Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Вирус или что?

Sasha12128

Автор Sasha12128
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Sasha12128 Новичок

Sasha12128

Опубликовано
Опубликовано (изменено)

Вчера обнаружил при двойном клике на любом из разделов жёсткого диска c,d и т.д. после чего окно закрывалось, вот такое сообщение об ошибки:

post-8711-1236073461_thumb.jpg

Изменено пользователем Sasha12128
Ссылка на комментарий
Поделиться на другие сайты
akoK Ветеран

akoK

Опубликовано
Опубликовано

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('msupdate', 4);
QuarantineFile('digeste.dll','');
QuarantineFile('F:\DOCUME~1\Bredlyy\LOCALS~1\Temp\init.exe','');
QuarantineFile('c:\windows\system32\..\svchost.exe','');
DeleteFile('c:\windows\system32\..\svchost.exe');
DeleteFile('F:\DOCUME~1\Bredlyy\LOCALS~1\Temp\init.exe');
DeleteFile('digeste.dll');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('F:\autorun.inf');
DeleteService('msupdate');
BC_ImportALL;
ExecuteRepair(8);
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

 

 

 

Повторите логи.

Ссылка на комментарий
Поделиться на другие сайты
FagotAdmin Постоялец

FagotAdmin

Опубликовано
Опубликовано
Вчера обнаружил при двойном клике на любом из разделов жёсткого диска c,d и т.д. после чего окно закрывалось, вот такое сообщение об ошибки:

Вирусня, возможно остатки, возможно Авторанер... Че делать? Сначала запишите на болванку AVZ 4 и сканер Dr. Web в безопасном режиме просканируйте систему с диска сначала AVZ 4 потом Dr. Web (сканеры запускать с болванки! ) после этого установите какую нить утилитку по очистке реестра и почистите реестр, благо такого софта в нэте полно. Думаю этот совет поможет Вам :)

Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано
Думаю этот совет поможет Вам

 

А вы видите что процесс лечения уже идёт или принципиально не читаете больше ничьи сообщения?

Ссылка на комментарий
Поделиться на другие сайты
akoK Ветеран

akoK

Опубликовано
Опубликовано (изменено)

FagotAdmin, я не сильно Вам мешаю своими рекомендациями проводить лечение?

 

ыыыы афтар жжет.

Изменено пользователем akoK
Ссылка на комментарий
Поделиться на другие сайты
akoK Ветеран

akoK

Опубликовано
Опубликовано

Помойка еще осталась.

 

Пофиксить в HijackThis следующие строчки

 	
F2 - REG:system.ini: Shell=c:\windows\explorer.exe
O2 - BHO: MyCentria Internet Mate v2.0 - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O20 - Winlogon Notify: crypt - C:\WINDOWS\

 

Ваш провайдер?

85.255.114.72
org-name: UkrTeleGroup Ltd.
address: UkrTeleGroup Ltd.
address: Mechnikova 58/5 65029 Odessa

 

Если нет, то пофиксить в HijackThis

 
O17 - HKLM\System\CS8\Services\Tcpip\Parameters: NameServer = 85.255.114.72,85.255.112.212
O17 - HKLM\System\CS9\Services\Tcpip\Parameters: NameServer = 85.255.114.72,85.255.112.212
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.72,85.255.112.212

 

Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол.

Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)

временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

:Processes
explorer.exe

:Services

:Files
J:\autorun.exe
G:\autorun.exe
F:\Documents and Settings\Bredlyy\Local Settings\Temp\init.exe
C:\Program Files\MyCentria
C:\WINDOWS\system32\shell31.dll
C:\WINDOWS\A7E07C2B2220441587E3784D5814BC93.TMP
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{adcb423e-504b-11dd-a291-d36e9a8ae8dc}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b6acff2b-840a-11dd-a3a3-81c20484a636}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ec0f1bed-e33d-11dd-a4a5-aa80ea13728f}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt]
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.

Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

 

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

 

Bonjour - нужен?

 

А что за вирус был?

Вам прийдет ответ от виралаба, а не мне :)

Ссылка на комментарий
Поделиться на другие сайты
Sasha12128 Новичок

Sasha12128

Опубликовано
  • Автор
Опубликовано (изменено)

Пофиксил :)

 

Ваш провайдер?

85.255.114.72
org-name: UkrTeleGroup Ltd.
address: UkrTeleGroup Ltd.
address: Mechnikova 58/5 65029 Odessa

 

Не провайдер не мой, тоже пофиксил B)

 

Bonjour - нужен?

