Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Вечно живые вирусы

Одинокий Дракон

Автор Одинокий Дракон
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Одинокий Дракон Новичок

Одинокий Дракон

Опубликовано
Опубликовано

Многие виусы выковырял, но некоторые не хотят так просто раставаться с ноутбуком.

Прошу помощи. :)

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты
Falcon Ветеран

Falcon

Опубликовано
Опубликовано (изменено)

Выполните скрипт в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\fonts\zpx2.exe');
QuarantineFile('C:\WINDOWS\System32\drivers\c4345a3f.sys','');
DeleteService('c4345a3f');
QuarantineFile('C:\WINDOWS\Fonts\zpx2.exe','');
QuarantineFile('C:\WINDOWS\Temp\84DE.tmp','');
QuarantineFile('C:\WINDOWS\Temp\6454.tmp','');
DeleteFile('C:\WINDOWS\Temp\6454.tmp');
DeleteFile('C:\WINDOWS\Temp\84DE.tmp');
DeleteFile('C:\WINDOWS\Fonts\zpx2.exe');
DeleteFile('C:\WINDOWS\System32\drivers\c4345a3f.sys');
DeleteFile('c:\windows\fonts\zpx2.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Перезагрузка.

 

Затем:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Oтправьте карантин по электронной почте на адрес newvirus@kaspersky.com, предварительно установив пароль на архив virus (пароль укажите в письме). Как это сделать (пункт №1). О результате сообщите.

 

Обновите базы AVZ и сделайте новые логи.

Изменено пользователем Falcon
Ссылка на комментарий
Поделиться на другие сайты
Одинокий Дракон Новичок

Одинокий Дракон

Опубликовано
  • Автор
Опубликовано (изменено) 
От кого: newvirus@kaspersky.com 
Тема: RE: карантин [KLAN-26086213]
04.04.09, 17:04 
Кому: @yandex.ua 

Здравствуйте,

6454.tmp_ - Backdoor.Win32.KeyStart.cb, 
zpx2.exe_ - Trojan-Spy.Win32.Agent.acwq

Эти файлы определяются антивирусом. Обновите антивирусные базы.

Пожалуйста, при ответе включайте переписку целиком.
Ответ актуален для последних баз с источников обновлений.

пароль на архив virus

 

+ логи

Сообщение от модератора wise-wistful
Убрал имя аналитика, оно нам ни к чему в теме

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

Изменено пользователем wise-wistful
Ссылка на комментарий
Поделиться на другие сайты
akoK Ветеран

akoK

Опубликовано
Опубликовано

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('msupdate', 4);
QuarantineFile('c:\windows\system32\..\svchost.exe','');
QuarantineFile('%fystemroot%\system32\svchost.exe','');
QuarantineFile('%fystemRoot%\system32\svchost.exe','');
DeleteFile('c:\windows\system32\..\svchost.exe');
DeleteService('msupdate');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

 

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Ссылка на комментарий
Поделиться на другие сайты
Одинокий Дракон Новичок

Одинокий Дракон

Опубликовано
  • Автор
Опубликовано (изменено) 

От кого: newvirus@kaspersky.com 
Тема: RE: тема [KLAN-26170284]
06.04.09, 11:05 
Кому: @yandex.ua 

Здравствуйте,

В присланном Вами файле не найдено ничего вредоносного.

 

wise-wistful :D

 

МалВаре логи чуток позже, сканирует долгенько.

 

Malwarebytes' Anti-Malware 1.35
Версия базы данных: 1944
Windows 5.1.2600 Service Pack 3

06.04.2009 12:41:32
mbam-log-2009-04-06 (12-41-32).txt

Тип проверки: Полная (C:\|D:\|)
Проверено объектов: 109487
Прошло времени: 1 hour(s), 43 minute(s), 20 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 1
Заражено значений реестра: 0
Заражено параметров реестра: 0
Заражено папок: 0
Заражено файлов: 6

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
HKEY_CLASSES_ROOT\CLSID\{1408e208-2ac1-42d3-9f10-78a5b36e05ac} (Trojan.BHO) -> Quarantined and deleted successfully.

