Премини към съдържанието
Форумът в приложение

По-лесно сърфиране. Научи повече.
Kaldata.com - Форуми

Приложение на форума на цял екран с push известия, значки и други.

За да инсталирате това приложение на iOS и iPadOS
  1. Докоснете Иконата за споделяне в Safari
  2. Превъртете менюто и докоснете Добавяне към началния екран.
  3. Докоснете Добавяне в горния десен ъгъл.
За да инсталирате това приложение на Android
  1. Докоснете менюто с 3 точки (⋮) в горния десен ъгъл на браузъра.
  2. Докоснете Добавяне към началния екран или Инсталиране на приложение.
  3. Потвърдете, като докоснете Инсталиране.
Добави Kaldata.com в предпочитани източници в Google

Добре дошли!

Добре дошли в нашите форуми, пълни с полезна информация. Имате проблем с компютъра или телефона си? Публикувайте нова тема и ще намерите решение на всичките си проблеми. Общувайте свободно и открийте безброй нови приятели.

Моля, регистрирайте се за да публикувате тема и да получите пълен достъп до всички функции.

 

Проверка на машина за вируси или заплахи

Емил Костов
в Премахване на зловреден софтуер

Featured Replies

Моля да се провери дали системата на този компютър е заразена или дали има някакви заплахи за нея. Прилагам и прикачените файлове от FRST

Addition.txt FRST.txt

Редактирано от Емил Костов (преглед на промените)

  • Цитирай

    Привет. Емо.

    Сега виждам темата, защото цял ден имах работни ангажименти.

    По-късно ще напиша скрипт, но се вижда на бърз преглед, че системата Е ЗАРАЗЕНА:

    () [File not signed] C:\Users\BLAGA\AppData\Roaming\Q72b3mECjZq12zf0\E2tCIMVuOrxl.exe

    Ако е било ransomware може би вече е било късно за скрипт, но да се надяваме, че не е.  Все пак е добре да не предприемаш действия самостоятелно, защото това ще обърка почистващия процес.

    Поздрави!

  • Цитирай
    • Автор
    току-що, B-boy/StyLe/ написа:

    Привет. Емо.

    Сега виждам темата, защото цял ден имах работни ангажименти.

    По-късно ще напиша скрипт, но се вижда на бърз преглед, че системата Е ЗАРАЗЕНА:

    () [File not signed] C:\Users\BLAGA\AppData\Roaming\Q72b3mECjZq12zf0\E2tCIMVuOrxl.exe

    Ако е било ransomware може би вече е било късно за скрипт, но да се надяваме, че не е.  Все пак е добре да не предприемаш действия самостоятелно, защото това ще обърка почистващия процес.

    Поздрави!

    Ами няма индикация за крипто вирус, но прегледай че ще стане качамак иначе :)

  • Цитирай
    • Харесване 1
    преди 5 минути, Емил Костов написа:

    Ами няма индикация за крипто вирус, но прегледай че ще стане качамак иначе :)

    Да, само да хапна нещо, че цял ден съм на една баничка с боза и кафе и вече ми е прималяло и след малко ще действаме. Значи ти е под ръка машината, така да разбирам?

  • Цитирай
    • Автор
    току-що, B-boy/StyLe/ написа:

    Да, само да хапна нещо, че цял ден съм на една баничка с боза и кафе и вече ми е прималяло и след малко ще действаме. Значи ти е под ръка машината, така да разбирам?

    Не, не е! Утре ще ми е под ръка, но тя си работи от доста време. Знаеш ми предишната тема за Llilium криптовируса. Да провериш да не се крие нещо и в тази машина. Другата е бастисах с чисто нова инсталация. Но ти си вечеряй не се престаравай.

    Редактирано от Емил Костов (преглед на промените)

  • Цитирай

    Емо, като цяло използваш и кофти крак. Не, че е позволено да се коментират краковете, но точно този, който ползваш е от най-калпавите.

    Нещо не ми харесва с каква дефиниция Windows Defender е засякъл заразата (но не е видял от къде е тръгнала):

    Цитат

    Windows Defender:
    ================
    Date: 2022-06-04 15:41:01
    Description:
    Microsoft Defender Antivirus has detected malware or other potentially unwanted software.
    For more information please see the following:
    https://go.microsoft.com/fwlink/?linkid=37020&name=Behavior:Win32/Ransomware!GenD.X&threatid=2147767665&enterprise=0
    Name: Behavior:Win32/Ransomware!GenD.X
    Severity: Severe
    Category: Suspicious Behavior
    Path: behavior:_pid:16940:215177383210606; process:_pid:16940,ProcessStart:132988200463144519
    Detection Origin: Unknown
    Detection Type: Concrete
    Detection Source: Unknown
    Process Name: Unknown
    Security intelligence Version: AV: 1.367.1011.0, AS: 1.367.1011.0, NIS: 1.367.1011.0
    Engine Version: AM: 1.1.19200.6, NIS: 1.1.19200.6

    Не е успял да я почисти напълно според лог файла, но пък щом за 5 дни не са се появили криптирани файлове може и да я е спрял успешно.

    Запази този файл в папката, където си свалил FRST. Стартирай FRST и избери бутона FIX.

    Системата ще се рестартира. След рестарта покажи лог файла, който ще се е създаде в същата папка в която се намира FRST с името Fixlog.txt.

    fixlist.txt

  • Цитирай
    • Харесване 1
    • Автор
    преди 14 часа, B-boy/StyLe/ написа:

    Емо, като цяло използваш и кофти крак. Не, че е позволено да се коментират краковете, но точно този, който ползваш е от най-калпавите.

