Вирус, удаляющий папки

Здравствуйте.

Признаки:

1.Стали пропадать папки бесследно. Раз в квартал, примерно, 1 папка. Приходиться восстанавливать утилитами.
2.Очевидно,что переносится на флэшке
3.Недавно браузер перестал заходить на антивирусные сайты.
4.Периодически "отваливаются" винчестеры.Грешил на БП или материнку

Заранее благодарю за помощь

Уважаемый(ая) [B]newrising[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

По симптомам скорее порхоже на проблемы с диском. И Comodo, видимо, частично заблкировал работу autologger.

[url="https://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe[/url]:[code]begin
ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl Security Security.evtx', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-Windows Defender/Operational" wd.evtx "/q:*[System [(EventID=1116)]]"', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-PowerShell/Operational" "Windows PowerShell.evtx"', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl "Doctor Web" "Doctor Web.evtx"', 0, 200000, false);
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=128m Events.7z *.evtx', 1, 300000, false);
ExitAVZ;
end.[/code]
В папке с AVZ появится архив [B]Events.7z[/B], загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.

Хорошо, спасибо.
(При этом: "По симптомам скорее похоже на проблемы с диском". Диски отваливаются хаотично , то есть,а то нет , на двух разных машинах и все диски рандомно. AVZ нашел что функция перехвачена - , удаляются не в корзину папки одна прямо на моих глазах , и .... winpe_10_8/ загрузочный диск, когда загрузил win PE а в нем свыше 5 шт троянов, а эта флэшка палочка -выручалочкой долго была)

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Скрипт выполнил, правда в архив он сам файлы не упаковал

[url]https://disk.yandex.ru/d/LC1MXNbONSF4mw[/url]

Повторил с выключенным Comodo

Такое есть событие:
[QUOTE]Имя журнала: System
Источник: Microsoft-Windows-DriverFrameworks-UserMode
Дата: 04.02.2025 15:45:01
Код события: 10111
Категория задачи:User-mode Driver problems.
Уровень: Критический
Ключевые слова:
Пользователь: СИСТЕМА
Компьютер: DESKTOP-NMM4REV
Описание:
Устройство Samsung USB (размещение (unknown)) отключено из-за сбоя драйвера пользовательского режима. Windows попытается перезапустить устройство еще несколько раз: 5. Свяжитесь с производителем устройства для получения дополнительных сведений об этой проблеме.[/QUOTE]
И такие события нередки:[QUOTE]Система перезагрузилась, завершив работу с ошибками. Возможные причины ошибки: система перестала отвечать на запросы, произошел критический сбой или неожиданно отключилось питание.[/QUOTE]Т. е. аппаратные проблемы явные.

Активных вирусов по логам нет, если нашлось что-то мирно лежащее в закромах - оно не опасно, если не запускается.
Давайте копнём глубже. Сделайте такой лог, только отключите полностью Comodo на время.
Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=https://virusinfo.info/showthread.php?t=121767&p=897810&viewfull=1#post897810]сделайте полный образ автозапуска uVS[/url].

сделал полный образ автозапуска uVS. DESKTOP-NMM4REV_2025-02-05_19-23-49_v4.99.5v x64

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Теперь , после начала проблем, каждый раз сразу после начала работы ОС при запускаю AVZ

[QUOTE=newrising;1532709]Теперь , после начала проблем, каждый раз сразу после начала работы ОС при запускаю AVZ[/QUOTE]
И как, помогает? ;)
[QUOTE]Протокол антивирусной утилиты AVZ версии 4.46[/QUOTE]
А в состав Autologger входит AVZ версии 5.99 и логи его в архиве присутствуют.

Есть, возможно, следы майнера, но только следы. Почистим с мусором.
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):[code];uVS v4.99.8v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\GOOGLEUPDATE.EXE
deltsk %SystemDrive%\USERS\CREATION\APPDATA\LOCAL\TEMP\EDGE_BITS_10716_2044905233\B3F61889-8086-4659-BC6F-ED5BE91DA387
delref %SystemDrive%\USERS\KONSTRUKTOR\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVESTANDALONEUPDATER.EXE
delref %SystemDrive%\PROGRAMDATA\PDF ARCHITECT 9\INSTALLATION\PDF_ARCHITECT_9_INSTALLER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.2105.5-0\DRIVERS\WDNISDRV.SYS
delref L:\SETUP.EXE
delref J:\SISETUP.EXE
delref H:\SETUP.EXE
delref F:\SETUP.EXE
delref F:\SISETUP.EXE
delref J:\SETUP.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\DRIVE FILE STREAM\68.0.2.0\GOOGLEDRIVEFS.EXE
delref %SystemDrive%\USERS\CREATION\APPDATA\LOCAL\WHATSAPP\WHATSAPP.EXE
delref %SystemDrive%\USERS\CREATION\APPDATA\ROAMING\YANDEX\YANDEXDISK2\3.2.28.4901\YANDEXDISK2.EXE
apply
restart[/code]
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

