Премини към съдържанието
  • Добре дошли!

    Добре дошли в нашите форуми, пълни с полезна информация. Имате проблем с компютъра или телефона си? Публикувайте нова тема и ще намерите решение на всичките си проблеми. Общувайте свободно и открийте безброй нови приятели.

    Моля, регистрирайте се за да публикувате тема и да получите пълен достъп до всички функции.

     

Препоръчан отговор


Здравейте .
Не успявам да премахна (предполагам е) вирус . Проблема е следния : записват се едни файлове на всяка флашка , която се постави в PC-то .
Файловете ги трия ръчно , форматирам флашката и на момента се записват пак .
Петте файла плюс папка "RECYCLER", в която се създават други папки с произволни имена и във всяка от тях два файла , които се размножават до безкрайно с произволни имена , през цялото време до като флашката стои включена .
Имам "Malwarebytes " , при сканиране ми премахна доста вредители , но проблема остава .
Пробвах и с Avast , при включване флашката веднага пуска аларма за autorun-а , че записва 4-те шорткъта и до там , при сканиране не открива нищо на PC-то .

Моля за съвет и насока , какво може да бъде това и как, с какво , да го премахна ?!

Търсих в Google , има информация за такъв проблем , но решение не намерих работещо .

И като цяло виждам че в таск менажера има прекалено много работещи процеси , които нямам идея какви са , но заемат почти цялата ми RAM . 

Давам снимки  и логовете най-отдолу :

Untitled.jpg.723422c567ab68b3db6802d40575b69b.jpg

 

Untitled2.jpg.301c72a97c6f6e2655fb4633a313df74.jpg

Untitled3.jpg.c1939daac38f59d5fd23153c7ff729e7.jpg

FRST.txt    Addition.txt     

Линк към този отговор
Сподели в други сайтове

Здравейте,

След малко ще прегледам обстойно лог файловете, но от това, което видях на бърз прочит може да имате полиморфен вирус Ramnit, който обикновено не се лекува без преинсталация на Windows с предварително изтриване на всички дялове:

HKLM-x32\...\Winlogon: [Userinit] userinit.exe,,c:\program files (x86)\microsoft\watermark.exe

Да видим колко зле е положението. Направете една проверка с Kaspersky Virus Removal Tool и покажете резултата.

https://devbuilds.s.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe

Преди да натиснете бутона Start Scan от Change Parameters се убедете, че всички отметки са избрани (включително и пред System drive ако няма там):

RdAGNPG.png

Линк към този отговор
Сподели в други сайтове

Благодаря ще пробвам. Ще дам резултати в понеделник защото тогава ще бъда на въпросния компютър. Служебен е и се надявам да може да се оправи без преинстал, защото има важни програми със настройки на него, които не мога да върна сам и става сложно.

Поздрави

Линк към този отговор
Сподели в други сайтове
Линк към този отговор
Сподели в други сайтове

Untitled.jpg.1f025e70b3d2718d64cb51249962a956.jpg


Линк към този отговор
Сподели в други сайтове

Изберете Continue. След това е добре да направите нова проверка с този инстумент още веднъж. После ще преминем към проверки (може и да не е днес разбира се) с Dr.Web CureIt и PCMAV Express for Ramnit и може би инструмента на Symantec.

Преди да пуснете новата проверка с Kaspersky след като неутрализирате заплахите с него, направете нова проверка с FRST и прикачете лог файловете.

Между другото преди да стартирате повторната проверка с инструмента на Kaspersky от Change Parameters натиснете Add object... и изберете едни по един и всички останали дялове в системата.

Линк към този отговор
Сподели в други сайтове

Това са логовете след лекуването от Касперски , не съм го пускал за повторна проверка още . Това което забелязвам сега обаче е , че компа се товари по малко (като RAM) и не прави онези записи върху флашката ! Дали е възможно да е излекуван ?!  Бихте ли ми предложили добра AV , която да "лови" за в бъдеще вируси като този ? 

