Перейти к содержанию
Правила раздела
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Прошу помочь, уже не знаю, что делать с этим вирусом.

Анонимка

Автор Анонимка
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Анонимка Новичок

Анонимка

Опубликовано
Опубликовано

 Предыстории не помню, но сейчас наблюдаю на всех своих устройствах : 

1) Фиктивные сетевые адаптеры

2) Непонятные порты и службы

3) Тормоза компьютера - хотя они не особо заметны

4) Предустановленные драйверы, которые нельзя удалить

5) Какие-то левые сертификаты 2010 года, которые определяются, как валидные

6) Переустановка винды не помогает - такое ощущение, что где-то в недрах диска или биоса зашито это. Либо стоит какое-либо устройство. 

7) Это проявляется на стационарном ПК , ноутбуке, возможно андроид мобильнике.

 

 

Чтобы я ни делал, везде проскакивают странности. 

Очень неприятна мысль, что все твои действия могут контролировать, еще хуже, если могут ими воспользоваться. В этом мои опасения.

 

Я собрал некие подозрительные файлы с папки windows - они на диске - 

https://drive.google.com/file/d/17QJoI863YzvNPeo_WTdW5MmcLu729Bg2/view?usp=sharing

https://drive.google.com/file/d/1d4szAEudnYbfS9hlKQOvQHtCQM6wTLmj/view?usp=sharing

https://drive.google.com/file/d/1ioGd1yf_pYjWv3bhf368gtmcq7EaxQj_/view?usp=sharing

https://drive.google.com/file/d/1smFWpaWPqEtEND023e6lBkTmq4uZ-_fd/view?usp=sharing

Можете помочь ?

  Показать контент
  Показать контент
  Показать контент
  Показать контент

  

Ссылка на комментарий
Поделиться на другие сайты
Анонимка Новичок

Анонимка

Опубликовано
  • Автор
Опубликовано
Ссылка на комментарий
Поделиться на другие сайты
Анонимка Новичок

Анонимка

Опубликовано
  • Автор
Опубликовано

Это один компьютер. Первый раз собрались логи со всех дисков, но не полное логирование. (22-56) Далее попытался выполнить полное логирование, но чекбокс с основного диска C автоматически снимался. Возможно это корректное поведение софта, я не в курсе. Посмотрите пожалуйста первый лог.

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
Анонимка Новичок

Анонимка

Опубликовано
  • Автор
Опубликовано
  В 25.05.2021 в 19:08, mike 1 сказал:

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 


3munStB.png

Показать  

 

Addition.txtПолучение информации... FRST.txtПолучение информации... Shortcut.txtПолучение информации...

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в кодировке Юникод в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
CloseProcesses:

GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1587098055-1856311682-2564271239-1001\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
U1 aswbdisk; отсутствует ImagePath
  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Обратите внимание, что компьютер будет перезагружен.
  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Ссылка на комментарий
Поделиться на другие сайты
Анонимка Новичок

Анонимка

Опубликовано
  • Автор
Опубликовано
  В 02.06.2021 в 20:37, mike 1 сказал:

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в кодировке Юникод в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: 
    CreateRestorePoint:
CloseProcesses:

GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1587098055-1856311682-2564271239-1001\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
U1 aswbdisk; отсутствует ImagePath
  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Обратите внимание, что компьютер будет перезагружен.
  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

Показать  

 

Fixlog.txtПолучение информации...

Ссылка на комментарий
Поделиться на другие сайты
  • thyrex закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Orbeatt
      Прошу помочь расшифровать. Есть Исходник и расшифрованный вариант от злоумышленника.
      Автор Orbeatt
      В архиве 2 файла упакованные шифровальщиком и они же расшифрованные злоумышленником. Прошу помочь со средством для расшифровки остальных файлов
      files2.rar
       
    • m1pod
      Вирус google Updater.exe прошу помощи!
      Автор m1pod
      Доброго времени точно такая же проблема, как я понял это троян. Простыми антивирусами не удаляется. Не знаю что делать. Выполнил всё вышеперечисленное, прикрепляю архив
      DESKTOP-7C276PF_2025-03-03_23-49-45_v4.99.10v x64.7z
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Danila05
      Прошу помощи с удалением вируса или майнера
      Автор Danila05
      Начал замечать что видео с любой площадки начали троить( просто на пол экрана появляются какие то битые пиксили) так же скорость загрузки видео начала падать( спустя несколько часов после запуска пк) Так же упал фпс в играх и часто начали сбои в работе программ (вылеты, зависания) Начал замечать странные приложение в диспетчере, но они почти сразу проподают.
      CollectionLog-2025.02.12-12.10.zip
    • KL FC Bot
      Как видеокамера может помочь вымогателям | Блог Касперского
      Автор KL FC Bot
      Поучительный инцидент с атакой ransomware-группировки Akira наверняка на несколько лет станет любимым примером ИБ-специалистов. Злоумышленники зашифровали компьютеры организации, воспользовавшись ее видеокамерой. Хотя звучит это очень странно, в развитии событий есть логика, которую легко применить к другой организации и другим устройствам в ее инфраструктуре.
      Анатомия атаки
      Злоумышленники проникли в сеть, проэксплуатировав уязвимость в публично доступном приложении и получив возможность выполнять команды на зараженном хосте. Они воспользовались этим, чтобы запустить популярное приложение дистанционного доступа AnyDesk, а затем инициировали с этого компьютера RDP-сессию для доступа к файл-серверу организации. На сервере они попытались запустить свой шифровальщик, но EDR-система, установленная в компании, опознала вредоносное ПО и поместила его в карантин. Увы, это не остановило атакующих.
      Не имея возможности запустить свой шифровальщик на серверах и обычных компьютерах, которые находятся под защитой EDR, атакующие запустили сканирование внутренней сети и обнаружили в ней сетевую видеокамеру. В отчете команды по расследованию инцидента это устройство постоянно называют веб-камерой (webcam), но мы все же полагаем, что речь не о камере ноутбука или смартфона, а о независимом сетевом устройстве, применяемом для видеонаблюдения.
      Камера стала прекрасной мишенью для атакующих по нескольким причинам:
      устройство давно не обновлялось, его прошивка содержала уязвимости, позволяющие дистанционно скомпрометировать камеру и получить на ней права на запуск оболочки (remote shell); камера работает под управлением облегченной сборки Linux, на которой можно запускать обычные исполнимые файлы этой ОС, например Linux-шифровальщик, имеющийся в арсенале Akira; это специализированное устройство не имело (и, скорее всего, не могло иметь) ни агента EDR, ни других защитных средств, которые могли бы определить вредоносную активность. Злоумышленники смогли установить свое вредоносное ПО на эту камеру и зашифровать серверы организации прямо с нее.
       
      View the full article
    • lex-xel
      Добрый день, прошу помочь расшифровать файлы.
      Автор lex-xel
      Пк взломали, был установлен антивирус Касперского, и запаролен. Ни какого софта не скачивал и не устанавливал, антивирус не отключал.
      Если возможно прошу помочь, заархивировали базу данных в формате rar с паролем и шифрованием. 
      ooo4ps.7z
×
×
  • Создать...