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
(Вредоносные программы не обнаружены)

Заражено папок:
(Вредоносные программы не обнаружены)

Заражено файлов:
C:\Documents and Settings\ррр\Рабочий стол\avz4\Infected\2009-04-04\avz00001.dta (Backdoor.KeyStart) -> Quarantined and deleted successfully.
C:\Documents and Settings\ррр\Рабочий стол\avz4\Infected\2009-04-04\avz00002.dta (Backdoor.KeyStart) -> Quarantined and deleted successfully.
C:\Documents and Settings\ррр\Рабочий стол\avz4\Infected\2009-04-04\avz00004.dta (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\ррр\Рабочий стол\avz4\Infected\2009-04-04\avz00009.dta (Backdoor.KeyStart) -> Quarantined and deleted successfully.
C:\Documents and Settings\ррр\Рабочий стол\avz4\Infected\2009-04-04\avz00010.dta (Backdoor.KeyStart) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wpv831235998315.cpx (Trojan.Downloader) -> Quarantined and deleted successfully.

 

как бы все?

Изменено пользователем Одинокий Дракон
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • kazakova
      вирус banta
      Автор kazakova
      Добрый день! Подверглись вирусной атаке, все необходимые файлы приложила, пароль на архив 123. Есть ли возможность восстановить файлы?
       
       
       
       
      логи.rarфайлы_зашифрованные.rarфайлы_шифровальщика.rar
    • composer1995
      [РЕШЕНО] Вирус CAAServices.exe
      Автор composer1995
      Добрый день!

      Столкнулся с вирусом CAAServices.exe. Изложу последовательно события и свои действия:

      1. Центр обновления Windows установил обновления (не знаю, связано ли это с дальнейшей проблемой)
      - Накопительное обновление для Windows 11 Version 24H2 для систем на базе процессоров x64, 2025 07 (KB5062553)
      - 2025-07 Накопительное обновление .NET Framework 3.5 и 4.8.1 для Windows 11, version 24H2 для x64-разрядных систем (KB5056579)

      2. После обновления комп перезагрузился и в простое на рабочем столе начал сильно шуметь. Я решил проверить диспетчер задач и заглянуть в автозагрузки. В этот момент комп уже остыл и вернулся к нормальному уровню шума. В списке автозагрузок обнаружил файл CAAServices.exe, расположение файла C:\ProgramData\CAAService

      3. Нагуглил, что это майнер, провёл проверку защитником Windows, обнаружил вирус:
      - Trojan:Win64/DisguisedXMRigMiner!rfn, затронутые элементы C:\ProgramData\CAAService\Microsoft Network Realtime lnspection Service.exe

      Далее, в исключениях обнаружил CAAServices.exe, убрал его из списка исключений. Вручную указал папку CAAService, и в ней он нашёл:
      - Trojan:Win32/Wacatac.H!ml, затронутые элементы C:\ProgramData\CAAService\CAAServices.exe

      Защитник удалил оба вируса. После рестарта компа в автозагрузках снова обнаружил этот CAAServices.exe. Повторил процедуру по поиску и удалению вируса, комп не перезагружал.

      4. Пришёл сюда на сайт, провёл проверку Kaspersky Virus Removal Tool, обнаружил два вируса (прикладываю скрин). После проверки данной утилитой и рестарта компа в автозагрузке майнер не появляется. В папке C:\ProgramData\CAAService исчез файл CAAServices.exe. Остались только файлы CAAServices.vdr и OpenCL.dll.

      5. Собрал логи с помощью AutoLogger, прикладываю архив.

      Скажите, пожалуйста, избавился ли я от майнера, или нужно предпринять ещё какие-то меры?

      CollectionLog-2025.07.10-12.42.zip
    • sekvoya
      [РЕШЕНО] Подозрение на ВИРУС
      Автор sekvoya
      В браузере появляется расширение AdBlock, которое ломает разметку. При удалении расширения все становится нормально. Однако, после перезапуска ПК, расширение появляется в браузере вновь. Также в папке Temp появляется папка, которую нельзя удалить "2xzjmmugjeoboytjoc0goumkkhc"
      CollectionLog-2025.07.05-18.18.zip
    • sasaks11
      Вирус
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Ferri
      [РЕШЕНО] Обнауржен вирус CAAServieces.exe
      Автор Ferri
      Доброго времени суток.

      Столкнулась с проблемой майнер CAAServieces.exe. Начала искать способы по отключению, удалению вируса. Отключить отключила, Из реестра удалила, Удалила. Провела несколько проверок через антивирусы - чисто. Только при перезагрузке и некоторого времени (1-2 минуты) создается снова папка и файл с вирусом (но не запускается) по расположению: C:\ProgramData\CAAService.

      Прикладываю проверку с KVRT и AutoLogger.

      Найдя на форуме такую же проблему - уже решённую ранее - прикрепляю логи из FRST64

      CollectionLog-2025.07.19-02.48.zip Addition.txt FRST.txt
×
×
  • Создать...