Перейти к содержанию
Правила раздела
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

Касперский антивирус нашел троян, но не смог помочь.

Holensky

Автор Holensky
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Holensky Новичок

Holensky

Опубликовано
Опубликовано

Здравствуйте, уважаемый форум. Изредка к вам обращаюсь, когда совсем не выходит иначе,  уважаю Вас!

Несколько месяцев назад, после перезагрузки компьютера он стал надолго зависать, а когда я отключаю интернет-кабель заранее, работает нормально.

Втыкаю и при подключении все зависает, минут на 15-20, в большинстве случаев помогает перезагрузка explorer.exe (Проводник долго неотвечает - я начинаю клацать во все папки, которые не открываются) Сразу думал на svchost'ы - с ними как раз зачастую самые проблемы, а если удалить, придется переустанавливать Windows. Касперский заметил Трояна какого-то, попытался вылечить - не смог, потом я провел полную проверку, снова что-то нашел, и оставалось удалить только через Касперского, при перезагрузке ничего не изменилось. Помогите!

CollectionLog-2019.09.10-22.15.zip

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Здравствуйте,

удалите остатки Аваста с помощью утилиты https://www.avast.ru/uninstall-utility , удалите остатки McAfee с помощью утилиты https://www.comss.ru/page.php?id=3660

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png
 
Ссылка на комментарий
Поделиться на другие сайты
Holensky Новичок

Holensky

Опубликовано
  • Автор
Опубликовано

Утилитами воспользовался по очищению аваста и кафе, но компьютер не перезагружал, неизвестно получится ли следующий раз после перезагрузки добраться до Вас.

В программе FRST не было окошка "Driver MD5" , вместо него  SigCheckExt  - не отмечал

При попытке прикрепить файлы, запустился java , компьютер снова завис. До проблемы, по поводу которой я к Вам обращаюсь, таких зависаний небыло , но при этом загрузка системы не растет, загрузка цп 0,1% и памяти меньше 40.

Через диспетчер снял Java и развис.


В крайнем случае, если вы ничего не найдете, я могу перегрузиться на рабочий стол без интернета, скажите какой скрипт запустить, и я включу интернет во время работы скрипта, может во время самого происшествия Ваш скрипт заметит неладное?

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!


  • Временно выгрузите антивирус, файрволл и прочее защитное ПО


  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:




CreateRestorePoint:

CloseProcesses:

HKLM\...\Winlogon: [Userinit] C:/Windows/system32/userinit.exe                                               ,C:/Windows/SysWOW64/sqlserver.exe <==== ATTENTION

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION

File: C:\Windows\system32\wermgr.exe

Winsock: Catalog9 01 C:\Users\cross\AppData\Local\Microsoft\Windows\1033\libgzl.dll [877568 2017-12-26] () [File not signed]

Winsock: Catalog9 02 C:\Users\cross\AppData\Local\Microsoft\Windows\1033\libgzl.dll [877568 2017-12-26] () [File not signed]

Winsock: Catalog9 03 C:\Users\cross\AppData\Local\Microsoft\Windows\1033\libgzl.dll [877568 2017-12-26] () [File not signed]

Winsock: Catalog9 04 C:\Users\cross\AppData\Local\Microsoft\Windows\1033\libgzl.dll [877568 2017-12-26] () [File not signed]

Winsock: Catalog9 05 C:\Users\cross\AppData\Local\Microsoft\Windows\1033\libgzl.dll [877568 2017-12-26] () [File not signed]

Winsock: Catalog9 06 C:\Users\cross\AppData\Local\Microsoft\Windows\1033\libgzl.dll [877568 2017-12-26] () [File not signed]

Winsock: Catalog9 07 C:\Users\cross\AppData\Local\Microsoft\Windows\1033\libgzl.dll [877568 2017-12-26] () [File not signed]

Winsock: Catalog9 08 C:\Users\cross\AppData\Local\Microsoft\Windows\1033\libgzl.dll [877568 2017-12-26] () [File not signed]

Winsock: Catalog9 09 C:\Users\cross\AppData\Local\Microsoft\Windows\1033\libgzl.dll [877568 2017-12-26] () [File not signed]

Winsock: Catalog9 10 C:\Users\cross\AppData\Local\Microsoft\Windows\1033\libgzl.dll [877568 2017-12-26] () [File not signed]

Winsock: Catalog9 21 C:\Users\cross\AppData\Local\Microsoft\Windows\1033\libgzl.dll [877568 2017-12-26] () [File not signed]

BHO: avast! Online Security -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> C:\Program Files\AVAST Software\Avast\aswWebRepIE64.dll => No File

BHO-x32: avast! Online Security -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll => No File

R2 ColorScheme; C:\Users\cross\AppData\Local\Microsoft\Windows\1033\ColorScheme.exe [2546176 2017-12-25] (Microsoft Windows Application) [File not signed]

U3 aswbdisk; no ImagePath

S3 EsgScanner; system32\DRIVERS\EsgScanner.sys [X]

2019-09-10 22:48 - 2019-09-10 22:48 - 000000000 ____D C:\Users\Все пользователи\AVAST Software

2019-09-10 22:48 - 2019-09-10 22:48 - 000000000 ____D C:\ProgramData\AVAST Software

2019-09-10 22:48 - 2019-09-10 22:48 - 000000000 ____D C:\Program Files\Common Files\AVAST Software