 FRST.txt

Addition.txt

Линк към този отговор
Сподели в други сайтове

Далеч сме от финалните стъпки. Това е полиморфен вирус, който заразява всички изпълними файлове на всички дялове на Windows, споделени папки в мрежата (мапнати устройства) и закачени USB носители. Ако системата е била в мрежа или сте използвали заразената флашка на други системи, може да сте разнесли заразата и на други компютри. В момента сме сканирали само дял C:\ с Kaspersky и затова е добре да повторите проверката с инструмента като преди това добавите и останалите дялове:

Временно изключете System Restore

https://www.howtogeek.com/howto/windows-vista/disable-system-restore-in-windows-vista/

След това в Kaspersky от Change Parameters натиснете Add object... и изберете един по един и всички останали дялове в системата (докато всички те се появят в списъка). След това направете проверката.

Подобни зарази променят кода си в движение с цел да са на крачка пред антивирусните и да заразят системата отново веднага след опита за почистване. И за капак на всичко, кода на вируса е бъгав и не винаги позволява да се почистят успешно самите файлове (без те да се трият, защото тук не става въпрос за вирусни файлове, които да се изтрият, както е при повечето зарази, а за пачнати легитимни системни файлове, които трябва да се дезинфекцират без да се изтриват). Това може да доведе до нестабилност на цялата Операционна Система като цяло (ако се изтрият или не успеят да се почистят адекватно) системата може да започне да функционира неправилно и дори да не се стигне дотам, че да откаже да се стартира повече и често времето за поправка на пораженията ще са повече от времето нужно за преинсталацията и, а ефективността не е гарантирана на 100%. Затова повечето експерти тук препоръчват при зарази от сорта на Sality, Virut, Ramnit и прочие пълен формат на Windows с изтриване на всички дялове и инсталирането наново. Лично аз съм поправят подобни системи в повечето случаи с пълен успех, но е имало и такива, където се е налагало да се започне на чисто.

Затова нека първо да се уверим, че системата е чиста и след това ще видим дали се налага поправката на системните файлове (говоря основно за SFC /Scannow командта и евентуално за Sigcheck от Sysinternals). Понеже имахте над 18000 заразени и излекувани файлове е възможно ако кода в някои не е успешно почистен дори и вече да не са заразени, то те да останат неработоспособни. Тогава е добре да преинсталирате всички такива засегнати програми за да им върнете работоспособността.

След това, когато системата е чиста е добре да спрете Autorun например с този инструмент:

https://dox.abv.bg/download?id=9583e8ec44

Да поставите проблемната флашка и да я форматирате (вече би трябвало да не се образуват shortcut 1,2,3,4 и другите зарази в нея) за да не пренесете заразата другаде.

След това ще видим как ще продължим!

Поздрави!

Линк към този отговор
Сподели в други сайтове

Извърших второ сканиране с Касперски , включени всички дялове . Не откри никакви заплахи .  Трябва ли да правя нещо повече от това да сложа добра антивирусна , защото в момента няма никаква ?  Някакви предложения за такава ? 

 

Инсталирах и фикса за спиране на autorun , който ми дадохте .

Линк към този отговор
Сподели в други сайтове

Това е добра новина. Все пак имаме още работа. През това време не стойте без инсталирана защитна програма. Безплатни програми има доста и всяка от тях има плюсове и минуси, но аз ви препоръчвам на този етап Kaspersky Security Cloud Free, която освен, че е добра срещу зарази от този сорт (полиморфни вируси) и срещу ransomware (криптиращи вируси изнудвачи) с модула си System Watcher.

https://www.kaspersky.com/free-cloud-antivirus

Изисква се регистрирането на безплатен акаунт, но си заслужава. Друг е въпроса как стоят нещата с политиката им при използване на служебна система. Но така като гледам щом търсите помощ по форумите, явно нямате системен администратор или някаква друга поддръжка. За офис системите може би е добре да си закупите професионален лиценз за да си вържете гащите при евентуална проверка.

Докато прегледам последните лог файлове от FRST направете следното:

В полето за търсене на Windows въведете CMD => кликнете с десен бутон върху CMD.exe и изберете Run as administrator.

След това с копи/пейст изпълнете командата:

sfc /scannow

Натиснете Enter. Изчакайте проверката да приключи. След това копирайте следната команда и натиснете Enter:

findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log >"%userprofile%\Desktop\sfcdetails.txt"

Сега трябва да се появи sfcdetails.txt на десктопа. Прикачете файла, който ще се появи на десктопа - sfcdetails.txt в следващия си коментар.

