Перейти к содержанию

Подозрение на вирусы


Рекомендуемые сообщения

E:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\RemovableDriveHelper.exe (avz00003.dta) - отправьте в вирлаб.

 

Обновите базы AVZ.

Система загружена в режиме защиты от сбоев (SafeMode)

Почему?

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\service32.exe','');
QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\Taquito.exe','');
QuarantineFile('C:\WINDOWS\system32\blastclnnn.exe','');
QuarantineFile('C:\WINDOWS\winsvc32.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\Vsp.sys','');
DeleteFile('C:\WINDOWS\system32\blastclnnn.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\service32.exe');
DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\Taquito.exe');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\RemovableDriveHelper.exe');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

Повторите логи

Ссылка на комментарий
Поделиться на другие сайты

Обновите базы AVZ.

Цитата

Система загружена в режиме защиты от сбоев (SafeMode)

 

Почему?

Отвечаю - в нормальном режиме система работать практический отказывалась, пришлось загружатся в безопасном режиме т.к даже та же флешка открывалась 30-40 минут, а WKS 6.0 с обновленными базами что то нечего невидит (странно!) за скрипт спасибо, завтро все ваши инструкций по ликвидаций ЧС на ПК

Ссылка на комментарий
Поделиться на другие сайты

Очистите Task Scheduler (планировщик задач)

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('c:\windows\winsvc32.exe');
DeleteFile('C:\WINDOWS\winsvc32.exe');
DeleteFile('C:\WINDOWS\system32\blastclnnn.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\service32.exe');
BC_ImportDeletedList;
ExecuteRepair(6);
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

Включите AVZPM и повторите логи в обычном режиме.

 

C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\service32.exe

C:\WINDOWS\winsvc32.exe

 

 

И зачем к архиву с логами добавлять карантин?

Ссылка на комментарий
Поделиться на другие сайты

akoK

И зачем к архиву с логами добавлять карантин?

по запарке все запихал, из вирлаба ответили, что там следующие содержание:

service32.exe_ - Worm.Win32.AutoRun.ygv,

Vsp.sys - Rootkit.Win32.Small.qb,

winsvc32.exe_ - Trojan-Downloader.Win32.VB.kfl

 

Детектирование файлов будет добавлено в следующее обновление.

ВирусЛаб ЛК! =)

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ShadowIce449
      Автор ShadowIce449
      игры упали в производ, вертушки начали шуметь просто так, испол drweb ничего не обнаружил, а также запустил avz. Cкачивал игры с торрент игрухе и т.д
       
      CollectionLog-2025.06.12-21.38.zip
    • super__feya
      Автор super__feya
      Здравствуйте! У меня следующая проблема: в последнее время самопроизвольно переподключалась мышь (воспроизводился системный звук Windows подключения нового внешнего устройства, после этого курсор на долю секунды замирал и после продолжал работать как и прежде). Я думал, что проблема в разъеме, поэтому переподключил мышь в другой usb-разъем, но ситуация не изменилась. Помимо этого, при открытии монитора ресурсов, во вкладке "ЦП" показаны два приостановленных процесса: "SearchApp.exe" и "ShellExperienceHost.exe" (слышал, что это может быть следствием наличия майнера на компьютере). Также я произвел проверку с помощью "Kaspersky Virus Removal Tool". Обнаружилось порядка дюжины подозрительных файлов, которые я удалил, но ситуация не изменилась. Пожалуйста, подскажите решение данной проблемы.
      CollectionLog-2025.05.05-17.33.zip
    • GlibZabiv
      Автор GlibZabiv
      Здравствуйте, ЦП AMD Ryzen 5 3600 в простое греется до 65-75 градусов, ГП AMD Radeon RX 570 Series до 48-50 градусов. Насколько я знаю, в простое такая температура ненормальна. По диспетчеру задач нагрузка небольшая. Kaspersky Internet Security, Dr.Web CurIt! майнера не видят. Прошу вас сказать, заражен ли мой компьютер (данные брал из программы AIDA 64).
      CollectionLog-2025.05.31-12.01.zip
    • asmonekus
      Автор asmonekus
      В какой-то момент заметила, что в истории поиска Windows начали появляться запросы, иногда даже на английском, которых я не делала, даже если компьютер был выключен. В истории запросов аккаунта Microsoft, который я использую на ПК, ничего подобного нет, плюс я сменила пароль и на всякий случай сделала выход со всех устройств через управление аккаунтом.
       
      Проводила проверку ПК и Kaspersky Virus Removal Tool, и Dr.Web CureIt!, и Kaspersky Premium – ничего не обнаружено. Запускала Avbr – почистил кеш и тоже ничего не обнаружил. Единственное, узнала, что Windows активирован KMSAuto (ПК был куплен в сборке с уже установленным ПО), но, насколько я с ним сталкивалась, он проблем каких-либо не доставлял.

      Никакого другого подозрительного поведения не обнаружила, все сайты как были доступны, так и остались. Лишней нагрузки тоже нет. Но эти рандомные запросы уж очень меня смущают.
      CollectionLog-2025.05.16-22.38.zip
    • tkm
      Автор tkm
      Система стала сильно использовать ресурсы. При проверке антивирусом был обнаружен и обезврежен один файл
      CollectionLog-2025.02.28-12.50.zip
×
×
  • Создать...