2019-09-10 22:48 - 2019-09-10 22:48 - 000000000 ____D C:\Program Files\AVAST Software

2009-07-14 04:14 - 2009-07-14 04:14 - 000001261 ____N () C:\Users\cross\AppData\Local\oIxCMGMKk.bat

2009-07-14 04:14 - 2009-07-14 04:14 - 000001084 _____ () C:\Users\cross\AppData\Local\yEhBHTVJC.bat

ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File

cmd: netsh winsock reset



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

 

Ссылка на комментарий
Поделиться на другие сайты
Holensky Новичок

Holensky

Опубликовано
  • Автор
Опубликовано

Выполнил, компьютер перезагрузился, и перед рабочим столом завис. Знаете, я заметил, что то, что я делаю во время зависания (пытаюсь запустить какое-то действие или открыть папку) - напрямую связано с тем, что со временем, когда компьютер развисает, этот узел перезапускается, после системной ошибки. То есть завис - пытаюсь что-то сделать - не отвечает, не реагирует. Появляется ошибка по поводу того, что я пытался сделать, связанная с этим процессом. Процесс перезапускаеться и компьютер развисает

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

 

ProxyServer: [s-1-5-21-1427571533-274162252-2679415443-1000] => 107.190.148.202:31524

FF NetworkProxy: Mozilla\Firefox\Profiles\8yg2sbqo.default -> http", "91.200.115.35:47894"

Эти настройки прокси сервера сами прописывали?

Ссылка на комментарий
Поделиться на другие сайты
Holensky Новичок

Holensky

Опубликовано
  • Автор
Опубликовано

Похоже на то, но они же просто в резерве были, они по сути не должны работать? я просто пытался перезайти на сервер по СS 1.6, где меня забанили, оставил себе на память

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Как видеокамера может помочь вымогателям | Блог Касперского
      Автор KL FC Bot
      Поучительный инцидент с атакой ransomware-группировки Akira наверняка на несколько лет станет любимым примером ИБ-специалистов. Злоумышленники зашифровали компьютеры организации, воспользовавшись ее видеокамерой. Хотя звучит это очень странно, в развитии событий есть логика, которую легко применить к другой организации и другим устройствам в ее инфраструктуре.
      Анатомия атаки
      Злоумышленники проникли в сеть, проэксплуатировав уязвимость в публично доступном приложении и получив возможность выполнять команды на зараженном хосте. Они воспользовались этим, чтобы запустить популярное приложение дистанционного доступа AnyDesk, а затем инициировали с этого компьютера RDP-сессию для доступа к файл-серверу организации. На сервере они попытались запустить свой шифровальщик, но EDR-система, установленная в компании, опознала вредоносное ПО и поместила его в карантин. Увы, это не остановило атакующих.
      Не имея возможности запустить свой шифровальщик на серверах и обычных компьютерах, которые находятся под защитой EDR, атакующие запустили сканирование внутренней сети и обнаружили в ней сетевую видеокамеру. В отчете команды по расследованию инцидента это устройство постоянно называют веб-камерой (webcam), но мы все же полагаем, что речь не о камере ноутбука или смартфона, а о независимом сетевом устройстве, применяемом для видеонаблюдения.
      Камера стала прекрасной мишенью для атакующих по нескольким причинам:
      устройство давно не обновлялось, его прошивка содержала уязвимости, позволяющие дистанционно скомпрометировать камеру и получить на ней права на запуск оболочки (remote shell); камера работает под управлением облегченной сборки Linux, на которой можно запускать обычные исполнимые файлы этой ОС, например Linux-шифровальщик, имеющийся в арсенале Akira; это специализированное устройство не имело (и, скорее всего, не могло иметь) ни агента EDR, ни других защитных средств, которые могли бы определить вредоносную активность. Злоумышленники смогли установить свое вредоносное ПО на эту камеру и зашифровать серверы организации прямо с нее.
       
      View the full article
    • egor536457253453
      Нашел майнер на компьютере
      Автор egor536457253453
      Недавно пытался обойди блокировку дискорда, но получил майнер, пытался его удалить через Kaspersky Virus Removal Tool и Dr.Web CureIt, но ничего не помогло, помогите пожалуйста. ЛОГИ:

      CollectionLog-2025.02.04-10.10.zip
    • Wox
      КурЕйт нашел 2 вируса.
      Автор Wox
      Здравствуйте. Компьютер очень лагает, когда играю в игры. Решил проверить курейтом и он выкидывает 2 таких прикола. ОС Винда 11 (если надо). Что это? И если это вирусня, то как вычистить остатки?

    • Plim
      Нашел у себя майнер sppextfileobj.exe
      Автор Plim
      Пожалуйста помогите удалить вирус, я пытался его удалить с помощью doctor web и Kaspersky (они не справились, после перезагрузки компьютера вирус восстановился). майнер находиться в C:\Users\Public\Libraries\AMD\opencl .Если не ошибаюсь майнер называется Nanominer. Логи майнера оставил ниже:
      логи.zip
    • mrolya
      Не удаляется троян после лечения: HEUR:Trojan.Multi.Powedon.d
      Автор mrolya
      Не удаляется троян HEUR:Trojan.Multi.Powedon.d, касперский находит его, делает лечение и ребутает комп, после ребута запускает сканирование и троян снова появляется, в общем все идет по кругу.
       

      CollectionLog-2025.04.21-11.37.zip
×
×
  • Создать...