 

Освен това вместо да използваме SigCheck ще улесня задачата за вас. Ще използваме друг инструмент, който също проверява за липсващи дигитални сертификати (можем да използваме и Combofix, но е прекалено краен избор за този случай). Затова изтеглете Rkill и го стартирайте. Той ще спре всички подозрителни за него процеси (може и Explorer да се рестартира, но това е нормално). След като приключи проверката прикачете лог файла Rkill.txt

https://www.bleepingcomputer.com/download/rkill/

Това е засега.

Линк към този отговор
Сподели в други сайтове

Ами много добре. Изглежда Kaspersky добре си е свършил работата:

Цитат

Searching for Missing Digital Signatures:

 * No issues found.

и SFC лог файла е перфектен. На този етап мисля, че сме готови. По-късно ще прегледам лог файловете от FRST и ще пиша финалните наставления. Та понеже е служебна система ще се наложи и утре сигурно да посетите темата.

Засега инсталирайте Kaspersky ако решите и за всеки случай пак казвам да форматирате флашката (за всеки случай). На този етап не мисля, че повече проверки са необходими (например с PCMav for Ramnit или инструмента на Symantec - FxRamnit), но ако желаете е препоръчително да направите и една проверка с другия инструмент, който считам за доста добър с полиморните зарази в лицето на Dr.Web CureIt:

https://free.drweb.com/download+cureit/gr/?lng=en

Инструмента ще се свали със странно име (нарочно за да излъже вече съществуващи зарази ако има такива, които да попречат на стартирането му), така че това да не ви притеснява. Ако сте инсталирали вече Kaspersky е желателно да изключите защитата в реално време, докато трае проверката на Dr.Web CureIt.

Ами това е от мен за тази вечер. На финалната права сме. Утре ще дам финалните инструкции!

Поздрави и спорен ден! :bye1:

Линк към този отговор
Сподели в други сайтове

Между другото съм готов и със скрипта. Явно Kaspersky е пропуснал все пак конфигурационния файл, който макар и може би вече безопасен е добре да бъде премахнат:

2020-06-15 19:11 - 2020-04-10 17:08 - 000000016 _____ C:\windows\SysWOW64\dmlconf.dat

Изтеглете fixlist.txt и го запазете в папката, където сте свалили FRST64.exe (на десктопа)

Стартирайте FRST64.exe и натиснете бутона Fix веднъж!

След като приключи, ако ви поиска рестарт - съгласете се. След рестарта публикувайте лог файла - fixlog.txt, който ще се създаде след работата на програмата.

Внимание: Скрипта е създаден за текущата система. Да не се ползва за други системи с подобни проблеми!

Желателно е в такъв случай все пак да направите и проверката с Dr.Web CureIt за която споменах в предишния си коментар. ;)

Поздрави!

Линк към този отговор
Сподели в други сайтове

Скрипта е минал успешно и dmlconf.dat е бил изтрит, което е добре. Странно защо никой във VT не го засича, но така или иначе бе част от вируса.

Колкото до Dr.Web видях, че е намерил само 1 заразен обект? Така ли е?

Цитат

C:\program files (x86)\lavasoft\web companion\application\lavasoft.wcassistant.winservice.exe - is riskware program Program.Unwanted.4695
C:\program files (x86)\lavasoft\web companion\application\lavasoft.wcassistant.winservice.exe - infected - 51ms, 25888 bytes

Гледам, че е засякъл само компаньона на lavasoft, който и без това е добре да деинсталирате. Така че от Control Panel-a деинсталирайте:

Web Companion (HKLM-x32\...\{b5d1a262-673c-421b-b7f7-e70735ab4241}) (Version: 4.3.1934.3766 - Lavasoft)

За да премахнем Farbar Recovery Scan Tool направете следното:

Преименувайте изпълнимия файл FRST64.exe на Uninstall.exe.

image.png.9cf9e0ab76b122782aff3552f54c5829.png     =>     image.png.44f957ce25ef61c76206655a46425152.png

Кликнете с десен бутон на мишката върху Uninstall.exe и изберете Run as administrator. Ще бъдете уведомени, че трябва да рестартирате системата, за да изтриете инструмента.

image.png.abcc20b28654d54fae08e7451bb5dc3b.png

След рестарта инструмента и прилежащите към него файлове ще бъдат изтрити.

