Перейти к содержанию
Правила раздела

Вирус img001.exe

Saiberex

Автор Saiberex
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Saiberex

Saiberex

Опубликовано
Опубликовано

По сети постоянно бегают вирус img001

создаёт папки admin, Administrator, по имени компа, по имени пользователя. В каждой из этих папок по пути (AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\img001.exe) еще по вирусу.

Антивирусник их видит, зачищает, и через какое-то время они опять возникают.

Причем, на каких-то машинах он их просто удаляет, а на каких-то требует перезагрузку по 20 раз на дню.

Каспер определяет их как Trojan.NSIS.Agent.pf
Куда копать?

 

Версия антивируса

Kaspersky Endpoint Security 10 10.2.5.3201 (mr3)

CollectionLog-2017.06.05-12.53.zip

Ссылка на комментарий
Поделиться на другие сайты
regist

regist

Опубликовано
Опубликовано (изменено)

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\IMG001.exe', '');
 QuarantineFile('C:\Windows\All Users\Start Menu\Programs\StartUp\IMG001.exe', '');
 QuarantineFile('C:\Users\All Users\Start Menu\Programs\Startup\IMG001.exe', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\IMG001.exe', '32');
 DeleteFile('C:\Windows\All Users\Start Menu\Programs\StartUp\IMG001.exe', '32');
 DeleteFile('C:\Users\All Users\Start Menu\Programs\Startup\IMG001.exe', '32');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 

- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Uninstall Tool\Uninstall Tool on the Web.lnk
C:\Program Files (x86)\Uninstall Tool\utool.url
C:\Users\Saiberex\Desktop\X-Change 2.lnk
C:\Users\Saiberex\Desktop\Slave Pageant.LNK
C:\Users\popov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Your Product\AVS Document Converter.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVS4YOU\AVS4YOU Software Navigator.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVS4YOU\AVS Update Manager.lnk
C:\Users\Saiberex\Desktop\Secret Viwes.lnk
C:\Users\popov\Desktop\Флешка\CD\CD54\Входное тестирование.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R-Studio\Uninstall R-Studio.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVS4YOU\Documents\AVS Document Converter.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NVIDIA Corporation\NVIDIA Photoshop Plug-ins 64 bit\License.lnk
C:\Users\popov\Links\Bitrix24.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Black & White 2\Readme v1.2.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Black & White 2\Readme v1.1.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Heart De Roommate\Heart De Roommate.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Heart De Roommate\Деинсталлировать Heart De Roommate.lnk
C:\Users\popov\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup (Disabled by AnVir)\MP3 Dancer.lnk
 

 

Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.
 


+ закройте доступ к общим ресурсам хотя бы под пароль.

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты
Saiberex

Saiberex

Опубликовано
  • Автор
Опубликовано

Ну, мне это поможет, наверное, а что делать с остальными 500стами компами в сети? С каждым такую процедуру проводить? А потом по второму кругу, потом по третьему...

Ссылка на комментарий
Поделиться на другие сайты
regist

regist

Опубликовано
Опубликовано

 

 


А потом по второму кругу, потом по третьему...
Читайте внимательно

 

 


закройте доступ к общим ресурсам хотя бы под пароль.

 

Или что вы от меня хотите? Чтобы произнёс волшебное заклинание, которое разом вылечит все ваши компы?


+ обновления безопасности все стоят?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • LexaXpNet
      Не могу удалить майнинг-вирус DOC001.exe
      Автор LexaXpNet
      Доброе время суток, пользуюсь продуктом Kaspersky Endpoint Security 12.3 в корпорации, лицензия все дела.... 
      Имеется большая локальная сеть, в которой часть рабочий мест без антивируса.
      Сама локальная сеть без доступа к интернету. 
      Само собой в локальной сети имеются расшаренные папки для работы с пользователями. 
      Затисался в сетке каким-то образом.. откуда-то... как я уже понял майнинг-вирус DOC001.exe, который при удалении всегда появляется снова... 
      На рабочих местах где стоит Каспер, он попадает, но потом его сразу же убивает Каспер...
      На других подобных местах и местах без Антивируса такая же беда.
      Пробовал удалять его СПО Malwarebytes и KVRT, как итог не вышло... Все равно появляется. 
      Люди добрые, как его побороть?) 

    • scaramuccia
      Как распаковать EXE
      Автор scaramuccia
      Всем привет!
      Касперский обнаружил объект HEUR:Trojan.Win32.Generic в установочном exe-файле. Скорее всего это ложное срабатывание, но все же.
      Он показывает полный путь к объекту: папка, архив, установочный файл и т. д. Как Касперский его так разбирает, если этот файл не распаковывается архиватором, пишет: "Ошибка. Есть данные после конца блока полезных данных"?
      Какие есть способы и ресурсы для этого?
      DIE показывает, что большую часть файла занимает оверлей, который хранит какую-то DLL.

    • farguskz
      вирус
      Автор farguskz
      приветствую, после установки дистрибутива скаченного с официального сайта, получили зашифрованные файлы с письмом, так говорят менеджеры, прочитал ваш пост далее обращаюсь к вам за помощью в этом вопросе, спасибо
      систем защиты на момент возникновения проблемы не было, только удалил для переустановки едпоинт, с перепугу установил малваре прекратил отправку данных и нашёл очень много ошибок
      virus.zip Addition.txt Shortcut.txt FRST.txt
    • Alexoon
      вирус powershell
      Автор Alexoon
      Подхватил какой-то вирус с почты. Постоянно открывается powershell и браузеры, т.е. по 5 раз в секунду
       
      Антивирусы ни один его не видят
      CollectionLog-2025.08.22-16.02.zip
    • monstr878
      Непонятный вирус!
      Автор monstr878
      Помогите пожалуйста попал в такую ситуацию. С начала после запуска пк не открывалось не одно приложение, понель задач и поиск. Антивирус отказывался запускать сканирование запуская
      бессконечную загрузку. Попробовали AVZ не помогло, но встроенный антивирус винды начал работать но также ничего не нашел. Дальше переустановил виндовс, после скачивания всех обновлений,
      При настройки браузеров скачивании приложений проблема возобновилась. Установил касперский он нашел одну папку, но после удаления папки ничего не поменялаось.
      Симптомы: на нажатие кнопки виндовс реакции нет, не открывается поиск, настройки виндовс, при попытки зайти в персонализацию пишет что такого приложения не обнаружено.
      Подскажите пожалуйста что это может быть и как это решить?
×
×
  • Создать...