    Нещо не ми харесва с каква дефиниция Windows Defender е засякъл заразата (но не е видял от къде е тръгнала):

    Не е успял да я почисти напълно според лог файла, но пък щом за 5 дни не са се появили криптирани файлове може и да я е спрял успешно.

    Запази този файл в папката, където си свалил FRST. Стартирай FRST и избери бутона FIX.

    Системата ще се рестартира. След рестарта покажи лог файла, който ще се е създаде в същата папка в която се намира FRST с името Fixlog.txt.

    fixlist.txt 1.88 kB · 2 изтегляния

    Ето и резултата. Прикачам файл.

    Fixlog.txt

  • Цитирай

    Изглежда се е изпълнил, както трябва и опасността е премахната:

    "HKU\S-1-5-21-1363922506-3879324503-1291283955-1001\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell" => removed successfully

    C:\Users\BLAGA\AppData\Roaming\Q72b3mECjZq12zf0 => moved successfully

    Все пак направи нова проверка с FRST и прикачи новите лог файлове.

    Аз ще докладвам един бъг на разработчика, защото май това си е точно бъг:

    EmptyTemp: => 8471885793.9 GB temporary data Removed.

    Едва ли имаш толкова голям диск... :lol6::lol6::lol6:

  • Цитирай
    • Автор
    преди 1 час, B-boy/StyLe/ написа:

    Изглежда се е изпълнил, както трябва и опасността е премахната:

    "HKU\S-1-5-21-1363922506-3879324503-1291283955-1001\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell" => removed successfully

    C:\Users\BLAGA\AppData\Roaming\Q72b3mECjZq12zf0 => moved successfully

    Все пак направи нова проверка с FRST и прикачи новите лог файлове.

    Аз ще докладвам един бъг на разработчика, защото май това си е точно бъг:

    EmptyTemp: => 8471885793.9 GB temporary data Removed.

    Едва ли имаш толкова голям диск... :lol6::lol6::lol6:

    Вероятно не е бъг. Единият хард диск на машината си заминава и вероятно програмата е разчела нещо грешно.

    Редактирано от Емил Костов (преглед на промените)

  • Цитирай
    • Еха 1
    преди 28 минути, Емил Костов написа:

    Вероятно не е бъг. Единият хард диск на машината си заминава и вероятно програмата е разчела нещо грешно.

    Хммм...дали имаш някакъв лог файл на този диск на СМАРТ статуса му или друго за да го пратя все пак на автора ако го поиска? Мерси за пояснението.

  • Цитирай
    • Автор
    преди 6 минути, B-boy/StyLe/ написа:

    Хммм...дали имаш някакъв лог файл на този диск на СМАРТ статуса му или друго за да го пратя все пак на автора ако го поиска? Мерси за пояснението.

    Като отида при машините ще ти пратя

  • Цитирай
    • Харесване 1
    • 2 седмици по-късно...
    • Автор
    на 10.06.2022 г. в 15:02, B-boy/StyLe/ написа:

    Хммм...дали имаш някакъв лог файл на този диск на СМАРТ статуса му или друго за да го пратя все пак на автора ако го поиска? Мерси за пояснението.

     Ето ти отново файловете от повторната проверка на FIRTS

    Addition.txt FRST.txt

    Ети ти и инфо от SMART на съмнителния хард диск:

    image.png.32ea7c1d1b837525caf0997b82f43896.png

  • Цитирай
    • Харесване 1

    По-късно ще видя лог файловете, но C7 грешките доколкото видях, може да не се дължат непременно на умиращ диск.

    Може да имаш проблем със сата кабела (смени го за теста).

    Може да имаш проблемен контролер/порт. Пробвай на друг за всеки случай.

  • Цитирай
    • Автор
    преди 2 минути, B-boy/StyLe/ написа:

    По-късно ще видя лог файловете, но C7 грешките доколкото видях, може да не се дължат непременно на умиращ диск.

    Може да имаш проблем със сата кабела (смени го за теста).

    Може да имаш проблемен контролер/порт. Пробвай на друг за всеки случай.

    Сменил съм го.

  • Цитирай
    • Харесване 1

    Добавете отговор

    Можете да публикувате отговор сега и да се регистрирате по-късно. Ако имате регистрация, влезте в профила си за да публикувате от него.
    Бележка: Вашата публикация изисква одобрение от модератор, преди да стане видима за всички.

    Гост
    Публикацията ви съдържа термини, които не допускаме! Моля, редактирайте съдържанието си и премахнете подчертаните думи по-долу. Ако замените букви от думата със звездички или друго, за да заобиколите това предупреждение, профилът ви ще бъде блокиран и наказан!
    Напишете отговор в тази тема...
    Назад

    Разглеждащи това в момента 0

    • Няма регистрирани потребители разглеждащи тази страница.

    Дарение

    • Подкрепи съществуването на форума - направи дарение
      26%
      Дарени 256.00 EUR от нужните 1,000.00 EUR

    Бюлетин

    Получавайте известие, когато има важна промяна или новина свързана с форума.
    Абонирайте се

    Профил

    Навигация

    Търсене

    Търсене

    Конфигуриране на push известия в браузъра
    Chrome (Android)
    1. Докоснете иконата на катинар до адресната лента.
    2. Докоснете Разрешения → Известия.
    3. Променете предпочитанията си.
    Chrome (Desktop)
    1. Кликнете върху иконата на катинар в адресната лента.
    2. Изберете Настройки на сайта.
    3. Намерете Известия и коригирайте предпочитанията си.