 

Изтеглете  KpRm от kernel-panik и го запишете на вашия работен плот. 

  • Щракнете с десния бутон върху kprm_2.8.exe и изберете Run as administrator
  • Когато инструментът се отвори сложете всички отметки и натиснете бутона Run.

111.PNG

  • След като приключите, щракнете върху OK. 
  • В Notepad ще се отвори лог файла, копирайте съдържанието му в следващия си отговор.
Линк към този отговор
Сподели в други сайтове
Цитат

# Run at 17/06/2020 10:33:34
# KpRm (Kernel-panik) version 2.8
# Website https://kernel-panik.me/tool/kprm/
# Run by user from C:\Users\user\Desktop
# Computer Name: USER-HP
# OS: Windows 7 X64 (7601) Service Pack 1
# Number of passes: 1

- Checked options -

    ~ Registry Backup
    ~ Delete Tools
    ~ Restore System Settings
    ~ UAC Restore
    ~ Delete Restore Points
    ~ Create Restore Point

- Create Registry Backup -

   ~ [OK] Hive C:\windows\System32\config\SOFTWARE backed up
   ~ [OK] Hive C:\Users\user\NTUSER.dat backed up

     [OK] Registry Backup: C:\KPRM\backup\2020-06-17-10-33-34

- Delete Tools -


  ## AdwCleaner
     [OK] C:\Users\user\Downloads\adwcleaner_8.0.4.exe deleted

  ## Autoruns
     [OK] C:\Users\user\Downloads\Autoruns deleted
     [OK] C:\Users\user\Downloads\Autoruns.zip deleted

  ## FRST
     [OK] C:\Users\user\Downloads\Addition.txt deleted
     [OK] C:\Users\user\Downloads\fixlist.txt deleted
     [OK] C:\Users\user\Downloads\Fixlog.txt deleted
     [OK] C:\Users\user\Downloads\FRST.txt deleted

  ## Kaspersky Virus Removal Tool
     [OK] C:\Users\user\Downloads\KVRT.exe deleted

  ## Rkill
     [OK] C:\Users\user\Downloads\rkill.exe deleted
     [OK] C:\Users\user\Downloads\Rkill.txt deleted

- Other Lines -


  ## Quarantines keeped
    ~ C:\AdwCleaner (AdwCleaner)
    ~ C:\KVRT_Data (Kaspersky Virus Removal Tool)

- Restore System Settings -

     [OK] Reset WinSock
     [OK] FLUSHDNS
     [OK] Hide Hidden file.
     [OK] Show Extensions for known file types
     [OK] Hide protected operating system files

- Restore UAC -

     [OK] Set EnableLUA with default (1) value
     [OK] Set ConsentPromptBehaviorAdmin with default (5) value
     [OK] Set ConsentPromptBehaviorUser with default (3) value
     [OK] Set EnableInstallerDetection with default (0) value
     [OK] Set EnableSecureUIAPaths with default (1) value
     [OK] Set EnableUIADesktopToggle with default (0) value
     [OK] Set EnableVirtualization with default (1) value
     [OK] Set FilterAdministratorToken with default (0) value
     [OK] Set PromptOnSecureDesktop with default (1) value
     [OK] Set ValidateAdminCodeSignatures with default (0) value

- Clear Restore Points -

   ~ [OK] RP named Installed Microsoft Fix it 50471 created at 06/16/2020 08:49:35 deleted
     [OK] All system restore points have been successfully deleted

- Create Restore Point -

     [OK] System Restore Point created

- Display System Restore Point -

   ~ RP named KpRm created at 06/17/2020 07:34:01

-- KPRM finished in 58.17s --

 

Линк към този отговор
Сподели в други сайтове

Всичко е наред. Изтрийте ръчно само следните две папки:

C:\AdwCleaner
C:\KVRT_Data

И след това мисля, че сме готови. Наблюдавайте нещата и ако се появят проблеми пишете в темата!

Засега маркирам случая като решен. Поздрави и спорна седмица! :bye1:

Линк към този отговор
Сподели в други сайтове

Добавете отговор

Можете да публикувате отговор сега и да се регистрирате по-късно. Ако имате регистрация, влезте в профила си за да публикувате от него.
Бележка: Вашата публикация изисква одобрение от модератор, преди да стане видима за всички.

