Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Хитропопый Вирус

GXTSS

Автор GXTSS
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

GXTSS Новичок

GXTSS

Опубликовано
Опубликовано

Началось с того что убрал со стола гаджет цп, и при нажатии вызова Гаджетов при открытии окна сразу закрывает. При попытки установки антивируса закрывает запуск установщика точно так же,блокирует некоторые вебстраницы касперского, открытие которых возможно лишь при включении впн, при попытке скачки куриент(др.веб) закрывает браузер, при запуске автологер и нажатии да, появляется загрузка и программа закрывается, сразу. Через безопасный режим пробовал запустить нод 32, он что то там удалил штук 30, но ничего не изменилось. В безопасном режиме установить Касперский нельзя. Я не знаю что делать( 

Ссылка на комментарий
Поделиться на другие сайты
  • Ответов 33
  • Создана
  • Последний ответ

Топ авторов темы

  • GXTSS

    18

  • thyrex

    7

  • akoK

    5

  • kmscom

    2

Популярные дни

Топ авторов темы

Популярные дни

GXTSS Новичок

GXTSS

Опубликовано
  • Автор
Опубликовано
13 минут назад, thyrex сказал:

В безопасном режиме Autologger тоже не запускается?

щас проверю,а в кврт и не в безопасном тоже кнопка не работает, у меня их уже 3 штуки скачано разных версий

 

13 минут назад, thyrex сказал:

В безопасном режиме Autologger тоже не запускается?

Получилось, вот

CollectionLog-2020.05.31-10.40.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Programdata\RealtekHD\taskhostw.exe','');
 QuarantineFile('C:\Programdata\RealtekHD\taskhost.exe','');
 QuarantineFile('C:\Programdata\WindowsTask\winlogon.exe','');
 QuarantineFile('C:\ProgramData\RealtekHD\taskhostw.exe','');
 DeleteFile('C:\ProgramData\RealtekHD\taskhostw.exe','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Realtek HD Audio','x64');
 DeleteFile('C:\Programdata\WindowsTask\winlogon.exe','64');
 DeleteFile('C:\Programdata\RealtekHD\taskhost.exe','64');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhostw');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhost');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDStartUP');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDControl');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Cleaner');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678


Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger в обычном, а не безопасном, режиме загрузки; прикрепите к следующему сообщению НОВЫЕ логи.
 

Ссылка на комментарий
Поделиться на другие сайты
GXTSS Новичок

GXTSS

Опубликовано
  • Автор
Опубликовано

Я не понимаю вы прикалываетесь или вам смешно там? Зашел как написано в папку автолодер авз, запускаю авз, он открывается и закрывается сразу!Вам видео записать если вы не верите??? А красная приписка ниже, это что?Пишу ясно что программа сразу закрывается после запуска, вы мне опять пишете запустите в обычном режиме, что могло измениться за пару часов?Вирус взял и перестал мешать?Я не понимаю вас

Ссылка на комментарий
Поделиться на другие сайты
kmscom Мудрец

kmscom

Опубликовано
Опубликовано
5 минут назад, GXTSS сказал:

Я не понимаю вас

спокойсвие только спокойсвие.

1) 

5 минут назад, GXTSS сказал:

Выполните скрипт в AVZ из папки Autologger

2)

6 минут назад, GXTSS сказал:

ЕЩЕ РАЗ запустите Autologger в обычном, а не безопасном, режиме загрузки

 

6 минут назад, GXTSS сказал:

что могло измениться за пару часов?

запуск указанного скрипта из указанной папки

Ссылка на комментарий
Поделиться на другие сайты
GXTSS Новичок

GXTSS

Опубликовано
  • Автор
Опубликовано
1 минуту назад, kmscom сказал:

спокойсвие только спокойсвие.

1) 

2)

 

запуск указанного скрипта из указанной папки

Повторяю еще раз для 1,2 и 3, При нажатии на обе программы(клик пкм) выбираю запуск от имени администратора (и без него тоже пробывал), запускается программа(появляется окно), не успеваю даже что либо тыкнуть, как окно закрывается, теперь понятно???

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Я не прикалываюсь. Это Вы не сумели понять, что выданный скрипт лечения нужно выполнить в безопасном режиме, раз уж все работает только в нём. А уже повторные логи нужно выполнять в обычном, потому что блокировки уже быть не должно.

Ссылка на комментарий
Поделиться на другие сайты
GXTSS Новичок

GXTSS

Опубликовано
  • Автор
Опубликовано
8 часов назад, thyrex сказал:

Я не прикалываюсь. Это Вы не сумели понять, что выданный скрипт лечения нужно выполнить в безопасном режиме, раз уж все работает только в нём. А уже повторные логи нужно выполнять в обычном, потому что блокировки уже быть не должно.

Если я написал возмущение, значит не работает

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Бред. Если работает в составе Autologger, то должен и отдельно работать.

 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты
GXTSS Новичок

GXTSS

Опубликовано
  • Автор
Опубликовано
2 минуты назад, thyrex сказал:

Бред. Если работает в составе Autologger, то должен и отдельно работать.

 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

https://vk.com/video?z=video243613005_456240657%2Fpl_cat_updates - ссылка на видео

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Перестаньте цитировать полностью выдаваемые Вам рекомендации. Для ответа есть поле написания сообщения под последним сообщением в теме.

