Перейти к содержанию
Правила раздела

Подозрение на вирусы

Apollon

Автор Apollon
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

akoK Ветеран

akoK

Опубликовано
Опубликовано

E:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\RemovableDriveHelper.exe (avz00003.dta) - отправьте в вирлаб.

 

Обновите базы AVZ.

Система загружена в режиме защиты от сбоев (SafeMode)

Почему?

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\service32.exe','');
QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\Taquito.exe','');
QuarantineFile('C:\WINDOWS\system32\blastclnnn.exe','');
QuarantineFile('C:\WINDOWS\winsvc32.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\Vsp.sys','');
DeleteFile('C:\WINDOWS\system32\blastclnnn.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\service32.exe');
DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\Taquito.exe');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\RemovableDriveHelper.exe');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

Повторите логи

Ссылка на комментарий
Поделиться на другие сайты
Apollon Ветеран

Apollon

Опубликовано
  • Автор
Опубликовано
Обновите базы AVZ.

Цитата

Система загружена в режиме защиты от сбоев (SafeMode)

 

Почему?

Отвечаю - в нормальном режиме система работать практический отказывалась, пришлось загружатся в безопасном режиме т.к даже та же флешка открывалась 30-40 минут, а WKS 6.0 с обновленными базами что то нечего невидит (странно!) за скрипт спасибо, завтро все ваши инструкций по ликвидаций ЧС на ПК

Ссылка на комментарий
Поделиться на другие сайты
akoK Ветеран

akoK

Опубликовано
Опубликовано

Очистите Task Scheduler (планировщик задач)

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('c:\windows\winsvc32.exe');
DeleteFile('C:\WINDOWS\winsvc32.exe');
DeleteFile('C:\WINDOWS\system32\blastclnnn.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\service32.exe');
BC_ImportDeletedList;
ExecuteRepair(6);
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

Включите AVZPM и повторите логи в обычном режиме.

 

C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\service32.exe

C:\WINDOWS\winsvc32.exe

 

 

И зачем к архиву с логами добавлять карантин?

Ссылка на комментарий
Поделиться на другие сайты
Apollon Ветеран

Apollon

Опубликовано
  • Автор
Опубликовано

akoK

И зачем к архиву с логами добавлять карантин?

по запарке все запихал, из вирлаба ответили, что там следующие содержание:

service32.exe_ - Worm.Win32.AutoRun.ygv,

Vsp.sys - Rootkit.Win32.Small.qb,

winsvc32.exe_ - Trojan-Downloader.Win32.VB.kfl

 

Детектирование файлов будет добавлено в следующее обновление.

ВирусЛаб ЛК! =)

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sekvoya
      [РЕШЕНО] Подозрение на ВИРУС
      Автор sekvoya
      В браузере появляется расширение AdBlock, которое ломает разметку. При удалении расширения все становится нормально. Однако, после перезапуска ПК, расширение появляется в браузере вновь. Также в папке Temp появляется папка, которую нельзя удалить "2xzjmmugjeoboytjoc0goumkkhc"
      CollectionLog-2025.07.05-18.18.zip
    • aminjik
      Подозрение на вирусы после проверки
      Автор aminjik
      Здравствуйте!
      Проверил систему на вирусы с помощью kvrt
      Были обнаружены два вируса
      Trojan.Win32.Agentb.kwqa
      Trojan.Win64.Reflo.his
      Один в Exe файле, другой в образе iso
      Образ использовался на виртуальной машине, а exe запускался давно и был он в игре.
      Сейчас оба удалены и по этой причине пишу сюда
      Спасибо
      CollectionLog-2025.06.15-19.17.zip
    • FMEKLW
      [РЕШЕНО] Подозрение на майнер
      Автор FMEKLW
      Как-то просто решил зайти в диспетчер задач и посмотреть процессы, и увидел 3 процесса Setup, которые ведут к папке 2xzjMMUGjeobOYtjoc0gOuMKKHC в Temp. Сам просто решил пока ничего не делать, а поискать информации об этой теме. И вот я здесь нашёл обсуждения с помощью по данной теме. Честно не знаю, что мог скачать, из-за чего это появилось: либо игры, либо русификаторы, либо что-то другое. Все скачивал по прямой ссылке, с облаков, с MediaGet и uTorrent. Никаких проблем я особо не увидел, как у других. Т.е. люди писали про проблемы с расширениями в Chrome, коих у себя я не обнаружил, ведь я пользуюсь из браузеров только Яндексом, в котором ничего странного тоже нету.CollectionLog-2025.07.11-23.07.zip
    • Vovkaproshka
      Подозрение на майнер
      Автор Vovkaproshka
      После установки лоадера впнов появился процесс setup нагружает только оперативку.
      Doctor  web antivirus удаляет три трояна, после сетап пропадает из процессов, после перезагрузки процесс снова появляется, думаю прикрепился к какому-то приложению, через безопасный режим также после удаления и перезагрузки загружается,  находится по пути AppData\Local\Temp\2xzjMMUGjeobOYtjoc0gOuMKKHC
    • Milink
      Подозрение на майнер
      Автор Milink
      скачал игру с торрента, после чего в браузере Chrome после каждого перезапуска пк начало устанавливаться левое расширение якобы Adblock. Так же в temp появляется папка 2xzjMMUGjeobOYtjoc0gOuMKKHC. Пробовал чистить антивирусами - не помогло.
      Нашел решение, avz скачал, Autologger я так понимаю тоже надо качать: 
      Актуально ли оно?
       
×
×
  • Создать...