Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Вирусы на флешке

Blood_Rain_X

Автор Blood_Rain_X
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Blood_Rain_X Постоялец

Blood_Rain_X

Опубликовано
Опубликовано

Добрый день!

 

Заразили флешку вирусами на внешнем ПК, вставили в свой домашний ПК после. Windows Defender про Trojan (DeviceManager.exe) сказал в спрятанной папке, после чего, проверил еще KVRT2015, которым удалил ярлык .Ink. Не помню удалял ли DeviceManager.exe по просьбе Windows Defender, но судя по тому, что больше предупреждение не всплывает - удалял.

 

Логи AVZ прилагаю, отдельно еще запустил AVZ только на проверку флешки, т.к. в стандартном скрипте он проверяет только ПК как я понял. Подскажите, пожалуйста, нужны ли еще какие-то меры, что делать с подозрительной папкой System Volume Information и как достать файлы со спрятанной папки на флешке?

 

Спасибо!

CollectionLog-2019.04.07-12.10.zip

post-11117-0-96607200-1554629894_thumb.png

post-11117-0-66184000-1554629900_thumb.png

post-11117-0-52904100-1554629905_thumb.png

post-11117-0-44645800-1554629911_thumb.png

post-11117-0-81132100-1554629916_thumb.png

post-11117-0-83442600-1554629921_thumb.png

avz_log (проверка флешки AVZ).txt

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

что делать с подозрительной папкой System Volume Information

удалить вручную

 

как достать файлы со спрятанной папки на флешке?

отобразить содержимое флешки в Total Commander с включенной в его настройках опцией показа скрытых и системных файлов, чтобы увидеть спрятанную папку, на которую ссылается ярлык.

 

Выполните скрипт в AVZ из папки Autologger

begin
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ClientTask');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ServerTask');
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на комментарий
Поделиться на другие сайты
Blood_Rain_X Постоялец

Blood_Rain_X

Опубликовано
  • Автор
Опубликовано

Новые логи во вложении.

 

удалить вручную

 

Не получилось как просто, так и через Total Commander. Пишет, что файлы не найдены. А файлы "IndexerVolumeGuid" и "WPSettings" пересоздает снова после удаления. Скрины файлов во вложении.

 

отобразить содержимое флешки в Total Commander с включенной в его настройках опцией показа скрытых и системных файлов, чтобы увидеть спрятанную папку, на которую ссылается ярлык.

 

Получилось, спасибо!

CollectionLog-2019.04.07-16.12.zip

post-11117-0-23808800-1554643613_thumb.png

post-11117-0-73873800-1554643634_thumb.png

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Не получилось как просто, так и через Total Commander

Возможно, для начала нужно отключить восстановление системы для диска с буквой, соответствующей флешке.

В любом случае к вирусам это отношения не имеет.

 

Логи в порядке.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • macklooney1315
      Поймал вирус с флешки, антивирусы его не видят
      Автор macklooney1315
      Здравствуйте! Пару дней назад купил флешку и решил ей воспользоваться. Через какое то время виндовс написала что доступны  новые обновления, они начали скачиваться и после этого комп перезагрузился. После перезапуска на секунду появилась командная строка и пропала, раньше такого не было. В диспетчере задач стало больше процессов чем было, а когда заходит в монитор ресурсов часто были приостановленные процессы SearchApp.exe, Realteck, LockApp.exe. Я нашел процесс realteck в диспетчере задач и после нажатия кнопки открыть расположение файла мне вышло что отказано в доступе. Скачал касперского и dr.web - тоже ничего не видят, пытался полазить по системных папкам, но много где пишет '' отказано в доступе, обратитесь к администратору сети (что то такое, точно не помню). Винда кстати начала на следующий день снова пытаться скачать какое то обновления для Windows Defender, но я отложил скачивание обновлений на месяц. До этого вообще обновления не приходили, несколько лет было все нормально, а тут сразу много. Комп стал медленнее загружаться, и после загрузки рабочего стола курсор начинает крутить значок загрузки, раньше такого тоже не наблюдалось.
      Файлы прикрепил
       
      FRST.txt Addition.txt CollectionLog-2025.04.14-16.22.zip
    • alen4iz
      ПК видит флешку, но не загружает ее
      Автор alen4iz
      Здравствуйте! Еще вчера все было хорошо. Сегодня столкнулась с проблемой.
      Подключаю флешку. Открываю проводник. ПК видит флешку (БЕЗ КР (G:)), пытается ее загрузить, но не получается. Подскажите, пожалуйста, возможно ли решить проблему.
       

    • kazakova
      вирус banta
      Автор kazakova
      Добрый день! Подверглись вирусной атаке, все необходимые файлы приложила, пароль на архив 123. Есть ли возможность восстановить файлы?
       
       
       
       
      логи.rarфайлы_зашифрованные.rarфайлы_шифровальщика.rar
    • composer1995
      [РЕШЕНО] Вирус CAAServices.exe
      Автор composer1995
      Добрый день!

      Столкнулся с вирусом CAAServices.exe. Изложу последовательно события и свои действия:

      1. Центр обновления Windows установил обновления (не знаю, связано ли это с дальнейшей проблемой)
      - Накопительное обновление для Windows 11 Version 24H2 для систем на базе процессоров x64, 2025 07 (KB5062553)
      - 2025-07 Накопительное обновление .NET Framework 3.5 и 4.8.1 для Windows 11, version 24H2 для x64-разрядных систем (KB5056579)

      2. После обновления комп перезагрузился и в простое на рабочем столе начал сильно шуметь. Я решил проверить диспетчер задач и заглянуть в автозагрузки. В этот момент комп уже остыл и вернулся к нормальному уровню шума. В списке автозагрузок обнаружил файл CAAServices.exe, расположение файла C:\ProgramData\CAAService

      3. Нагуглил, что это майнер, провёл проверку защитником Windows, обнаружил вирус:
      - Trojan:Win64/DisguisedXMRigMiner!rfn, затронутые элементы C:\ProgramData\CAAService\Microsoft Network Realtime lnspection Service.exe

      Далее, в исключениях обнаружил CAAServices.exe, убрал его из списка исключений. Вручную указал папку CAAService, и в ней он нашёл:
      - Trojan:Win32/Wacatac.H!ml, затронутые элементы C:\ProgramData\CAAService\CAAServices.exe

      Защитник удалил оба вируса. После рестарта компа в автозагрузках снова обнаружил этот CAAServices.exe. Повторил процедуру по поиску и удалению вируса, комп не перезагружал.

      4. Пришёл сюда на сайт, провёл проверку Kaspersky Virus Removal Tool, обнаружил два вируса (прикладываю скрин). После проверки данной утилитой и рестарта компа в автозагрузке майнер не появляется. В папке C:\ProgramData\CAAService исчез файл CAAServices.exe. Остались только файлы CAAServices.vdr и OpenCL.dll.

      5. Собрал логи с помощью AutoLogger, прикладываю архив.

      Скажите, пожалуйста, избавился ли я от майнера, или нужно предпринять ещё какие-то меры?

      CollectionLog-2025.07.10-12.42.zip
    • sekvoya
      [РЕШЕНО] Подозрение на ВИРУС
      Автор sekvoya
      В браузере появляется расширение AdBlock, которое ломает разметку. При удалении расширения все становится нормально. Однако, после перезапуска ПК, расширение появляется в браузере вновь. Также в папке Temp появляется папка, которую нельзя удалить "2xzjmmugjeoboytjoc0goumkkhc"
      CollectionLog-2025.07.05-18.18.zip
×
×
  • Создать...