Перейти к содержанию

Вирус Trojan.Zmutzy.Pante


Рекомендуемые сообщения

Здравствуйте, был обнаружен вирус при сканировании системы программой Adaware Antivirus.
его путь С:\Windows\debug\PjHagP.bat

данный вирус ломает мою почту и даже при смене пароля, но двухфакторную аутентификацию пройти не может.
Пытался его удалить, но после перезагрузки он появляется снова.

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте,


Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

Обратите внимание на следующие события в системе:
 

Имя компьютера: Max
Код события: 153
Сообщение: Операция ввода-вывода по адресу логического блока 0x2147f8 для диска 1 (имя PDO: \Device\0000003f) выполнена повторно.
Номер записи: 1233
Источник: disk
Время записи: 20201006170846.712766-000
Тип события: Предупреждение
Пользователь: 

Имя компьютера: Max
Код события: 153
Сообщение: Операция ввода-вывода по адресу логического блока 0x771d58 для диска 1 (имя PDO: \Device\0000003f) выполнена повторно.
Номер записи: 1232
Источник: disk
Время записи: 20201006170846.712766-000
Тип события: Предупреждение
Пользователь: 

Имя компьютера: Max
Код события: 153
Сообщение: Операция ввода-вывода по адресу логического блока 0x6af3a0 для диска 1 (имя PDO: \Device\0000003f) выполнена повторно.
Номер записи: 1231
Источник: disk
Время записи: 20201006170846.712766-000
Тип события: Предупреждение
Пользователь: 

Похоже возникает проблема с диском.

Ссылка на комментарий
Поделиться на другие сайты

Набраться терпения и ждать ответа от SQ. Люди тут помогают в свободное от работы и личных дел время.

 

А пока ждёте

 

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

 

- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessibility\Speech Recognition.lnk
C:\Users\Max\AppData\Roaming\Microsoft\Windows\SendTo\Fax Recipient.lnk
C:\Users\Max\AppData\Local\Microsoft\Windows\WinX\Group3\02a - Windows PowerShell.lnk
C:\Users\Max\AppData\Local\Microsoft\Windows\WinX\Group3\02 - Command Prompt.lnk

 

Кстати, кроме детекта того батника какие-нибудь жалобы есть?

Изменено пользователем regist
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

5 hours ago, Max1m said:

а дальше что делать?

Я в логах UVS ничего не вижу плохого.  Я присоединяюсь к вопросу regist, сообщите, пожалуйста если что-то еще вас беспокоит?

 

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" , "SigCheckExt" и "90 Days Files".
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

FRST.png

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • sasaks11
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Ferri
      Автор Ferri
      Доброго времени суток.

      Столкнулась с проблемой майнер CAAServieces.exe. Начала искать способы по отключению, удалению вируса. Отключить отключила, Из реестра удалила, Удалила. Провела несколько проверок через антивирусы - чисто. Только при перезагрузке и некоторого времени (1-2 минуты) создается снова папка и файл с вирусом (но не запускается) по расположению: C:\ProgramData\CAAService.

      Прикладываю проверку с KVRT и AutoLogger.

      Найдя на форуме такую же проблему - уже решённую ранее - прикрепляю логи из FRST64

      CollectionLog-2025.07.19-02.48.zip Addition.txt FRST.txt
    • lostintired
      Автор lostintired
      Здравствуйте!
       
      Обращаюсь за помощью в полном удалении вредоносного ПО. Ранее на компьютере был обнаружен вирус, связанный с процессом CAAService.exe, который осуществлял майнинг. На тот момент мне удалось остановить вредоносную активность, и майнинг-процессы больше не наблюдаются.
      Однако, несмотря на это, файл CAAService.exe продолжает самовосстанавливаться по следующему пути: "C:\ProgramData\CAAService\CAAService.exe"
       
      Удалял вручную — файл вновь появляется сам, также сам себя добавляет в исключения защитника Windows. Также пытался выполнить рекомендации, приведённые в ТЕМЕ, но проблема не была полностью решена — папка и исполняемый файл восстанавливаются.
      Прошу помощи в полном удалении остаточных компонентов этой угрозы. Готов предоставить все необходимые логи и выполнить диагностику согласно требованиям форума.
      Заранее благодарю за помощь.
      CollectionLog-2025.07.18-23.17.zip
      Addition.txt FRST.txt
    • composer1995
      Автор composer1995
      Добрый день!

      Столкнулся с вирусом CAAServices.exe. Изложу последовательно события и свои действия:

      1. Центр обновления Windows установил обновления (не знаю, связано ли это с дальнейшей проблемой)
      - Накопительное обновление для Windows 11 Version 24H2 для систем на базе процессоров x64, 2025 07 (KB5062553)
      - 2025-07 Накопительное обновление .NET Framework 3.5 и 4.8.1 для Windows 11, version 24H2 для x64-разрядных систем (KB5056579)

      2. После обновления комп перезагрузился и в простое на рабочем столе начал сильно шуметь. Я решил проверить диспетчер задач и заглянуть в автозагрузки. В этот момент комп уже остыл и вернулся к нормальному уровню шума. В списке автозагрузок обнаружил файл CAAServices.exe, расположение файла C:\ProgramData\CAAService

      3. Нагуглил, что это майнер, провёл проверку защитником Windows, обнаружил вирус:
      - Trojan:Win64/DisguisedXMRigMiner!rfn, затронутые элементы C:\ProgramData\CAAService\Microsoft Network Realtime lnspection Service.exe

      Далее, в исключениях обнаружил CAAServices.exe, убрал его из списка исключений. Вручную указал папку CAAService, и в ней он нашёл:
      - Trojan:Win32/Wacatac.H!ml, затронутые элементы C:\ProgramData\CAAService\CAAServices.exe

      Защитник удалил оба вируса. После рестарта компа в автозагрузках снова обнаружил этот CAAServices.exe. Повторил процедуру по поиску и удалению вируса, комп не перезагружал.

      4. Пришёл сюда на сайт, провёл проверку Kaspersky Virus Removal Tool, обнаружил два вируса (прикладываю скрин). После проверки данной утилитой и рестарта компа в автозагрузке майнер не появляется. В папке C:\ProgramData\CAAService исчез файл CAAServices.exe. Остались только файлы CAAServices.vdr и OpenCL.dll.

      5. Собрал логи с помощью AutoLogger, прикладываю архив.

      Скажите, пожалуйста, избавился ли я от майнера, или нужно предпринять ещё какие-то меры?

      CollectionLog-2025.07.10-12.42.zip
    • Aleks yakov
      Автор Aleks yakov
      Здравствуйте  шифровальщик заразил 2 пк в локальной сети (kozanostra)
      Новая папка.zip
×
×
  • Создать...