Перейти к содержанию

trojan.multi.wmi run.a


m0nster

Рекомендуемые сообщения

- Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

    B92LqRQ.png

  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
    CloseProcesses:
    HKLM\...\Run: [360Safetray] => [X]
    HKLM\...\Run: [ QQPCTray] => [X]
    HKLM\...\Run: [RavTRAY] => [X]
    HKLM\...\Run: [RISTRAY] => [X]
    HKLM\...\Run: [kxesc] => [X]
    HKLM\...\Run: [KVMON] => [X]
    HKLM\...\Run: [ShStatEXE] => [X]
    HKLM\...\Run: [McAfeeUpdaterUI] => [X]
    HKLM\...\Run: [KVXP] => [X]
    File: C:\Windows\system32\s
    File: C:\Windows\system32\ps
    File: C:\Windows\system32\p
    Zip: C:\Windows\system32\s;C:\Windows\system32\ps;C:\Windows\system32\p;C:\Windows\system\downs.exe;C:\ProgramData\winn.bat;C:\Users\Public\Documents\AutoRunApp.vbs;C:\Windows\system32\win.bat;C:\ProgramData\deskeyg.exe;C:\ProgramData\flashb.exe;C:\ProgramData\flashc.exe;C:\ProgramData\max.exe;C:\ProgramData\SQLEXPRESS_X64_86.exe;C:\ProgramData\winn.bat;C:\ProgramData\winn.dat;C:\Program Files\pps.temp;C:\Program Files\pss.temp
    File: C:\Windows\system\downs.exe
    Folder: C:\ProgramData\Licenses
    Folder: C:\Users\Public\Windows
    File: C:\Windows\system32\win.bat
    File: C:\ProgramData\deskeyg.exe
    File: C:\ProgramData\max.exe
    File: C:\ProgramData\SQLEXPRESS_X64_86.exe
    File: C:\ProgramData\winn.bat
    File: C:\ProgramData\winn.dat
    File: C:\Program Files\pps.temp
    File: C:\Program Files\pss.temp
    Task: {D1415BD7-EC82-47B4-8F22-BBCFFD09EA41} - \Mysa1 -> No File <==== ATTENTION
    Task: {FCC5CAFA-DFE5-4C3B-8426-021FA3B0ECF2} - no filepath
    Reboot:
    
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму
Ссылка на комментарий
Поделиться на другие сайты

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
    CloseProcesses:
    Zip: C:\Users\Public\Windows\start.bat;C:\Users\Public\Windows\start.vbs
    2018-06-14 07:45 - 2018-06-14 08:52 - 000002582 _RASH [DA28BC109781B1E130FE169BBD54F33F] () C:\Users\Public\Windows\start.bat
    2018-06-14 07:46 - 2018-06-14 07:46 - 000000139 _RASH [C92A932E625325FA3B62D9CA390D6AD7] () C:\Users\Public\Windows\start.vbs
    C:\Users\Public\Windows
    C:\Program Files\pss.temp
    C:\Program Files\pps.temp
    2018-10-29 17:11 - 2018-10-29 17:26 - 000000081 _____ C:\Windows\system32\s
    2018-10-29 17:11 - 2018-10-29 17:26 - 000000079 _____ C:\Windows\system32\ps
    2018-10-29 17:11 - 2018-10-29 17:26 - 000000077 _____ C:\Windows\system32\p
    C:\Windows\system\downs.exe
    2018-10-13 21:09 - 2018-10-13 21:09 - 000000101 _____ C:\Users\Все пользователи\winn.bat
    2018-10-13 21:09 - 2018-10-13 21:09 - 000000101 _____ C:\ProgramData\winn.bat
    2018-10-13 21:09 - 2018-10-13 21:09 - 000000084 _____ C:\Users\Все пользователи\winn.dat
    2018-10-13 21:09 - 2018-10-13 21:09 - 000000084 _____ C:\ProgramData\winn.dat
    2018-10-01 22:37 - 2018-10-01 22:37 - 000000645 ____H C:\Users\Public\Documents\AutoRunApp.vbs
    C:\Windows\system32\win.bat
    C:\ProgramData\deskeyg.exe
    C:\ProgramData\max.exe
    C:\ProgramData\SQLEXPRESS_X64_86.exe
    C:\ProgramData\winn.bat
    C:\ProgramData\winn.dat
    Reboot:
    
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму
Ссылка на комментарий
Поделиться на другие сайты

Приложите пожалуйста новые логи утилиты FRST (FRST.txt и Addition.txt), для того чтобы убедиться, что вредоносного ПО не осталось.