 

2. Ждем логи Farbar, а не видео. Причем на видео явно видно, что Вы пытаетесь запустить AVZ в обычном режиме, хотя нужно это было сделать в безопасном. Нужно всего-то читать внимательно то, что я написал в сообщении перед Вашими новыми возмущениями.

Ссылка на комментарий
Поделиться на другие сайты
GXTSS Новичок

GXTSS

Опубликовано
  • Автор
Опубликовано
5 минут назад, thyrex сказал:

1. Перестаньте цитировать полностью выдаваемые Вам рекомендации. Для ответа есть поле написания сообщения под последним сообщением в теме.

 

2. Ждем логи Farbar, а не видео.

Ответ был на предыдущее утверждение, что якобы должно все работать само по себе, что на деле не так, и вот те файлы:

Desktop.rar

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Ferri
      [РЕШЕНО] Обнауржен вирус CAAServieces.exe
      Автор Ferri
      Доброго времени суток.

      Столкнулась с проблемой майнер CAAServieces.exe. Начала искать способы по отключению, удалению вируса. Отключить отключила, Из реестра удалила, Удалила. Провела несколько проверок через антивирусы - чисто. Только при перезагрузке и некоторого времени (1-2 минуты) создается снова папка и файл с вирусом (но не запускается) по расположению: C:\ProgramData\CAAService.

      Прикладываю проверку с KVRT и AutoLogger.

      Найдя на форуме такую же проблему - уже решённую ранее - прикрепляю логи из FRST64

      CollectionLog-2025.07.19-02.48.zip Addition.txt FRST.txt
    • sasaks11
      Вирус
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • lostintired
      Вирус-майнер CAAServices.exe
      Автор lostintired
      Здравствуйте!
       
      Обращаюсь за помощью в полном удалении вредоносного ПО. Ранее на компьютере был обнаружен вирус, связанный с процессом CAAService.exe, который осуществлял майнинг. На тот момент мне удалось остановить вредоносную активность, и майнинг-процессы больше не наблюдаются.
      Однако, несмотря на это, файл CAAService.exe продолжает самовосстанавливаться по следующему пути: "C:\ProgramData\CAAService\CAAService.exe"
       
      Удалял вручную — файл вновь появляется сам, также сам себя добавляет в исключения защитника Windows. Также пытался выполнить рекомендации, приведённые в ТЕМЕ, но проблема не была полностью решена — папка и исполняемый файл восстанавливаются.
      Прошу помощи в полном удалении остаточных компонентов этой угрозы. Готов предоставить все необходимые логи и выполнить диагностику согласно требованиям форума.
      Заранее благодарю за помощь.
      CollectionLog-2025.07.18-23.17.zip
      Addition.txt FRST.txt
    • composer1995
      [РЕШЕНО] Вирус CAAServices.exe
      Автор composer1995
      Добрый день!

      Столкнулся с вирусом CAAServices.exe. Изложу последовательно события и свои действия:

      1. Центр обновления Windows установил обновления (не знаю, связано ли это с дальнейшей проблемой)
      - Накопительное обновление для Windows 11 Version 24H2 для систем на базе процессоров x64, 2025 07 (KB5062553)
      - 2025-07 Накопительное обновление .NET Framework 3.5 и 4.8.1 для Windows 11, version 24H2 для x64-разрядных систем (KB5056579)

      2. После обновления комп перезагрузился и в простое на рабочем столе начал сильно шуметь. Я решил проверить диспетчер задач и заглянуть в автозагрузки. В этот момент комп уже остыл и вернулся к нормальному уровню шума. В списке автозагрузок обнаружил файл CAAServices.exe, расположение файла C:\ProgramData\CAAService

      3. Нагуглил, что это майнер, провёл проверку защитником Windows, обнаружил вирус:
      - Trojan:Win64/DisguisedXMRigMiner!rfn, затронутые элементы C:\ProgramData\CAAService\Microsoft Network Realtime lnspection Service.exe

      Далее, в исключениях обнаружил CAAServices.exe, убрал его из списка исключений. Вручную указал папку CAAService, и в ней он нашёл:
      - Trojan:Win32/Wacatac.H!ml, затронутые элементы C:\ProgramData\CAAService\CAAServices.exe

      Защитник удалил оба вируса. После рестарта компа в автозагрузках снова обнаружил этот CAAServices.exe. Повторил процедуру по поиску и удалению вируса, комп не перезагружал.

      4. Пришёл сюда на сайт, провёл проверку Kaspersky Virus Removal Tool, обнаружил два вируса (прикладываю скрин). После проверки данной утилитой и рестарта компа в автозагрузке майнер не появляется. В папке C:\ProgramData\CAAService исчез файл CAAServices.exe. Остались только файлы CAAServices.vdr и OpenCL.dll.

      5. Собрал логи с помощью AutoLogger, прикладываю архив.

      Скажите, пожалуйста, избавился ли я от майнера, или нужно предпринять ещё какие-то меры?

      CollectionLog-2025.07.10-12.42.zip
    • Aleks yakov
      Вирус шифровальщик kozanostra
      Автор Aleks yakov
      Здравствуйте  шифровальщик заразил 2 пк в локальной сети (kozanostra)
      Новая папка.zip
×
×
  • Создать...