Перейти к содержанию

Подхватил вирус


Рекомендуемые сообщения

обнаружено: троянская программа Trojan-Downloader.JS.Iframe.acm URL: Хттп://www.mirdosuga.ru/

обнаружено: потенциально опасное ПО Trojan.generic Процесс: C:\WINDOWS\services.exe

обнаружено: потенциально опасное ПО Mass-mailer software Процесс: C:\WINDOWS\services.exe

 

после пошло Kis7 выводит сообшения вирус питается запустить какието файлы и выдает собшения откат пропустить или добавить в доверенную зону

 

сканирование ничего не дало ниче не нашол пока services.exe етот фаел находился в карантине ! после сделал логи с помошью улит как написано тут у вас ! потом перезагрузился врубил антивируску и он удалил services.exe етот фаел ! но мне кажется чета наверное осталось после етого !

 

прошу помочь с етим

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено пользователем wise-wistful
сделал ссылку не активной
Ссылка на комментарий
Поделиться на другие сайты

Сначала запишите на болванку AVZ 4 и сканер Dr. Web в безопасном режиме просканируйте систему с диска сначала AVZ 4 потом Dr. Web (сканеры запускать с болванки! ) после этого установите какую нить утилитку по очистке реестра и почистите реестр, благо такого софта в нэте полно. Думаю этот совет поможет Вам :blink:

 

Сообщение от модератора wise-wistful
Удалил цитирование предыдущего поста. Тяжело читать так
Изменено пользователем wise-wistful
Ссылка на комментарий
Поделиться на другие сайты

Adobe Reader обновите до 9 версии.

 

Отключите восстановление системы.

 

 

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('G:\autorun.inf','');
QuarantineFile('c:\windows\services.exe','');
TerminateProcessByName('c:\windows\services.exe');
DeleteFile('c:\windows\services.exe');
DeleteFile('G:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам.

 

 

Повторите логи.

 

FagotAdmin я так понимаю с АВЗ и прочими утилитами вы плохо работаете. Не нужно АВЗ записывать на СД да и други утилиты в данном случае, такая мера оправдана при файловом вирусе.

Изменено пользователем wise-wistful
Ссылка на комментарий
Поделиться на другие сайты

Сроки ответов разные. Но в данном случае можем не ждать для продолжения лечения именно ответа. Ждём нового комплекта логов.

Изменено пользователем wise-wistful
Ссылка на комментарий
Поделиться на другие сайты

спс большое я бы хотел научиться читать ети логи для будушего ни когда не помишают лишние знания

 

 

 

В логах подозрительного ничего не видно больше.

 

 

я решил прогнать еше раз на вирусы и вот результат :

 

удалено: троянская программа Trojan.Win32.Agent.bsja Файл: C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\ZTSKC93J\load[1].exe

Изменено пользователем vova43
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • sasaks11
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Nickopol
      Автор Nickopol
      HEUR:Trojan.Win64.Miner.gen (так определил касперский). Как избавиться без переустановки винды? Создаёт папку в ProgramData типа paperprotector-1c42cf80-e801-4c6e-8375-3b7be1b4649c. paperprotector.exe - запускаемый файл 
    • nooky910
      Автор nooky910
      Добрый день. Заметил, что при играх резкая просадка фпс началась. Лечил 2 таблетками, но безуспешно. Бесконечно создается сам. Так же был замечен xmring miner, но таблетка его вроде пыталась удалить. 


       
      CollectionLog-2025.05.24-17.36.zip
    • Lionz
      Автор Lionz
      При открытии папки Program Data, проводник закрывается, такая же проблема с браузером, если открыты вкладки про ударение вируса. И схожая проблема с диспетчером задач.
    • SonG
      Автор SonG
      Добрый день!  На Server 2022 (Standart) появились вирусы.
      1. Сначала был Trojan.Win32.SEPEH, но после 3-4 проверок Kaspersky Endpoint Security, пропал. В это время уже центр обновлений не работал
      2. Дальше полез в реестр и слкжбы службы. На службах wuauserv, usosvc, BITS, WaaSMedicSvc, DoSvc, wuaserv, был постфикс "_bak" (оригиналы при этом были). Удалил из под безопасного режима, прогнал антивирусом и перезапустился. Вроде больше не появлялись.
       
      Теперь центр обновлений так и не работает, но на глаз попались другие службы, где уже другие названия:
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CaptureService_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cbdhsvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CDPUserSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ConsentUxUserSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CredentialEnrollmentManagerUserSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DeviceAssociationBrokerSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DevicePickerUserSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DevicesFlowUserSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PimIndexMaintenanceSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PrintWorkflowUserSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UdkUserSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UnistoreSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UserDataSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WpnUserService_b1e5e  
      Что делать, куда "копать" ?) 
      Физический доступ к серверу бывает раз в день (99% операций провожу под RDP)
      CollectionLog-2025.06.01-16.59.zip FRST.txt Addition.txt
×
×
  • Создать...