SergD29 Опубликовано 6 апреля, 2021 Поделиться Опубликовано 6 апреля, 2021 Добрый день господа, с недавних пор в локальной папки с обновлениями касперского начал появляться файл E:\Update\VID001.exe Тип : Вирус Название :Worm.NSIS.BitMin.d, Kaspersky Endpoint Security его постоянно обнаруживает и удаляет но а источник найти не может, при обновлении Kaspersky сообщает "Компонент : Обновление Ошибка : Недостаточно прав для выполнения файловой операции " , соответственно компьютер остается зараженным , я нашел некоторое задание в планировщике (Optimize Start Menu Cache Files-S-1-5-21-171144569-2579681818-3363539637-1001 и User_Feed_Synchronization-{83883FEA-F164-43A2-90B0-C94AD62C0AFA}) отключил его. активность вируса снизилась но полностью не ушла . Как победить заразу. AutoLogger https://disk.yandex.ru/d/lYzpTRYEzIKHOg Ссылка на комментарий Поделиться на другие сайты Поделиться
Sandor Опубликовано 6 апреля, 2021 Поделиться Опубликовано 6 апреля, 2021 Здравствуйте! Перепаковывать ничего не нужно было, только сам архив CollectionLog, который легко прикрепляется к сообщению. Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. 25 минут назад, SergD29 сказал: в локальной папки с обновлениями касперского начал появляться файл KSC не используете? Много расшаренных папок Цитата C:\Users\Admin\Desktop\Больница\ShareLinux E:\Update C:\Users E:\Марченко E:\Марченко2 На папку E:\Update открыт общий доступ? Скачайте Malwarebytes v.4. Установите и запустите. (На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию"). Запустите Проверку и дождитесь её окончания. Самостоятельно ничего не помещайте в карантин!!! Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan". Отчёт прикрепите к сообщению. Подробнее читайте в руководстве. Ссылка на комментарий Поделиться на другие сайты Поделиться
SergD29 Опубликовано 6 апреля, 2021 Автор Поделиться Опубликовано 6 апреля, 2021 1.Файл весит 350 мб, и не загружается на virusinfo.info на 2 минуте выдает ошибку "Страница недоступна" , могу разместить ня яндекс диске 2.Нет 3.Такая работа 4.Да (но сейчас от неё ПК отключены) 5.Выполнил scan.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
Sandor Опубликовано 6 апреля, 2021 Поделиться Опубликовано 6 апреля, 2021 8 минут назад, SergD29 сказал: могу разместить ня яндекс диске Подойдет. В Malwarebytes удалять ничего не нужно. Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты Поделиться
SergD29 Опубликовано 6 апреля, 2021 Автор Поделиться Опубликовано 6 апреля, 2021 avz4 https://disk.yandex.ru/d/CjqMQ2myvbCkVw Farbar Recovery Scan Tool Addition.txt FRST.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
Sandor Опубликовано 6 апреля, 2021 Поделиться Опубликовано 6 апреля, 2021 Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: SystemRestore: On CreateRestorePoint: HKU\S-1-5-21-171144569-2579681818-3363539637-1001\...\MountPoints2: J - "J:\Autorun.exe" HKU\S-1-5-21-171144569-2579681818-3363539637-1001\...\MountPoints2: K - "C:\Windows\system32\RunDLL32.EXE" Shell32.DLL,ShellExec_RunDLL install-doc\index.html HKU\S-1-5-21-171144569-2579681818-3363539637-1001\...\MountPoints2: {089a4562-ab48-11e8-826f-50465d8e2d06} - "F:\LGAutoRun.exe" HKU\S-1-5-21-171144569-2579681818-3363539637-1001\...\MountPoints2: {15a5ee3c-86ec-11eb-82d5-18c04d3100d1} - "J:\HiSuiteDownLoader.exe" HKU\S-1-5-21-171144569-2579681818-3363539637-1001\...\MountPoints2: {19a2be7a-5c9b-11e8-8260-aeba2aa119e0} - "D:\Lenovo_Suite.exe" HKU\S-1-5-21-171144569-2579681818-3363539637-1001\...\MountPoints2: {19a2c5b3-5c9b-11e8-8260-aeba2aa119e0} - "F:\Setup.exe" HKU\S-1-5-21-171144569-2579681818-3363539637-1001\...\MountPoints2: {3653a2b1-836e-11e9-8299-90f652028a1f} - "F:\HiSuiteDownLoader.exe" HKU\S-1-5-21-171144569-2579681818-3363539637-1001\...\MountPoints2: {38c5f91c-ebde-11e8-827a-50465d8e2d06} - "D:\Lenovo_Suite.exe" HKU\S-1-5-21-171144569-2579681818-3363539637-1001\...\MountPoints2: {4b40601c-5489-11ea-82bc-90f652028a1f} - "G:\HiSuiteDownLoader.exe" HKU\S-1-5-21-171144569-2579681818-3363539637-1001\...