Перейти к содержанию

Три наглых вируса


Рекомендуемые сообщения

Здравствуйте, Лаборатория Касперского!

 

Антивирусом Касперского был обнаружен вирус Heur.Trojan.Generic (модификация) в файле C:\windows\system32\ntos.exe, временами (!) находил еще wsnpoem. При попытке удалить ntos.exe вирус создавал свою резервную копию, антивирус пытался удалить и ее, но зависал. Приходилось перезагружать компьютер аппаратно. Хотя антивирус выдавал сообщение, что вирус будет удален при перезагрузке компьютера, но так как он зависал мне не получалось программно перезагрузить Windows XP (SP2).

Потом я решил проверить компьютер утилитой klwk_personal. Проверка с помощью этой утилиты (ntos.exe был найден и обезврежен в середине июня 2008 года, но вот сейчас появился вновь) показала, что в реестре (не уверен точно) был найден троян Trojan-Spy.Win32.Banker.cmb <variants>. После этого утилита пыталась удалить данный вирус, но также зависла и мне пришлось аппаратно перезагрузить компьютер. Кроме этого я сделал еще следующее:

1. Из папки C:\windows\prefetch удалил следующие файлы: GENERIC.EXE-30B42295.pf, NTOSBOOT-B00DFAAD.pf и NTOS.EXE... (создав их резервные копии);

2. По адресу C:\windows\system32\ был обнаружен файл 03.exe, который был также удален мною размером 99.2 КБ (дата изменения 10 сентября 2008 4:03) - примерно в это время и был обнаружен ntos.exe впервый раз;

3. В папке C:\windows\ был обнаружен файл url1.bat, который был удален мною (изменен 10 сентября 2008 в 14:31);

4. По адресу C:\windows\temp были обнаружены и удалены мною следующие файлы: SYS1.tmp (0 байт), SYS1F7.tmp (0 байт), SYS1F8.tmp (0), SYS1F9.tmp и SYS31A.tmp, а также несколько исполняемых файлов SYS1.tmp.exe, SYS1F7.tmp.exe, SYS1F8.tmp.exe и SYS31A.tmp.exe.

После этих действий и проверки с помощью klwk.exe компьютер был аппаратно перезагружен и при проверке критических областей с помощью Антивируса Касперского вирусов обнаружено не было. Потом проверил всю C:\windows и так же не обнаружил вирус. Вчера (12 сентября) проверял многократно критические области и пару раз C:\windows, но ничего обнаружено не было.

Затем компьютер был поставлен на полную проверку и был обнаружен вирус Trojan-Spy.win32.Zbot.eua (в файлах C:\windows\temp\*.tmp.exe - описаны выше) а также по адресу C:\System Volume Information\.....\A0199807.exe --- все эти вирусы Zbot были удалены.

 

Итак у меня вопрос избавился ли я от этих вирусов? И если нет, то что еще можно сделать. На сегодняшний день антивирусные базы новые - от 12.09.2008. Ответьте пожалуйста, заранее всем спасибо

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • sasaks11
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Nickopol
      Автор Nickopol
      HEUR:Trojan.Win64.Miner.gen (так определил касперский). Как избавиться без переустановки винды? Создаёт папку в ProgramData типа paperprotector-1c42cf80-e801-4c6e-8375-3b7be1b4649c. paperprotector.exe - запускаемый файл 
    • nooky910
      Автор nooky910
      Добрый день. Заметил, что при играх резкая просадка фпс началась. Лечил 2 таблетками, но безуспешно. Бесконечно создается сам. Так же был замечен xmring miner, но таблетка его вроде пыталась удалить. 


       
      CollectionLog-2025.05.24-17.36.zip
    • Lionz
      Автор Lionz
      При открытии папки Program Data, проводник закрывается, такая же проблема с браузером, если открыты вкладки про ударение вируса. И схожая проблема с диспетчером задач.
    • SonG
      Автор SonG
      Добрый день!  На Server 2022 (Standart) появились вирусы.
      1. Сначала был Trojan.Win32.SEPEH, но после 3-4 проверок Kaspersky Endpoint Security, пропал. В это время уже центр обновлений не работал
      2. Дальше полез в реестр и слкжбы службы. На службах wuauserv, usosvc, BITS, WaaSMedicSvc, DoSvc, wuaserv, был постфикс "_bak" (оригиналы при этом были). Удалил из под безопасного режима, прогнал антивирусом и перезапустился. Вроде больше не появлялись.
       
      Теперь центр обновлений так и не работает, но на глаз попались другие службы, где уже другие названия:
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CaptureService_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cbdhsvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CDPUserSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ConsentUxUserSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CredentialEnrollmentManagerUserSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DeviceAssociationBrokerSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DevicePickerUserSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DevicesFlowUserSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PimIndexMaintenanceSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PrintWorkflowUserSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UdkUserSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UnistoreSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UserDataSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WpnUserService_b1e5e  
      Что делать, куда "копать" ?) 
      Физический доступ к серверу бывает раз в день (99% операций провожу под RDP)
      CollectionLog-2025.06.01-16.59.zip FRST.txt Addition.txt
×
×
  • Создать...