Перейти к содержанию
Правила раздела

[РЕШЕНО] Заражен компьютер, не запускается KVRT.

Peter15

Автор Peter15
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

mike 1

mike 1

Опубликовано
Опубликовано
27 минут назад, Peter15 сказал:

Успел удалить по ошибке эту утиль. Теперь как, заново сканировать?

Скопируйте текст скрипта в Блокнот в кодировке Юникод и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool

Ссылка на комментарий
Поделиться на другие сайты
  • Ответов 31
  • Создана
  • Последний ответ

Топ авторов темы

  • Peter15

    15

  • Sandor

    8

  • regist

    8

  • mike 1

    1

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

regist
regist

С восстановлением могли спросить в соседнем разделе, может помогли бы починить. Но раз вам так было проще, то зачем заставлять нас тратить время на лечение... А кто сказал, что все эти дыры свя

Изображения в теме

Peter15

Peter15

Опубликовано
  • Автор
Опубликовано
23 минуты назад, Sandor сказал:

KVRT

запускается. Но антивирус не буду пробовать устанавливать, т. к комп слабый и памяти всего 3 Гб.

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты
Peter15

Peter15

Опубликовано
  • Автор
Опубликовано
2 часа назад, Sandor сказал:

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.

...

Всё, лечение завершено, остаётся только выявить уязвимые места в системе?

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
------------------------------- [ HotFix ] --------------------------------
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office Enterprise 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft .NET Framework 4.7.2 v.4.7.03062 Внимание! Скачать обновления
Microsoft Office 2007 Service Pack 3 (SP3) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
NVIDIA GeForce Experience 3.13.1.30 v.3.13.1.30 Внимание! Скачать обновления
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.30 (32-разрядная) v.5.30.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.3.0.29625 Внимание! Клиент сети P2P с рекламным модулем!.
 

2 часа назад, Peter15 сказал:

антивирус не буду пробовать устанавливать

Но всё выше перечисленное следует проделать.

 

Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты
Peter15

Peter15

Опубликовано
  • Автор
Опубликовано
43 минуты назад, Sandor сказал:

Ваша операционная система может быть уязвима к новым типам угроз

Скорее она уязвима из-под пользователя, который сам ставит различную малварь.

44 минуты назад, Sandor сказал:

HotFix KB4539602

А интересно, если я поставлю пакет за ноябрь 2019-го (последний, где ещё нет напоминания во весь экран об окончании поддержки), есть ли там защита от "Bluekeep" или "Eternal Blue"?

Ссылка на комментарий
Поделиться на другие сайты
regist

regist

Опубликовано
Опубликовано
34 минуты назад, Peter15 сказал:

последний, где ещё нет напоминания во весь экран об окончании поддержки

Эти напоминания легко отключаются.

1) Насколько помню там должна быть кнопка или что-то типа того, чтобы больше не показывало.

2) Можно вручную добавить информацию аналогично нажатию на эту кнопку, чтобы отключить вывод этих уведомлений. Так что это совсем не повод отказываться от безопасности. Тем более после этого нашли много новых дыр. И если вы про них пока не слышали, то это не значит что свежие зловреды не начнут также массово использовать их.

39 минут назад, Peter15 сказал:

А интересно, если я поставлю пакет за ноябрь 2019-го

Накопительные пакеты включают (на они и накопительные), а если ставить Security-only update, то там надо ставить их все и за тот месяц  и предыдущие и последующие.

Ссылка на комментарий
Поделиться на другие сайты
regist

regist

Опубликовано
Опубликовано (изменено)
16 часов назад, Peter15 сказал:

Это -- подозрительные файлы, которые вы хотите выслать на анализ?

Это файлы, которые я хотел посмотреть сам, а иначе попросил бы выслать их на почту карантина. Кстати, среди них и новое зверьё попалось.

 

16 часов назад, regist сказал:

\install\cheat.exe

Будет добавлено детектирование Trojan-Dropper.Win32.Agent.tetetm, так что можете его разослать по вирлабам для добавления детекта.

 

 

+ Если FRST пока не деинсталировали, то запакуйте в архив с паролем "virus" папку C:\FRST\Quarantine\ - C:\ - Ваш системный диск
Полученный архив также загрузите на обменник и пришлите мне ссылку в ЛС.

 

папк

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты
Peter15

Peter15

Опубликовано
  • Автор
Опубликовано
2 минуты назад, regist сказал:

Если FRST пока не деинсталировали

Увы, уже форматнул диск, т. к восстановление было сломано.

 

7 минут назад, regist сказал:

И если вы про них пока не слышали, то это не значит что свежие зловреды не начнут также массово использовать их.

У меня компьютер подключен через роутер, поэтому, думаю, зловреды, проникающие через открытые порты, не должны пройти. Вероятность остальных атак, думаю, ничтожна, по сравнению с тем, что этим компьютером пользуется пользователь, запускающий всё подряд и не верящий в угрозы.

Ссылка на комментарий
Поделиться на другие сайты
regist

regist

Опубликовано
Опубликовано
Только что, Peter15 сказал:

Увы, уже форматнул диск, т. к восстановление было сломано.

С восстановлением могли спросить в соседнем разделе, может помогли бы починить. Но раз вам так было проще, то зачем заставлять нас тратить время на лечение...