По разборкам с удалением папок - можно попробовать Sysinternals ProcessMonitor настроить на отслеживание доступа, [URL="https://www.outsidethebox.ms/21949/"]вот хороший гайд[/URL].

Спасибо за рекомендации! , с утра займусь. "Теперь , после начала проблем, каждый раз сразу после начала работы ОС при запускаю AVZ" помогает, но не надолго ) и немного )) ((

Здравствуйте, практически последний скрипт ничем не помог. Почти все файлы по новой образуются. "Перехватчиков" AVZ почти столько же видит после выполнения скрипта. Думаю систему переустанавливать надо?

Скрипт только чистил мусор. Проблема, скорее, аппаратная, прежде чем переустанавливать систему, проверьте железо.
На перехваты функций не обращайте внимания, они от Comodo.

Одинаковая аппаратная проблема на 2 ух разных компьютерах? Такое бывает наверное крайне редко,все-таки железо то абсолютно разное?

Давайте логи по второму смотреть. И сразу журналы событий, как в сообщении #3. Пока не зачто даже зацепиться.

[url]https://disk.yandex.ru/d/DkVxbKwMeVM0DQ[/url] журнал событий , второй комп. Пока делал, исчезла на глазах папка, затем отвалился "винт" , затем при перезагрузке уход в CHKDSK

[url]https://disk.yandex.ru/d/91vWnBue6ofY3A[/url] autologger

Эти логи полностью бесполезны, древняя версия AVZ и то, что показал UVS после запуска. Нужен лог Autologger и полный образ UVS.
Вжурналах вал событий:
[QUOTE]Обнаружена ошибка на устройстве \Device\Harddisk2\DR2 во время выполнения операции страничного обмена.[/QUOTE]
И такое ещё:[QUOTE]Драйвер обнаружил ошибку контроллера \Device\Ide\IdePort2.
Доступ к устройству \Device\Harddisk1\DR1 пока невозможен.[/QUOTE]
Не стоит искать вирусы там, где причины вполне очевидны.

Здравствуйте. Помогло только одно: форматирование винчестера и установка с нуля из образа ОС. Но не из всякого, а до только определенной даты( т.е. до момента наличия каких то программ и лек-ств к ним) На другой машине скачал вот это : [url]https://www.safe[/url]..... /resources/av-block-remover-avbr.224/ , по завершении заказчики файла внимательно смотрю на него и через 0.1 сек файл обнулился в 0 байт и сменил имя и расширение! Скачал его же с "кривым именем" , запустил: успел заметить что удалено много файлов и 10 строк было красных . Признаки улучшения в системе стали наблюдаться .

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Вот логи

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Думаю (что посоветуете) LiveCD какой? DrWerb LiveCD я с него загрузился, но там не работает КВРТ Касперского, а CureiT не видит половину дисков, и чтобы ваши все программы работали: AVZ uVS. Еще странная картина: AVZ на всех копмах в 2 ух файлах "image_breeze..." находят троянов , а Virustotal именно в этих же файлах ничего не видит (

Попробуйте [URL="https://www.kaspersky.ru/downloads/free-rescue-disk"]Kaspersky Rescue Disk[/URL].
AVZ в качестве антивируса - так себе решение, много ложных срабатываний, как в Вашем случае.
И av-block-remover тут вовсе бесполезен.

Здравствуйте. Как только переустановил ОС, так сразу все "проблемы с железом" исчезли на обеих машинах.

При всем при этом, по 2 шт. ОС старых с программами я оставил , единственно только, распаковал их из 2 годовалых образов. Оданко же, и в них также были зловреды ! , очевидно что ранее они спали.
В лечении указанных зловредов помогли вот эти проги: av-block-remover находил по 1-2 зловреда , и удалил их, MinerSearch_v1.4.7.72 находил по 2-3 зловреда , и удалил их, + еще AVZ в качестве лакмуса хорош.

Итог - 4 дня , на компах все спокойно.

Так что вам спасибо, ваша догадка верна: майнеры и еще трояны.