Перейти к содержанию

подозрение на mirai


abonchak

Рекомендуемые сообщения

@abonchak, выполняйте, что написано выше.

 

 

Я тут устанавил Malwarebytes.

лучше бы хоть триального касперского поставили. Не пришлось бы тогда постоянно долечивать с помощью KVRT. На данный момент антивируса как понимаю ни одного нет?

И установленный касперский возможно полностью пролечил бы систему.

Да не могу я антивирус поставить, не запускается он. У меня лицензия каспера, а толку то. Малвар еще заблокировал попытку подключения sqlserver к непонятному адресу. Может через него вся эта зараза восстанавливается?!

Ссылка на комментарий
Поделиться на другие сайты

 

 


не могу я антивирус поставить, не запускается он.
подробней, что пишет можно узнать?

 

 


У меня лицензия каспера
почему бы тогда не обратиться в тех. поддержку?

 

И до сих пор жду запрошенное в предыдщем посте (на предыдущей странице).

Ссылка на комментарий
Поделиться на другие сайты

Логи

Еще от Malwarebytes то, что в интернет ломилось(на всякий случай).


 


не могу я антивирус поставить, не запускается он.
подробней, что пишет можно узнать?

 

 


У меня лицензия каспера
почему бы тогда не обратиться в тех. поддержку?

 

И до сих пор жду запрошенное в предыдщем посте (на предыдущей странице).

 

Скрин ошибки.

Обращался в тех.поддержку. Лицензия стандарт, сказали что она не включает услугу по помощи в удалении вируса. Вот такой вот он, платный касперский.

SERVER_2018-09-04_09-02-02.7z

GMER_LOG.log

Malwarebytes.txt

Malwarebytes_2.txt

post-50699-0-06661900-1536025412_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты

 

 


Обращался в тех.поддержку. Лицензия стандарт, сказали что она не включает услугу по помощи в удалении вируса.
Вы обращались сюда https://my.kaspersky.com/ ? Удаление вирусов насколько знаю входит в их обязанности.

 

-------------------------------------------

по логам чуть позже дам ответ.


У меня есть подозрение, что там буткит.

Проверьтесь с помощью https://support.kaspersky.ru/viruses/krd18, Просьба заскриньте или как-то сохраните, что он там найдёт и прикрепите потом.

И у вас ещё остатки от Eset видно, надо их удалить https://safezone.cc:443/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/


 

 


Вы обращались сюда https://my.kaspersky.com/ ?
точней у вас лицензия наверно на корпоративный продутк, так что надо сюда https://companyaccount.kaspersky.com/
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

 

Обращался в тех.поддержку. Лицензия стандарт, сказали что она не включает услугу по помощи в удалении вируса.

Вы обращались сюда https://my.kaspersky.com/ ? Удаление вирусов насколько знаю входит в их обязанности.

 

-------------------------------------------

по логам чуть позже дам ответ.

У меня есть подозрение, что там буткит.

Проверьтесь с помощью https://support.kaspersky.ru/viruses/krd18, Просьба заскриньте или как-то сохраните, что он там найдёт и прикрепите потом.

И у вас ещё остатки от Eset видно, надо их удалить https://safezone.cc:443/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/

 

companyaccount.kaspersky.com сюда обращался

с загрузочного диска не знаю пока, когда проверю(машина в работе, надо время выбирать)

Eset критично удалять? Потому что не хочется заного сеть настраивать.

Ссылка на комментарий
Поделиться на другие сайты

 

 


Eset критично удалять? Потому что не хочется заного сеть настраивать.
так на данный момент судя по лонам он у вас и не стоит, только хвосты от него в реестре. Так что надо дочистить эти хвосты.
Ссылка на комментарий
Поделиться на другие сайты

  • 2 weeks later...

 

 


Прикрепленные изображения
значит был прав, у вас был буткит Trojan.Boot.DarkGalaxy.a.

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Ссылка на комментарий
Поделиться на другие сайты

Уязвимостей не обнаружено.

 

Но, вирусняк снова пытается проникнуть(антивирус пока справляется). Отчет каспера. Можно ли как-нибудь SQL вылечить?

отчет каспера.txt

Ссылка на комментарий
Поделиться на другие сайты

Проверьте эти файлы на virustotal

C:\Windows\system\cabs.exe
C:\Windows\Temp\v.exe
 

кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты

каспер же их убивает. Не найду я их.

Не зря значит Malwarebytes ругался на SQL. Видимо через него как-то лезит.

Изменено пользователем abonchak
Ссылка на комментарий
Поделиться на другие сайты

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

  • Скачайте Universal Virus Sniffer (uVS)
  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

И утилиту скачайте заново, за это время она обновилась.

Ссылка на комментарий
Поделиться на другие сайты

1) Удалите остатки от ESET FILE SECURITY

2)

  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.0.15 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    BREG
    ;---------command-block---------
    delref %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\UTILITES\REGCLEANER\WISEREGISTRYCLEANER.EXE
    delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
    delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
    delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
    delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
    delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
    delref {6BF52A52-394A-11D3-B153-00C04F79FAA6}\[CLSID]
    delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
    zoo %Sys32%\DRIVERS\KYRYVNHG.SYS
    delall %Sys32%\DRIVERS\KYRYVNHG.SYS
    zoo %SystemRoot%\SYSTEM\MY1.BAT
    delall %SystemRoot%\SYSTEM\MY1.BAT
    apply
    
    czoo
    restart
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  • После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

  • Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

3) Скачайте этот скрипт, запустите стандартную проверку. Полученные логи потом выложите здесь.

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ванькаветер
      От ванькаветер
      Подозрение на майнер. Вентилятор включается на видекарте в ноутбуке на несколько минут. Температура видеокарты 51 градус, хотя я включал в msi ценре турбообдув температура падает до38 градусов ротом опять поднимается. Загрузка gpu прыгает до 20%. В основном до 5%. Подозрительно. Возможно планировщик или драйвера nvidia шалят. Все драйвера обновлены в данный момент с помощью SDI программы.
      CollectionLog-2024.11.25-13.39.zip
    • Flawor_Swift
      От Flawor_Swift
      Доброго времени суток! В состоянии покоя через некоторое время ноутбук начинает сильно шуметь, как будто бы я на нем активно активно работаю. Из необычного еще  окно "Безопасность  Windows" При открытии фризит и выдает черный экран на пару минут. Другие проявления типичные майнеру, по типу невозможности зайти на сайты, создавать папки или запускать антивирусы отсутствуют.  KVRT и Cureit  не нашли ничего вредоносного

      CollectionLog-2024.11.14-01.14.zip
    • Salieri
      От Salieri
      Здравствуйте, столкнулся с такой проблемой что у меня начали вылазить окна cmd, долгая перезагрузка, обновления какие-то, проблемы с производительностью. Нужна ваша помощь, антивирусы не дают ничего.CollectionLog-2024.11.17-12.39.zip
    • kostyan2008
      От kostyan2008
      В журнале служб windows часто выскакивает ошибка "Сбой при запуске службы "Служба Google Update (gupdate)" из-за ошибки 
      Служба не ответила на запрос своевременно."
      Сбой при запуске службы "WinRing0_1_2_0" из-за ошибки 
      Системе не удается найти указанный путь.
      В автозагрузке присутствуют непонятные сервисы, включая непонятный google update
      CollectionLog-2024.09.18-20.26.zip
    • iLuminate
      От iLuminate
      Есть подозрение на взлом, так как при переходе C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Администрирование - Ярлык появляется ярлык которые указан на скриншоте.

      FRST.txt Addition.txt
×
×
  • Создать...