Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

[РЕШЕНО] Нужен дешифратор для Crypted000007

Ilya-ABS
 Поделиться

Рекомендуемые сообщения

Ilya-ABS Новичок

Ilya-ABS

Опубликовано
Опубликовано (изменено)

На рабочем месте сотрудник открыл письмо с вложенным якобы актом сверки, который на самом деле оказался шифровальщиком, в результате работы которого были зашифрованы текстовые, табличные, файлы почты с характерным окончанием в названии crypted000007 и появившийся текстовый файл с содержанием отправить код на адрес pilotpilot088@gmail.com для получения дальнейших инструкций. Прошу помочь в расшифровке данных, тем более нет никакой уверенности, что даже в случае оплаты вымогатели выполнят обещанную расшифровку.

CollectionLog-2018.12.05-17.00.zip

Изменено пользователем Ilya-ABS
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

К сожалению, расшифровки этой версии нет. Но вымогатель в системе находится в активном состоянии.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\PROGRA~3\msyzvt.exe', '');
 QuarantineFile('C:\ProgramData\Windows\csrss.exe', '');
 DeleteFile('C:\PROGRA~3\msyzvt.exe', '32');
 DeleteFile('C:\ProgramData\Windows\csrss.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', '3099281341', 'x32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', '3099281341', 'x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Client Server Runtime Subsystem', '32');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\3099281341', 'x64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Ссылка на комментарий
Поделиться на другие сайты
Ilya-ABS Новичок

Ilya-ABS

Опубликовано
  • Автор
Опубликовано (изменено)

Пришел ответ: 

 

"Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы и ссылки были проверены в автоматическом режиме

В следующих файлах обнаружен вредоносный код:
csrss.exe - Trojan-Ransom.Win32.Shade.pet

В антивирусных базах информация по присланным вами ссылкам отсутствует:
https://forum.kasperskyclub.ru/index.php?showtopic=61235

Файлы и ссылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте." KLAN-9227050446

Изменено пользователем Ilya-ABS
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog. 

 

???

Ссылка на комментарий
Поделиться на другие сайты
Ilya-ABS Новичок

Ilya-ABS

Опубликовано
  • Автор
Опубликовано

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog. 

 

???

 

вот какраз только что сделал 

CollectionLog-2018.12.06-14.53.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Ilya-ABS Новичок

Ilya-ABS

Опубликовано
  • Автор
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве

Сканирование проведено. 

