Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Три наглых вируса

Neue

Автор Neue
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Neue Новичок

Neue

Опубликовано
Опубликовано

Здравствуйте, Лаборатория Касперского!

 

Антивирусом Касперского был обнаружен вирус Heur.Trojan.Generic (модификация) в файле C:\windows\system32\ntos.exe, временами (!) находил еще wsnpoem. При попытке удалить ntos.exe вирус создавал свою резервную копию, антивирус пытался удалить и ее, но зависал. Приходилось перезагружать компьютер аппаратно. Хотя антивирус выдавал сообщение, что вирус будет удален при перезагрузке компьютера, но так как он зависал мне не получалось программно перезагрузить Windows XP (SP2).

Потом я решил проверить компьютер утилитой klwk_personal. Проверка с помощью этой утилиты (ntos.exe был найден и обезврежен в середине июня 2008 года, но вот сейчас появился вновь) показала, что в реестре (не уверен точно) был найден троян Trojan-Spy.Win32.Banker.cmb <variants>. После этого утилита пыталась удалить данный вирус, но также зависла и мне пришлось аппаратно перезагрузить компьютер. Кроме этого я сделал еще следующее:

1. Из папки C:\windows\prefetch удалил следующие файлы: GENERIC.EXE-30B42295.pf, NTOSBOOT-B00DFAAD.pf и NTOS.EXE... (создав их резервные копии);

2. По адресу C:\windows\system32\ был обнаружен файл 03.exe, который был также удален мною размером 99.2 КБ (дата изменения 10 сентября 2008 4:03) - примерно в это время и был обнаружен ntos.exe впервый раз;

3. В папке C:\windows\ был обнаружен файл url1.bat, который был удален мною (изменен 10 сентября 2008 в 14:31);

4. По адресу C:\windows\temp были обнаружены и удалены мною следующие файлы: SYS1.tmp (0 байт), SYS1F7.tmp (0 байт), SYS1F8.tmp (0), SYS1F9.tmp и SYS31A.tmp, а также несколько исполняемых файлов SYS1.tmp.exe, SYS1F7.tmp.exe, SYS1F8.tmp.exe и SYS31A.tmp.exe.

После этих действий и проверки с помощью klwk.exe компьютер был аппаратно перезагружен и при проверке критических областей с помощью Антивируса Касперского вирусов обнаружено не было. Потом проверил всю C:\windows и так же не обнаружил вирус. Вчера (12 сентября) проверял многократно критические области и пару раз C:\windows, но ничего обнаружено не было.

Затем компьютер был поставлен на полную проверку и был обнаружен вирус Trojan-Spy.win32.Zbot.eua (в файлах C:\windows\temp\*.tmp.exe - описаны выше) а также по адресу C:\System Volume Information\.....\A0199807.exe --- все эти вирусы Zbot были удалены.

 

Итак у меня вопрос избавился ли я от этих вирусов? И если нет, то что еще можно сделать. На сегодняшний день антивирусные базы новые - от 12.09.2008. Ответьте пожалуйста, заранее всем спасибо

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • kazakova
      вирус banta
      Автор kazakova
      Добрый день! Подверглись вирусной атаке, все необходимые файлы приложила, пароль на архив 123. Есть ли возможность восстановить файлы?
       
       
       
       
      логи.rarфайлы_зашифрованные.rarфайлы_шифровальщика.rar
    • composer1995
      [РЕШЕНО] Вирус CAAServices.exe
      Автор composer1995
      Добрый день!

      Столкнулся с вирусом CAAServices.exe. Изложу последовательно события и свои действия:

      1. Центр обновления Windows установил обновления (не знаю, связано ли это с дальнейшей проблемой)
      - Накопительное обновление для Windows 11 Version 24H2 для систем на базе процессоров x64, 2025 07 (KB5062553)
      - 2025-07 Накопительное обновление .NET Framework 3.5 и 4.8.1 для Windows 11, version 24H2 для x64-разрядных систем (KB5056579)

      2. После обновления комп перезагрузился и в простое на рабочем столе начал сильно шуметь. Я решил проверить диспетчер задач и заглянуть в автозагрузки. В этот момент комп уже остыл и вернулся к нормальному уровню шума. В списке автозагрузок обнаружил файл CAAServices.exe, расположение файла C:\ProgramData\CAAService

      3. Нагуглил, что это майнер, провёл проверку защитником Windows, обнаружил вирус:
      - Trojan:Win64/DisguisedXMRigMiner!rfn, затронутые элементы C:\ProgramData\CAAService\Microsoft Network Realtime lnspection Service.exe

      Далее, в исключениях обнаружил CAAServices.exe, убрал его из списка исключений. Вручную указал папку CAAService, и в ней он нашёл:
      - Trojan:Win32/Wacatac.H!ml, затронутые элементы C:\ProgramData\CAAService\CAAServices.exe

      Защитник удалил оба вируса. После рестарта компа в автозагрузках снова обнаружил этот CAAServices.exe. Повторил процедуру по поиску и удалению вируса, комп не перезагружал.

      4. Пришёл сюда на сайт, провёл проверку Kaspersky Virus Removal Tool, обнаружил два вируса (прикладываю скрин). После проверки данной утилитой и рестарта компа в автозагрузке майнер не появляется. В папке C:\ProgramData\CAAService исчез файл CAAServices.exe. Остались только файлы CAAServices.vdr и OpenCL.dll.

      5. Собрал логи с помощью AutoLogger, прикладываю архив.

      Скажите, пожалуйста, избавился ли я от майнера, или нужно предпринять ещё какие-то меры?

      CollectionLog-2025.07.10-12.42.zip
    • sekvoya
      [РЕШЕНО] Подозрение на ВИРУС
      Автор sekvoya
      В браузере появляется расширение AdBlock, которое ломает разметку. При удалении расширения все становится нормально. Однако, после перезапуска ПК, расширение появляется в браузере вновь. Также в папке Temp появляется папка, которую нельзя удалить "2xzjmmugjeoboytjoc0goumkkhc"
      CollectionLog-2025.07.05-18.18.zip
    • sasaks11
      Вирус
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Ferri
      [РЕШЕНО] Обнауржен вирус CAAServieces.exe
      Автор Ferri
      Доброго времени суток.

      Столкнулась с проблемой майнер CAAServieces.exe. Начала искать способы по отключению, удалению вируса. Отключить отключила, Из реестра удалила, Удалила. Провела несколько проверок через антивирусы - чисто. Только при перезагрузке и некоторого времени (1-2 минуты) создается снова папка и файл с вирусом (но не запускается) по расположению: C:\ProgramData\CAAService.

      Прикладываю проверку с KVRT и AutoLogger.

      Найдя на форуме такую же проблему - уже решённую ранее - прикрепляю логи из FRST64

      CollectionLog-2025.07.19-02.48.zip Addition.txt FRST.txt
×
×
  • Создать...