 

P.S. карантин отправлен [KLAN-9022050065], [KLAN-9022111609] ожидайте ответа по ним.

Ссылка на комментарий
Поделиться на другие сайты

Приложите пожалуйста новые логи утилиты FRST (FRST.txt и Addition.txt), для того чтобы убедиться, что вредоносного ПО не осталось.

 

P.S. карантин отправлен [KLAN-9022050065], [KLAN-9022111609] ожидайте ответа по ним.

Вирус на том же месте...

Скрин

Addition.txt

FRST.txt

post-51582-0-29453300-1540917923_thumb.png

Ссылка на комментарий
Поделиться на другие сайты

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
    CloseProcesses:
    2018-10-26 16:26 - 2018-10-26 16:26 - 000000000 _____ C:\Windows\system32\Tmp6FE9.tmp
    Folder: C:\Windows\Web
    File: C:\Users\Public\Documents\xpHelpPane.exe
    Zip: C:\Users\Public\Documents\xpHelpPane.exe;C:\Program Files\Common Files\xpdown.dat;C:\Windows\system32\wpd.xml;C:\Windows\system32\wpd1.xml
    2018-10-29 16:38 - 2018-06-05 10:43 - 000000073 _____ C:\Windows\system32\wpd1.xml
    2018-10-29 16:38 - 2018-06-05 02:43 - 000000073 _____ C:\Windows\system32\wpd.xml
    2018-10-29 17:27 - 2018-07-03 10:46 - 000000084 _____ C:\Program Files\Common Files\xpdown.dat
    2018-10-01 22:34 - 2018-09-29 14:54 - 000000078 _____ C:\Users\Public\Documents\xpHelpPane.exe
    2018-07-06 00:30 - 2018-07-06 00:30 - 000000000 _____ () C:\ProgramData\deskeyfa.exe
    2018-07-25 01:59 - 2018-07-29 20:08 - 000000000 _____ () C:\ProgramData\flashb.exe
    2018-07-31 16:23 - 2018-07-31 20:02 - 000000000 _____ () C:\ProgramData\flashc.exe
    2018-07-06 00:30 - 2018-07-06 00:30 - 000000000 _____ () C:\Users\Все пользователи\deskeyfa.exe
    2018-07-25 01:59 - 2018-07-29 20:08 - 000000000 _____ () C:\Users\Все пользователи\flashb.exe
    2018-07-31 16:23 - 2018-07-31 20:02 - 000000000 _____ () C:\Users\Все пользователи\flashc.exe
    2018-07-03 10:46 - 2018-10-29 17:27 - 000000084 _____ () C:\Program Files\Common Files\xpdown.dat
    2018-04-27 14:31 - 2018-04-27 14:31 - 000056080 _____ (Microsoft Corporation) C:\Users\Пользователь\AppData\Local\Temp\CABINET.DLL
    Reboot:
    
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму
Ссылка на комментарий
Поделиться на другие сайты

проблема проявляется сразу после загрузке Windows?

 

Загрузите пожалуйста карантин.

 

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

 

Сообщите также пожалуйста в локальной сети присутствуют еще какие-то компьютеры?

Ссылка на комментарий
Поделиться на другие сайты

Перегружаю комп, запускаю каспера с проверкой основных зон, и сразу выдает это сообщение что выше на скрине...


На данный момент комп один в сети, причем в другой сети.

BASE_2018-10-30_20-19-21_v4.1.1.7z

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в uVS:

;uVS v4.0.11 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
BREG
zoo %SystemDrive%\AUTOEXEC.BAT
zoo %SystemDrive%\PROGRAM FILES\KASPERSKY LAB\KASPERSKY ENDPOINT SECURITY 10 FOR WINDOWS SP1\KPCENGINE.2.2.DLL
zoo %Sys32%\APPEND.EXE
zoo %Sys32%\FTP.EXE
zoo %SystemDrive%\USERS\PUBLIC\MUSIC\POWERED.EXE
delref WMI_.[FUCKYOUMM_FILTER]
delref WMI_.[FUCKYOUMM2_FILTER]
restart

папку ZOO заархивируйте пожалуйста в zoo.zip из папки uVS загрузите этот архив через данную форму

 

Ссылка на комментарий
Поделиться на другие сайты

Во вложении

Вложение пустое. Пожалуйста не прикладывайте только карантин во вложение, используйте пожалуйста специальную форму.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
×
×
  • Создать...