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Search App by Ask

Далее:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
BHO-x32: No Name -> {7E853D72-626A-48EC-A868-BA8D5E23E045} -> No File
Toolbar: HKU\S-1-5-21-4173418118-915243264-455361772-500 -> No Name - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} -  No File
CHR HomePage: Default -> search.ask.com
CHR DefaultSearchURL: Default -> hxxp://www.search.ask.com/web?q={searchTerms}
CHR DefaultSearchKeyword: Default -> search.ask.com
CHR DefaultSuggestURL: Default -> hxxp://ssmsp.ask.com/query?sstype=prefix&li=ff&q={searchTerms}
C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\aaaaaiabcopkplhgaedhbloeejhhankf
CHR HKLM-x32\...\Chrome\Extension: [aaaaaiabcopkplhgaedhbloeejhhankf] - C:\ProgramData\AskPartnerNetwork\Toolbar\Shared\CRX\aaaaaiabcopkplhgaedhbloeejhhankf.crx [2018-07-02]
2018-12-05 13:20 - 2018-12-05 13:20 - 003932214 _____ C:\Users\Маша\AppData\Roaming\1C3B237E1C3B237E.bmp
2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Маша\Desktop\README9.txt
2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Маша\Desktop\README8.txt
2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Маша\Desktop\README7.txt
2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Маша\Desktop\README6.txt
2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Маша\Desktop\README5.txt
2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Маша\Desktop\README4.txt
2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Маша\Desktop\README3.txt
2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Маша\Desktop\README2.txt
2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Маша\Desktop\README10.txt
2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Маша\Desktop\README1.txt
2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Public\Desktop\README9.txt
2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Public\Desktop\README8.txt
2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Public\Desktop\README7.txt
2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Public\Desktop\README6.txt
2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Public\Desktop\README5.txt
2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Public\Desktop\README4.txt
2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Public\Desktop\README3.txt
2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Public\Desktop\README2.txt
2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Public\Desktop\README10.txt
2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Public\Desktop\README1.txt
2018-12-05 13:20 - 2018-12-05 13:20 - 000000000 __SHD C:\ProgramData\System32
2018-12-05 12:00 - 2018-12-05 12:00 - 000004150 _____ C:\README9.txt
2018-12-05 12:00 - 2018-12-05 12:00 - 000004150 _____ C:\README8.txt
2018-12-05 12:00 - 2018-12-05 12:00 - 000004150 _____ C:\README7.txt
2018-12-05 12:00 - 2018-12-05 12:00 - 000004150 _____ C:\README6.txt
2018-12-05 12:00 - 2018-12-05 12:00 - 000004150 _____ C:\README5.txt
2018-12-05 12:00 - 2018-12-05 12:00 - 000004150 _____ C:\README4.txt
2018-12-05 12:00 - 2018-12-05 12:00 - 000004150 _____ C:\README3.txt
2018-12-05 12:00 - 2018-12-05 12:00 - 000004150 _____ C:\README2.txt
2018-12-05 12:00 - 2018-12-05 12:00 - 000004150 _____ C:\README10.txt
2018-12-05 12:00 - 2018-12-05 12:00 - 000004150 _____ C:\README1.txt
2018-12-05 11:51 - 2018-12-05 17:47 - 000000000 __SHD C:\ProgramData\Windows
2015-01-26 14:52 - 2015-01-26 14:52 - 000662936 _____ (Ask Partner Network) C:\Users\Маша\AppData\Local\Temp\APNSetup.exe
AlternateDataStreams: C:\Users\Маша:id [32]
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Ilya-ABS Новичок

Ilya-ABS

Опубликовано
  • Автор
Опубликовано

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Search App by Ask

Далее:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
BHO-x32: No Name -> {7E853D72-626A-48EC-A868-BA8D5E23E045} -> No File
Toolbar: HKU\S-1-5-21-4173418118-915243264-455361772-500 -> No Name - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} -  No File
CHR HomePage: Default -> search.ask.com
CHR DefaultSearchURL: Default -> hxxp://www.search.ask.com/web?q={searchTerms}
CHR DefaultSearchKeyword: Default -> search.ask.com
CHR DefaultSuggestURL: Default -> hxxp://ssmsp.ask.com/query?sstype=prefix&li=ff&q={searchTerms}
C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\aaaaaiabcopkplhgaedhbloeejhhankf
CHR HKLM-x32\...\Chrome\Extension: [aaaaaiabcopkplhgaedhbloeejhhankf] - C:\ProgramData\AskPartnerNetwork\Toolbar\Shared\CRX\aaaaaiabcopkplhgaedhbloeejhhankf.crx [2018-07-02]
2018-12-05 13:20 - 2018-12-05 13:20 - 003932214 _____ C:\Users\Маша\AppData\Roaming\1C3B237E1C3B237E.bmp
2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Маша\Desktop\README9.txt
2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Маша\Desktop\README8.txt
2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Маша\Desktop\README7.txt
2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Маша\Desktop\README6.txt
2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Маша\Desktop\README5.txt
2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Маша\Desktop\README4.txt
2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Маша\Desktop\README3.txt
2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Маша\Desktop\README2.txt
2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Маша\Desktop\README10.txt
2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Маша\Desktop\README1.txt
2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Public\Desktop\README9.txt
2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Public\Desktop\README8.txt
2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Public\Desktop\README7.txt
2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Public\Desktop\README6.txt
2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Public\Desktop\README5.txt
2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Public\Desktop\README4.txt
2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Public\Desktop\README3.txt
2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Public\Desktop\README2.txt
2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Public\Desktop\README10.txt
2018-12-05 13:20 - 2018-12-05 13:20 - 000004150 _____ C:\Users\Public\Desktop\README1.txt
2018-12-05 13:20 - 2018-12-05 13:20 - 000000000 __SHD C:\ProgramData\System32
2018-12-05 12:00 - 2018-12-05 12:00 - 000004150 _____ C:\README9.txt
2018-12-05 12:00 - 2018-12-05 12:00 - 000004150 _____ C:\README8.txt
2018-12-05 12:00 - 2018-12-05 12:00 - 000004150 _____ C:\README7.txt
2018-12-05 12:00 - 2018-12-05 12:00 - 000004150 _____ C:\README6.txt
2018-12-05 12:00 - 2018-12-05 12:00 - 000004150 _____ C:\README5.txt
2018-12-05 12:00 - 2018-12-05 12:00 - 000004150 _____ C:\README4.txt
2018-12-05 12:00 - 2018-12-05 12:00 - 000004150 _____ C:\README3.txt
2018-12-05 12:00 - 2018-12-05 12:00 - 000004150 _____ C:\README2.txt
2018-12-05 12:00 - 2018-12-05 12:00 - 000004150 _____ C:\README10.txt
2018-12-05 12:00 - 2018-12-05 12:00 - 000004150 _____ C:\README1.txt
2018-12-05 11:51 - 2018-12-05 17:47 - 000000000 __SHD C:\ProgramData\Windows
2015-01-26 14:52 - 2015-01-26 14:52 - 000662936 _____ (Ask Partner Network) C:\Users\Маша\AppData\Local\Temp\APNSetup.exe
AlternateDataStreams: C:\Users\Маша:id [32]
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Не нужно цитировать все предыдущее сообщение.