Гост
Напишете отговор в тази тема...

×   Вмъкнахте текст, който съдържа форматиране.   Премахни форматирането на текста

  Разрешени са само 75 емотикони.

×   Съдържанието от линка беше вградено автоматично.   Премахни съдържанието и покажи само линк

×   Съдържанието, което сте написали преди беше възстановено..   Изтрий всичко

×   You cannot paste images directly. Upload or insert images from URL.

  • Разглеждащи това в момента   0 потребители

    Няма регистрирани потребители разглеждащи тази страница.

  • Горещи теми в момента

  • Подобни теми

    • от nikolaustirol
      Здравейте. Имам съмнение, че компютъра е заразен защото в мултитаскинг менюто виждам, че процесора е винаги натоварен поне на 46%, а паметта е заета над 65%. Случва ми се често страници да пишат, че липсва достатъчно памет и да искат обновяване. Компютърът е Фуджицо Сименс Еспримо с процесор Intel Core Duo E7600 3,06 GHz. Инсталирана памет 8 ГБ, но пише, че само 3 ГБ са използваеми. ОС е Уиндоус 7 Про, 32 бита. Имам оригинален диск.
      FRST.txt Addition.txt
    • от Усмихни_Се :)
      Компютъра днес стана страшно бавен , и отделно имам 7 папки, които не могат да се изтрият по никакъв начин ( пробвах през Safe Mode, и с програма за триене на папки )  Не се получава, стоят си папките на DSKTOPA..
      FRST.txt Addition.txt
    • от doktorkartar
      Здравейте, и честит Никулден на всички празнуващи!
       
      Преди няколко дни почистих с AdwCleaner и от тогава Mozilla се шашна.  Отварям си някой сайт (без значение кой), и си го преглеждам в продължение на няколко мин. Изведнъж спира да ми зарежда страницата все едно няма нет. Каквото и да се опитам да отворя в сайта е без успех. Тръгва да зарежда но все не успява. Даже и да презаредя страницата пак не се получава. Обаче ако реша да отворя същия сайт или друг в нов раздел, всичко си е нормално до следващото забиване.
      Пример с youtube:
      Пускам някой клип върви си нормално и по едно време клипа спира и се опитва да го зареди но без успех. Цъкам на някой друг клип и се опитва да зареди в адресната лента но не успява. Общо взето от този раздел не може да се отвори нищо повече. Цъкам със скрола на мишката върху друг клип, за да го отвори в нов раздел и всичко си се зарежда нормално до следващото забиване на новия раздел.
       
      С Хром страниците се отварят нормално и няма този проблем.
      Изтрих мозилата и я инсталирах на ново и пак същото.
      Пробвах с изключени добавки и отново без резултат.
       
      Пусках JRT и malwarebytes, така че ето и техния доклад.
      Разполагам с диск за ОС.
       
       
      JRT.txt mb1.txt Addition.txt FRST.txt
    • от Венцислав Бориславов
      Здравейте, току що си сложи флашката за да прегледам стара снимки и забелязах че има са заключени с .harma фаил и не помага нищо. 
      Пусках лаптопа в safe mode, свалях няколко тоолкита но нище помага, други решения има ли за проблема или утре да му бия преинстала, че и без това му е наближило. 😀
    • от grizly
      Здравейте, преди няколко дни пробвах едни дискове в какво състояние са и в един от тях ми се залепиха някакви вируси, касперски започва да ги дезинфектира и изтрива но мисля че не успя да се справи с тях напълно.
      Долу в систем трея иконата на касперски стои червена постоянно и пише защитата е застрашена,
      Открито MEM:Virus.Win32.Sality.Gen Обект: Системна памет, срещу него като чукна на бутон Изтрий не се случва абсолютно нищо и стои червен знак за внимание.
      Общо взето системата ми се държи добре и нормално но ме дразни много тази червена икона на касперски в систем трея долу.
      https://dox.abv.bg/download?id=8257cebfb2# - Линк за сваляне
  • Дарение

×
×
  • Добави ново...

Информация

Поставихме бисквитки на устройството ви за най-добро потребителско изживяване. Можете да промените настройките си за бисквитки, или в противен случай приемаме, че сте съгласни с нашите Условия за ползване