Нет не нужен, а как избавится?

03032009_215725.log

mbam_log_2009_03_03__22_53_13_.txt

Изменено пользователем Sasha12128
Ссылка на комментарий
Поделиться на другие сайты
akoK Ветеран

akoK

Опубликовано
Опубликовано

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SetAVZGuardStatus(True);
DeleteService('Bonjour Service');
DeleteFile('c:\program files\bonjour\mdnsresponder.exe');
DeleteFile('c:\program files\bonjour\mdnsNSP.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • kazakova
      вирус banta
      Автор kazakova
      Добрый день! Подверглись вирусной атаке, все необходимые файлы приложила, пароль на архив 123. Есть ли возможность восстановить файлы?
       
       
       
       
      логи.rarфайлы_зашифрованные.rarфайлы_шифровальщика.rar
    • composer1995
      [РЕШЕНО] Вирус CAAServices.exe
      Автор composer1995
      Добрый день!

      Столкнулся с вирусом CAAServices.exe. Изложу последовательно события и свои действия:

      1. Центр обновления Windows установил обновления (не знаю, связано ли это с дальнейшей проблемой)
      - Накопительное обновление для Windows 11 Version 24H2 для систем на базе процессоров x64, 2025 07 (KB5062553)
      - 2025-07 Накопительное обновление .NET Framework 3.5 и 4.8.1 для Windows 11, version 24H2 для x64-разрядных систем (KB5056579)

      2. После обновления комп перезагрузился и в простое на рабочем столе начал сильно шуметь. Я решил проверить диспетчер задач и заглянуть в автозагрузки. В этот момент комп уже остыл и вернулся к нормальному уровню шума. В списке автозагрузок обнаружил файл CAAServices.exe, расположение файла C:\ProgramData\CAAService

      3. Нагуглил, что это майнер, провёл проверку защитником Windows, обнаружил вирус:
      - Trojan:Win64/DisguisedXMRigMiner!rfn, затронутые элементы C:\ProgramData\CAAService\Microsoft Network Realtime lnspection Service.exe

      Далее, в исключениях обнаружил CAAServices.exe, убрал его из списка исключений. Вручную указал папку CAAService, и в ней он нашёл:
      - Trojan:Win32/Wacatac.H!ml, затронутые элементы C:\ProgramData\CAAService\CAAServices.exe

      Защитник удалил оба вируса. После рестарта компа в автозагрузках снова обнаружил этот CAAServices.exe. Повторил процедуру по поиску и удалению вируса, комп не перезагружал.

      4. Пришёл сюда на сайт, провёл проверку Kaspersky Virus Removal Tool, обнаружил два вируса (прикладываю скрин). После проверки данной утилитой и рестарта компа в автозагрузке майнер не появляется. В папке C:\ProgramData\CAAService исчез файл CAAServices.exe. Остались только файлы CAAServices.vdr и OpenCL.dll.

      5. Собрал логи с помощью AutoLogger, прикладываю архив.

      Скажите, пожалуйста, избавился ли я от майнера, или нужно предпринять ещё какие-то меры?

      CollectionLog-2025.07.10-12.42.zip
    • sekvoya
      [РЕШЕНО] Подозрение на ВИРУС
      Автор sekvoya
      В браузере появляется расширение AdBlock, которое ломает разметку. При удалении расширения все становится нормально. Однако, после перезапуска ПК, расширение появляется в браузере вновь. Также в папке Temp появляется папка, которую нельзя удалить "2xzjmmugjeoboytjoc0goumkkhc"
      CollectionLog-2025.07.05-18.18.zip
    • sasaks11
      Вирус
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Ferri
      [РЕШЕНО] Обнауржен вирус CAAServieces.exe
      Автор Ferri
      Доброго времени суток.

      Столкнулась с проблемой майнер CAAServieces.exe. Начала искать способы по отключению, удалению вируса. Отключить отключила, Из реестра удалила, Удалила. Провела несколько проверок через антивирусы - чисто. Только при перезагрузке и некоторого времени (1-2 минуты) создается снова папка и файл с вирусом (но не запускается) по расположению: C:\ProgramData\CAAService.

      Прикладываю проверку с KVRT и AutoLogger.

      Найдя на форуме такую же проблему - уже решённую ранее - прикрепляю логи из FRST64

      CollectionLog-2025.07.19-02.48.zip Addition.txt FRST.txt
×
×
  • Создать...