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки включите дополнительно в разделе Базовые действия:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Панель управления нажмите Сканировать.
  • По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Отчет AdwCleaner[C00].txt тоже покажите.

 

В завершение:

1.

  • Пожалуйста, запустите adwcleaner.exe
  • В меню Настройки - Удалить AdwCleaner - выберите Удалить.
  • Подтвердите удаление, нажав кнопку: Да.
2.

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

 

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

До окончания разбора не удаляйте папку c:\frst.

 

Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты
  • 7 месяцев спустя...
Kas Narayda Новичок

Kas Narayda

Опубликовано
Опубликовано (изменено)

А если есть сам файл трояна? Файлик с расширением js. Вы поможете расшифровать файлы?

Положил троян в архив.

В архиве Documents.rar часть зашифрованных файлов с парой тройкой незашифрованных похожих по размеру.

Умоляю вас помочь. Очень много зашифровано.

Documents.rar

Изменено пользователем Sandor
Убрал вредоносный файл
Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Milink
      [РЕШЕНО] Подозрение на майнер
      Автор Milink
      скачал игру с торрента, после чего в браузере Chrome после каждого перезапуска пк начало устанавливаться левое расширение якобы Adblock. Так же в temp появляется папка 2xzjMMUGjeobOYtjoc0gOuMKKHC. Пробовал чистить антивирусами - не помогло.
      Нашел решение, avz скачал, Autologger я так понимаю тоже надо качать: 
      Актуально ли оно?
       
    • FMEKLW
      [РЕШЕНО] Подозрение на майнер
      Автор FMEKLW
      Как-то просто решил зайти в диспетчер задач и посмотреть процессы, и увидел 3 процесса Setup, которые ведут к папке 2xzjMMUGjeobOYtjoc0gOuMKKHC в Temp. Сам просто решил пока ничего не делать, а поискать информации об этой теме. И вот я здесь нашёл обсуждения с помощью по данной теме. Честно не знаю, что мог скачать, из-за чего это появилось: либо игры, либо русификаторы, либо что-то другое. Все скачивал по прямой ссылке, с облаков, с MediaGet и uTorrent. Никаких проблем я особо не увидел, как у других. Т.е. люди писали про проблемы с расширениями в Chrome, коих у себя я не обнаружил, ведь я пользуюсь из браузеров только Яндексом, в котором ничего странного тоже нету.CollectionLog-2025.07.11-23.07.zip
    • composer1995
      [РЕШЕНО] Вирус CAAServices.exe
      Автор composer1995
      Добрый день!

      Столкнулся с вирусом CAAServices.exe. Изложу последовательно события и свои действия:

      1. Центр обновления Windows установил обновления (не знаю, связано ли это с дальнейшей проблемой)
      - Накопительное обновление для Windows 11 Version 24H2 для систем на базе процессоров x64, 2025 07 (KB5062553)
      - 2025-07 Накопительное обновление .NET Framework 3.5 и 4.8.1 для Windows 11, version 24H2 для x64-разрядных систем (KB5056579)

      2. После обновления комп перезагрузился и в простое на рабочем столе начал сильно шуметь. Я решил проверить диспетчер задач и заглянуть в автозагрузки. В этот момент комп уже остыл и вернулся к нормальному уровню шума. В списке автозагрузок обнаружил файл CAAServices.exe, расположение файла C:\ProgramData\CAAService

      3. Нагуглил, что это майнер, провёл проверку защитником Windows, обнаружил вирус:
      - Trojan:Win64/DisguisedXMRigMiner!rfn, затронутые элементы C:\ProgramData\CAAService\Microsoft Network Realtime lnspection Service.exe

      Далее, в исключениях обнаружил CAAServices.exe, убрал его из списка исключений. Вручную указал папку CAAService, и в ней он нашёл:
      - Trojan:Win32/Wacatac.H!ml, затронутые элементы C:\ProgramData\CAAService\CAAServices.exe

      Защитник удалил оба вируса. После рестарта компа в автозагрузках снова обнаружил этот CAAServices.exe. Повторил процедуру по поиску и удалению вируса, комп не перезагружал.

      4. Пришёл сюда на сайт, провёл проверку Kaspersky Virus Removal Tool, обнаружил два вируса (прикладываю скрин). После проверки данной утилитой и рестарта компа в автозагрузке майнер не появляется. В папке C:\ProgramData\CAAService исчез файл CAAServices.exe. Остались только файлы CAAServices.vdr и OpenCL.dll.

      5. Собрал логи с помощью AutoLogger, прикладываю архив.

      Скажите, пожалуйста, избавился ли я от майнера, или нужно предпринять ещё какие-то меры?

      CollectionLog-2025.07.10-12.42.zip
    • sekvoya
      [РЕШЕНО] Подозрение на ВИРУС
      Автор sekvoya
      В браузере появляется расширение AdBlock, которое ломает разметку. При удалении расширения все становится нормально. Однако, после перезапуска ПК, расширение появляется в браузере вновь. Также в папке Temp появляется папка, которую нельзя удалить "2xzjmmugjeoboytjoc0goumkkhc"
      CollectionLog-2025.07.05-18.18.zip
    • Shytnik
      [РЕШЕНО] Trojan.Win64.Agent.smekzx
      Автор Shytnik
      Здравствуйте. В один момент перестало работать всё с ошибкой «Отказано в доступе». «Касперский» нашел этот вирус и вроде как успешно вылечил с перезагрузкой.
       
      После удаления автоматически запустилась проверка, которая по непонятным причинам сама по себе приостанавливалась три раза. Также по какой-то причине переставали грузиться на некоторое время сайты. Посчитал, что это какое-то подозрительное поведение, и отключил на всякий случай интернет. «Касперский» завершил сканирование и удалил еще кучу скриптов из папки браузера.
       
      В интернете нашел страницу на «Ответах» Mail.ru, где человек писал, что этот вирус после удаления «Касперским» «воскресает». Немного беспокоит эта перспектива, т. к. переустанавливать Windows не хочется. Можно как-то проверить, осталась ли эта гадость в системе?
      CollectionLog-2025.07.04-16.29.zip
×
×
  • Создать...