Перейти к содержанию
Правила раздела

Подозрение на вирусы

Apollon

От Apollon
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

akoK Ветеран

akoK

Опубликовано
Опубликовано

E:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\RemovableDriveHelper.exe (avz00003.dta) - отправьте в вирлаб.

 

Обновите базы AVZ.

Система загружена в режиме защиты от сбоев (SafeMode)

Почему?

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\service32.exe','');
QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\Taquito.exe','');
QuarantineFile('C:\WINDOWS\system32\blastclnnn.exe','');
QuarantineFile('C:\WINDOWS\winsvc32.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\Vsp.sys','');
DeleteFile('C:\WINDOWS\system32\blastclnnn.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\service32.exe');
DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\Taquito.exe');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\RemovableDriveHelper.exe');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

Повторите логи

Ссылка на комментарий
Поделиться на другие сайты
Apollon Ветеран

Apollon

Опубликовано
  • Автор
Опубликовано
Обновите базы AVZ.

Цитата

Система загружена в режиме защиты от сбоев (SafeMode)

 

Почему?

Отвечаю - в нормальном режиме система работать практический отказывалась, пришлось загружатся в безопасном режиме т.к даже та же флешка открывалась 30-40 минут, а WKS 6.0 с обновленными базами что то нечего невидит (странно!) за скрипт спасибо, завтро все ваши инструкций по ликвидаций ЧС на ПК

Ссылка на комментарий
Поделиться на другие сайты
akoK Ветеран

akoK

Опубликовано
Опубликовано

Очистите Task Scheduler (планировщик задач)

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('c:\windows\winsvc32.exe');
DeleteFile('C:\WINDOWS\winsvc32.exe');
DeleteFile('C:\WINDOWS\system32\blastclnnn.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\service32.exe');
BC_ImportDeletedList;
ExecuteRepair(6);
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

Включите AVZPM и повторите логи в обычном режиме.

 

C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\service32.exe

C:\WINDOWS\winsvc32.exe

 

 

И зачем к архиву с логами добавлять карантин?

Ссылка на комментарий
Поделиться на другие сайты
Apollon Ветеран

Apollon

Опубликовано
  • Автор
Опубликовано

akoK

И зачем к архиву с логами добавлять карантин?

по запарке все запихал, из вирлаба ответили, что там следующие содержание:

service32.exe_ - Worm.Win32.AutoRun.ygv,

Vsp.sys - Rootkit.Win32.Small.qb,

winsvc32.exe_ - Trojan-Downloader.Win32.VB.kfl

 

Детектирование файлов будет добавлено в следующее обновление.

ВирусЛаб ЛК! =)

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • tkm
      Подозрения на вирус/майнер
      От tkm
      Здравствуйте!
      Есть подозрение, что мне что-то прислали по почте. Открыл вложение и комп стал себя вести странно. 
      Помогите, пожалуйста
      CollectionLog-2024.12.28-12.35.zip
    • Salieri
      Подозрения на вирусы, помощь. Торможения
      От Salieri
      Здравствуйте, столкнулся с такой проблемой что у меня начали вылазить окна cmd, долгая перезагрузка, обновления какие-то, проблемы с производительностью. Нужна ваша помощь, антивирусы не дают ничего.CollectionLog-2024.11.17-12.39.zip
    • Control
      [РЕШЕНО] Подозрение на майнер
      От Control
      Здравствуйте, недавно скачивал с торрентов сериал и пару игр, через пару дней заметил что ноутбук(acer nitro v15) начал шуметь при бездействии, заглянул в диспетчер задач, там сразу нагрузка на цп составляла около 100%, через мгновенье стала на уровне 2-3%, пробовал переустанавливать систему, поставил вместо 11 винды 10ую, изменений не увидел, помогите пожалуйста.
      CollectionLog-2024.12.29-16.01.zip
    • Артуp
      Подозрение на майнер
      От Артуp
      Использую обход ограничения дискорда и ютуба через скрипт, как в посте у данного пользователя. Но у меня компьютер сам включается, если его в сон закидывать. Что с этим делать? Вот Файл архива с образом автозапуска из uVS
       
      WIN-IP6ESJ6INRU_2025-01-01_21-10-23_v4.99.5v x64.7z
    • ванькаветер
      Подозрение на майнер.
      От ванькаветер
      Подозрение на майнер. Вентилятор включается на видекарте в ноутбуке на несколько минут. Температура видеокарты 51 градус, хотя я включал в msi ценре турбообдув температура падает до38 градусов ротом опять поднимается. Загрузка gpu прыгает до 20%. В основном до 5%. Подозрительно. Возможно планировщик или драйвера nvidia шалят. Все драйвера обновлены в данный момент с помощью SDI программы.
      CollectionLog-2024.11.25-13.39.zip
×
×
  • Создать...