.exe, который осуществлял майнинг. На тот момент мне удалось остановить вредоносную активность, и майнинг-процессы больше не наблюдаются.
      Однако, несмотря на это, файл CAAService.exe продолжает самовосстанавливаться по следующему пути: "C:\ProgramData\CAAService\CAAService.exe"
       
      Удалял вручную — файл вновь появляется сам, также сам себя добавляет в исключения защитника Windows. Также пытался выполнить рекомендации, приведённые в ТЕМЕ, но проблема не была полностью решена — папка и исполняемый файл восстанавливаются.
      Прошу помощи в полном удалении остаточных компонентов этой угрозы. Готов предоставить все необходимые логи и выполнить диагностику согласно требованиям форума.
      Заранее благодарю за помощь.
      CollectionLog-2025.07.18-23.17.zip
      Addition.txt FRST.txt
    • composer1995
      [РЕШЕНО] Вирус CAAServices.exe
      Автор composer1995
      Добрый день!

      Столкнулся с вирусом CAAServices.exe. Изложу последовательно события и свои действия:

      1. Центр обновления Windows установил обновления (не знаю, связано ли это с дальнейшей проблемой)
      - Накопительное обновление для Windows 11 Version 24H2 для систем на базе процессоров x64, 2025 07 (KB5062553)
      - 2025-07 Накопительное обновление .NET Framework 3.5 и 4.8.1 для Windows 11, version 24H2 для x64-разрядных систем (KB5056579)

      2. После обновления комп перезагрузился и в простое на рабочем столе начал сильно шуметь. Я решил проверить диспетчер задач и заглянуть в автозагрузки. В этот момент комп уже остыл и вернулся к нормальному уровню шума. В списке автозагрузок обнаружил файл CAAServices.exe, расположение файла C:\ProgramData\CAAService

      3. Нагуглил, что это майнер, провёл проверку защитником Windows, обнаружил вирус:
      - Trojan:Win64/DisguisedXMRigMiner!rfn, затронутые элементы C:\ProgramData\CAAService\Microsoft Network Realtime lnspection Service.exe

      Далее, в исключениях обнаружил CAAServices.exe, убрал его из списка исключений. Вручную указал папку CAAService, и в ней он нашёл:
      - Trojan:Win32/Wacatac.H!ml, затронутые элементы C:\ProgramData\CAAService\CAAServices.exe

      Защитник удалил оба вируса. После рестарта компа в автозагрузках снова обнаружил этот CAAServices.exe. Повторил процедуру по поиску и удалению вируса, комп не перезагружал.

      4. Пришёл сюда на сайт, провёл проверку Kaspersky Virus Removal Tool, обнаружил два вируса (прикладываю скрин). После проверки данной утилитой и рестарта компа в автозагрузке майнер не появляется. В папке C:\ProgramData\CAAService исчез файл CAAServices.exe. Остались только файлы CAAServices.vdr и OpenCL.dll.

      5. Собрал логи с помощью AutoLogger, прикладываю архив.

      Скажите, пожалуйста, избавился ли я от майнера, или нужно предпринять ещё какие-то меры?

      CollectionLog-2025.07.10-12.42.zip
    • Aleks yakov
      Вирус шифровальщик kozanostra
      Автор Aleks yakov
      Здравствуйте  шифровальщик заразил 2 пк в локальной сети (kozanostra)
      Новая папка.zip
×
×
  • Создать...