\MountPoints2: {5616d736-9c82-11e9-829c-90f652028a1f} - "F:\AutoRun.exe" HKU\S-1-5-21-171144569-2579681818-3363539637-1001\...\MountPoints2: {5616d765-9c82-11e9-829c-90f652028a1f} - "F:\AutoRun.exe" HKU\S-1-5-21-171144569-2579681818-3363539637-1001\...\MountPoints2: {6e5699ff-8913-11e9-8299-90f652028a1f} - "D:\Lenovo_Suite.exe" HKU\S-1-5-21-171144569-2579681818-3363539637-1001\...\MountPoints2: {6fe30776-e039-11e9-82a4-90f652028a1f} - "D:\Lenovo_Suite.exe" HKU\S-1-5-21-171144569-2579681818-3363539637-1001\...\MountPoints2: {6fe307ab-e039-11e9-82a4-90f652028a1f} - "D:\Lenovo_Suite.exe" HKU\S-1-5-21-171144569-2579681818-3363539637-1001\...\MountPoints2: {73e914fd-8045-11e9-8298-90f652028a1f} - "D:\Lenovo_Suite.exe" HKU\S-1-5-21-171144569-2579681818-3363539637-1001\...\MountPoints2: {7d47db76-f17c-11e8-827c-50465d8e2d06} - "F:\Lenovo_Suite.exe" HKU\S-1-5-21-171144569-2579681818-3363539637-1001\...\MountPoints2: {7d47dce0-f17c-11e8-827c-50465d8e2d06} - "F:\Lenovo_Suite.exe" HKU\S-1-5-21-171144569-2579681818-3363539637-1001\...\MountPoints2: {958b3e11-247c-11e9-8285-50465d8e2d06} - "F:\Setup.exe" HKU\S-1-5-21-171144569-2579681818-3363539637-1001\...\MountPoints2: {c9e48f2f-a169-11e9-829d-90f652028a1f} - "F:\Lenovo_Suite.exe" HKU\S-1-5-21-171144569-2579681818-3363539637-1001\...\MountPoints2: {cfb49e22-3629-11e8-8258-50465d8e2d06} - "G:\Lenovo_Suite.exe" HKU\S-1-5-21-171144569-2579681818-3363539637-1001\...\MountPoints2: {e8c5da1d-d086-11ea-82c1-90f652028a1f} - "G:\HiSuiteDownLoader.exe" HKU\S-1-5-21-171144569-2579681818-3363539637-1001\...\MountPoints2: {e8c5da93-d086-11ea-82c1-90f652028a1f} - "J:\HiSuiteDownLoader.exe" GroupPolicy: Ограничение ? <==== ВНИМАНИЕ GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ GroupPolicyScripts: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\Admin\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ FirewallRules: [{08080C0C-E935-4091-946B-21ED9D148472}] => (Allow) ASAM_Server.exe => Нет файла FirewallRules: [{1C6AC3C9-23A6-46BE-BA7F-3F66A643FEEF}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => Нет файла FirewallRules: [{8A93BE7F-90DD-457D-A33D-D7F8716CA528}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => Нет файла FirewallRules: [{8AC3B81A-26B6-4B3C-9474-D453C987F57F}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe => Нет файла FirewallRules: [{03F349A8-9912-4DE5-B5F0-2720EED9C5D3}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe => Нет файла FirewallRules: [{3303BFE0-74D5-467A-81FE-A7006478DFA5}] => (Allow) LPort=1433 FirewallRules: [{725FCDBC-5C7E-4DE9-B7DD-BEEC4C794564}] => (Allow) LPort=135 FirewallRules: [{53046FA9-1C4A-4BE4-B309-47BFC758B738}] => (Allow) LPort=1434 FirewallRules: [{321391CF-4D74-43E9-B8C9-5B023947CF19}] => (Allow) LPort=1434 FirewallRules: [{786CA6C1-E76B-4FC7-9047-CD8DFBFE8BA4}] => (Allow) LPort=80 FirewallRules: [{DE507661-7356-4162-B74D-4A5B618A2823}] => (Allow) LPort=443 FirewallRules: [{D32B847B-9B26-499C-9AA3-5C74537D700F}] => (Allow) LPort=135 FirewallRules: [{54576C2D-B2E5-473B-963B-9F9EA7BFFB64}] => (Allow) LPort=1433 FirewallRules: [{01311496-8DEF-4824-ACCA-5C79BF7F54F9}] => (Allow) LPort=1434 FirewallRules: [{7F8FABBF-A8C5-4B69-8944-5A872C8B8B24}] => (Allow) LPort=1434 FirewallRules: [{FFC098C3-DFDD-4507-A2A2-77B66D3FD886}] => (Allow) LPort=8745 EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты Поделиться
SergD29 Опубликовано 6 апреля, 2021 Автор Поделиться Опубликовано 6 апреля, 2021 Fixlog Fixlog.txt Ссылка на комментарий Поделиться на другие сайты Поделиться
Sandor Опубликовано 6 апреля, 2021 Поделиться Опубликовано 6 апреля, 2021 Источник заражения нужно искать в вашей сети. Если будет подозрение, можем тут на форуме проверить, только действуйте по принципу один компьютер - одна тема. Здесь проверьте уязвимые места: Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работуДождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txtЕсли Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txtПрикрепите этот файл к своему следующему сообщению. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти