Перейти к содержанию

[РЕШЕНО] Заражен компьютер, не запускается KVRT.


Рекомендуемые сообщения

27 минут назад, Peter15 сказал:

Успел удалить по ошибке эту утиль. Теперь как, заново сканировать?

Скопируйте текст скрипта в Блокнот в кодировке Юникод и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool

Ссылка на комментарий
Поделиться на другие сайты

23 минуты назад, Sandor сказал:

KVRT

запускается. Но антивирус не буду пробовать устанавливать, т. к комп слабый и памяти всего 3 Гб.

Ссылка на комментарий
Поделиться на другие сайты

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты

2 часа назад, Sandor сказал:

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.

...

Всё, лечение завершено, остаётся только выявить уязвимые места в системе?

Ссылка на комментарий
Поделиться на другие сайты

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
------------------------------- [ HotFix ] --------------------------------
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office Enterprise 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft .NET Framework 4.7.2 v.4.7.03062 Внимание! Скачать обновления
Microsoft Office 2007 Service Pack 3 (SP3) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
NVIDIA GeForce Experience 3.13.1.30 v.3.13.1.30 Внимание! Скачать обновления
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.30 (32-разрядная) v.5.30.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.3.0.29625 Внимание! Клиент сети P2P с рекламным модулем!.
 

2 часа назад, Peter15 сказал:

антивирус не буду пробовать устанавливать

Но всё выше перечисленное следует проделать.

 

Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты

43 минуты назад, Sandor сказал:

Ваша операционная система может быть уязвима к новым типам угроз

Скорее она уязвима из-под пользователя, который сам ставит различную малварь.

44 минуты назад, Sandor сказал:

HotFix KB4539602

А интересно, если я поставлю пакет за ноябрь 2019-го (последний, где ещё нет напоминания во весь экран об окончании поддержки), есть ли там защита от "Bluekeep" или "Eternal Blue"?

Ссылка на комментарий
Поделиться на другие сайты

34 минуты назад, Peter15 сказал:

последний, где ещё нет напоминания во весь экран об окончании поддержки

Эти напоминания легко отключаются.

1) Насколько помню там должна быть кнопка или что-то типа того, чтобы больше не показывало.

2) Можно вручную добавить информацию аналогично нажатию на эту кнопку, чтобы отключить вывод этих уведомлений. Так что это совсем не повод отказываться от безопасности. Тем более после этого нашли много новых дыр. И если вы про них пока не слышали, то это не значит что свежие зловреды не начнут также массово использовать их.

39 минут назад, Peter15 сказал:

А интересно, если я поставлю пакет за ноябрь 2019-го

Накопительные пакеты включают (на они и накопительные), а если ставить Security-only update, то там надо ставить их все и за тот месяц  и предыдущие и последующие.

Ссылка на комментарий
Поделиться на другие сайты

16 часов назад, Peter15 сказал:

Это -- подозрительные файлы, которые вы хотите выслать на анализ?

Это файлы, которые я хотел посмотреть сам, а иначе попросил бы выслать их на почту карантина. Кстати, среди них и новое зверьё попалось.

 

16 часов назад, regist сказал:

\install\cheat.exe

Будет добавлено детектирование Trojan-Dropper.Win32.Agent.tetetm, так что можете его разослать по вирлабам для добавления детекта.

 

 

+ Если FRST пока не деинсталировали, то запакуйте в архив с паролем "virus" папку C:\FRST\Quarantine\ - C:\ - Ваш системный диск
Полученный архив также загрузите на обменник и пришлите мне ссылку в ЛС.

 

папк

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты

2 минуты назад, regist сказал:

Если FRST пока не деинсталировали

Увы, уже форматнул диск, т. к восстановление было сломано.

 

7 минут назад, regist сказал:

И если вы про них пока не слышали, то это не значит что свежие зловреды не начнут также массово использовать их.

У меня компьютер подключен через роутер, поэтому, думаю, зловреды, проникающие через открытые порты, не должны пройти. Вероятность остальных атак, думаю, ничтожна, по сравнению с тем, что этим компьютером пользуется пользователь, запускающий всё подряд и не верящий в угрозы.

Ссылка на комментарий
Поделиться на другие сайты

Только что, Peter15 сказал:

Увы, уже форматнул диск, т. к восстановление было сломано.

С восстановлением могли спросить в соседнем разделе, может помогли бы починить. Но раз вам так было проще, то зачем заставлять нас тратить время на лечение...

2 минуты назад, Peter15 сказал:

поэтому, думаю, зловреды, проникающие через открытые порты

А кто сказал, что все эти дыры связана с открытыми портами?

 

3 минуты назад, Peter15 сказал:

компьютером пользуется пользователь, запускающий всё подряд и не верящий в угрозы.

Вот именно поэтому и следует ставить все заплатки. В таком случае есть вероятность, что если даже вирус запустят, то он не сможет эксплуатировать уязвизмость системы.

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • crabcorner
      Автор crabcorner
      Столкнулся с проблемой, подхватил самовостонавливающийся майнер делающий это через планировщик задач. Майнер успешно удалил через стороннюю утилиту заменяющею его, но оригинальная программа до сих пор не работает. Так же как выяснилось майнер заблокировал весь раздел "управление компьютером". И из-за этого доставляет мне большие проблемы. Помогите в восстановлении Планировщика и остального раздела.
    • dlitsov
      Автор dlitsov
      Скачал набор офисных приложений word на следующий день начался полный кошмар, в игре просидал FPS , начал искать проблему 
      диспетчер задач сам закрывался , хотел установить антивирус не получилось , на официальные сайты не дает зайти пишу с телефона , смог установить AVbr сейчас прикреплю логи  . Сейчас уеду на работу , завтра готов к уничтожению его
      14d904d13b62d5466385f8e797bef654.txt
    • RobertoN1
      Автор RobertoN1
      Заметил что, когда открываю папку ProgramData, то через пару секунд она закрывается, но в самой папке находится Avast, который я никогда в жизни не скачивал у меня нету вообще антивирусов на компьютере, использовал AVbr в безопасном режиме и AutoLogger как было сказано в гайдах, прошу помочь!
      CollectionLog-2025.04.02-06.21.zip AV_block_remove_2025.04.02-06.08.log
    • Reshat
      Автор Reshat
      Добрый день!Зашифровали компьютер с файлами пишут:
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted by KOZANOSTRA
      Your decryption ID is <ID>*KOZANOSTRA-<ID>
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - vancureez@tuta.io
      2) Telegram - @DataSupport911 or https://t.me/DataSupport911
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
       
      Файлы скана прикрепляю к сообщению.
      Addition.txt FRST.txt
    • 4tetree
      Автор 4tetree
      Добрый день!Зашифровали компьютер с файлами пишут:
       
      ссылка удалена ссылка на скачивание двух зараженных файлов
×
×
  • Создать...