2 минуты назад, Peter15 сказал:

поэтому, думаю, зловреды, проникающие через открытые порты

А кто сказал, что все эти дыры связана с открытыми портами?

 

3 минуты назад, Peter15 сказал:

компьютером пользуется пользователь, запускающий всё подряд и не верящий в угрозы.

Вот именно поэтому и следует ставить все заплатки. В таком случае есть вероятность, что если даже вирус запустят, то он не сможет эксплуатировать уязвизмость системы.

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Viacheslau T
      [РЕШЕНО] Наличие вируса/автозагрузка майнера на компьютере.
      Автор Viacheslau T
      Здравствуйте.

      На днях знакомый прислал книгу которую я искал, но как оказалось, он ее скачал с сайта-клона flibusta.su который наполнен вирусами и майнерами.
      Файл был открыт, но касперский вовремя его снес. Однако, видимо проблема прошла глубже.
      При старте пк получаю уведомления от касперского(см 1 изобр.), что "Остановлен переход на сайт", но самого перехода от моего лица не происходит.
      Перед созданием темы прогнал Dr.Web CureIt! и KVRM(2 и 3 изображ.). Первая утилита ничего не нашла, вторая выдала список ошибок обработки файлов, но возможно это связанно с тем, что эти приложения были активны.
      Пока-что не собирал логи, т.к. не до конца понимаю, если я остановлю касперкий, скрипт подтянет майнер с вирусного сайта или нет?
      Описание события:
      ```
      Событие: Остановлен переход на сайт
      Пользователь: DESKTOP-579T290\tsvirkovv
      Тип пользователя: Инициатор
      Имя приложения: MSPCManager.exe
      Путь к приложению: C:\Program Files\WindowsApps\Microsoft.MicrosoftPCManager_3.17.10.0_x64__8wekyb3d8bbwe\PCManager
      Компонент: Интернет-защита
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: flibusta.su
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: flibusta.su
      Причина: Базы
      Дата выпуска баз: Вчера, 09.08.2025 15:47:00

      Событие: Остановлен переход на сайт
      Пользователь: DESKTOP-579T290\tsvirkovv
      Тип пользователя: Инициатор
      Имя приложения: MSPCManager.exe
      Путь к приложению: C:\Program Files\WindowsApps\Microsoft.MicrosoftPCManager_3.17.10.0_x64__8wekyb3d8bbwe\PCManager
      Компонент: Интернет-защита
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: http://flibusta.su/favicon.ico
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: favicon.ico
      Путь к объекту: http://flibusta.su
      Причина: Базы
      Дата выпуска баз: Вчера, 09.08.2025 15:47:00
      ```
      Пожалуйста, сориентируйте порядок действий и проверок, которые нужно провести с минимальными рисками, т.к. не хотелось бы потерять систему.



    • XOMA302
      Не запускается Kaspersky
      Автор XOMA302
      Привет я сделал все что было указанно в Порядке оформления запроса о помощи CollectionLog-2025.07.30-19.49.zip вот логи что просили прикрепить, помогите люди
    • XOMA302
      Не устанавливается или не запускается Kaspersky
      Автор XOMA302
      я не знаю что вам прикрепить просто читал что вы помогали другим пользователям. Я не хочу просто винду сносить вот и пишу на форум помогите люди(
    • Scalpu
      Троян после перезапуска запускает powershell.exe
      Автор Scalpu
      Привет. Месяца 2 назад непонятно откуда поймал, видимо, троян. Проявлялся он так что в играх падал фпс при загрузке гпу 99% и работа видюхи не прерывалась даже при обычной работе в системе.
      В автозагрузке всё ещё присутствует некий файл WinAIHservice. По пути (C:)/ProgramData была папка WinAIHservice, но я её удалял и вроде всё в порядке было это время. Но недавно решил скачать антивирус malwarebytes и он блокировал активацию powershell.exe при каждой перезагрузке, то есть какой-то скрипт всё ещё находится у меня на пк + из автозагрузки этот WinAIHservice удалить невозможно. Прилагаю по правилам collection log + лог malwarebytes. Спасибо!
       
      Malwarebytes Отчет о заблокированных веб-сайтах 2025-08-15 213943.txt CollectionLog-2025.08.16-03.11.zip
    • 26alexx
      [РЕШЕНО] Наличие вируса/майнера на компьютере.
      Автор 26alexx
      Мой компьютер заразился скрытым майнером, который при обычном удалении восстанавливается за 5 секунд. Вирус назвался службой "GoogleUpdateTaskMachineQC", разместил себя в папке "C:\ProgramData\Google\Chrome", где поместил два файла "SbieDll.dll" и "updater.exe", вирус сам вносит в исключения папки для проверки: C:\ProgramData, C:\Windows и C:\Windows\System32\config\systemprofile и др. Перестал работать Центр обновления Windows. Не даёт выключать компьютер обычным способом. Только через длительное нажатие кнопки "Включения". Долго грузит "Панель задач" - 2-3 минуты. Может и ещё есть какие-то скрытые изменения. Помогите, пожалуйста, удалить этот вирус-майнер!
      CollectionLog-2025.05.11-22.59.zip
×
×
  • Создать...