-
Junior Member
- Вес репутации
- 20
Вирус в harddisc0/dr0 [HEUR:Trojan.Win32.DiskWriter.gen]
Стоит лицензия Касперского, Постоянно провожу сканирования, антивирус стараюсь не выключать. В последнее время часто появляется уведомление о вирусе в разделе harddisc0/. Каспер постоянно пытается удалить и либо удаляет и он появляется заново, либо не может удалить этот вирус. На компьютере стоит SSD-диск. На нём тоже стали появляться различные вирусы, достаточно много, все в папке windows. ССД ставил совсем недавно и только для пары игр, вирусы на него точно не мог подцепить в интернете т.к. не захожу с него в сеть.
Upd. Так же стал выключаться компьютер сам через разный промежуток времени.
Сам не особо разбираюсь в компьютере, надеюсь на вашу помощь.
Последний раз редактировалось S-Size; 22.01.2019 в 21:56.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) S-Size, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
- Скачайте Universal Virus Sniffer (uVS)
- Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
- Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
- Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
-
-
Junior Member
- Вес репутации
- 20
А образ сделать с харда или с ССД? Две винды стоит, одна на харде, вторая на ссд.
- - - - -Добавлено - - - - -
Это с харда. Скажите, если нужно ещё и с ССД.
-
- Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
- Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
- Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
Код:
;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
breg
delref KERNCAP.VBS
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDHDGFFKKEBHMKFJOJEJMPBLDMPOBFKFO%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFPPJHFCGNALGFIIMDFLMIKPIFODNDLJF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGBNHEHNPNBIIOHEICPPMMMJAEKCDFIGC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIKPCPGKLMEFNCBFGBDIFKAPHBAAPGAFH%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DODIJCGAFKHPOBJLNFDGIACPDENPMBGME%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPHKDCINMMLJBLPNKOHLIPAIODLONPINF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPMPOAAHLECCAIBBHFJFIMIGEPMFMMBBK%26INSTALLSOURCE%3DONDEMAND%26UC
restart
- В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
- Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен..
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
-
-
Junior Member
- Вес репутации
- 20
Вроде всё правильно сделал. Всё это только с харда делать же нужно? На ссд тоже вирусы были при последней проверке...
-
Пока не надо.
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
- Временно выгрузите антивирус, файрволл и прочее защитное ПО.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
S3 BRDriver64_1_3_3_E02B25FC; \??\C:\ProgramData\BitRaider\support\1.3.3\E02B25FC\BRDriver64.sys [X]
S3 gkernel; \??\C:\Users\Artem\AppData\Local\Temp\gkernel.sys [X] <==== ATTENTION
2018-10-21 15:57 - 2018-10-21 15:57 - 001020978 _____ () C:\Users\Artem\AppData\Local\Temp\Kaspersky_Reset_Trial_CLUB_Portable_.exe
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File
Task: {082BBCE2-A7EA-4953-A55B-183F604C19FD} - \Pbrowserupd -> No File <==== ATTENTION
Task: {2FEB5BA6-6591-401C-8529-0DAA6FC3F1CB} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION
Task: {4BF04864-C722-42B0-8DF9-786976755872} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION
Task: {827134D3-DDAB-4336-A7D9-77B1FA8C0BCD} - \DriverPack Notifier -> No File <==== ATTENTION
AlternateDataStreams: C:\Users\Artem\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [362]
AlternateDataStreams: C:\Users\Artem\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [362]
MSCONFIG\startupreg: DriverPack Notifier => C:\Program Files (x86)\DriverPack Notifier\DriverPackNotifier.exe --run startup
MSCONFIG\startupreg: egui => "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
- Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
- Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
-
-
Junior Member
- Вес репутации
- 20
Вот файлик.
Архива с датой и временем на рабочем столе и в папке с программой не появилось.
-
Каспер постоянно пытается удалить и либо удаляет и он появляется заново, либо не может удалить этот вирус
Если все еще актуально, то сделайте скриншот такого окна.
-
-
Junior Member
- Вес репутации
- 20
Это старые скриншоты того, что находило на компе (на диске F всё, что вообще нашло - сплошные вирусы, см. скролл справа).
Сейчас вроде бы ничего не появляется, но раньше оно тоже не каждый день выскакивало, надеюсь вылечили.
Комп перестал сам собой выключаться, это 100%.
Думал придётся хард сносить, а там информации ценной много, вы очень помогли. Спасибо огромное!)
-
MBR была заражена диска F.
-
-
Junior Member
- Вес репутации
- 20
сейчас же уже всё вылечено? Уведомления больше не всплывают пока что.
-
Антивирус основное заражение вылечил.
-
-
Junior Member
- Вес репутации
- 20
Вы не поверите, но этот вирус до сих пор у меня появляется. Меня за пк не было, но касперский опять обнаружил тот же самый вирус. Скриншот залить почему-то не могу :\
-
Удалите старые вложения Мой кабинет => Вложения
-
-
Junior Member
- Вес репутации
- 20
Надеюсь в правильном окне скриншот сделал
-
- Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
- Запустите файл TDSSKiller.exe.
- Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
- В процессе проверки могут быть обнаружены объекты двух типов:
- вредоносные (точно было установлено, какой вредоносной программой поражен объект);
- подозрительные (тип вредоносного воздействия точно установить невозможно).
- По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
- Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
- Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
- Самостоятельно без указания консультанта ничего не удаляйте!!!
- После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
- Прикрепите лог утилиты к своему следующему сообщению
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt
-
-
Junior Member
- Вес репутации
- 20
Готово, вроде бы ничего не нашёл, угроз нет. Но эта зараза постоянно лечится касперским, а потом снова откуда-то всплывает.
Посмотрел в "управлении дисками" - диск 0 это, вроде как, ССД накопитель. Может все проверки и прочее надо было делать с него? Я не шарю совсем, делал всё с харда.
На ССД своя операционка стоит, может из-за неё какие-то файлы не сканируются когда с харда проверки и лечение делаю.
-
Сделайте логи Автологгера с него.
-
-
Junior Member
- Вес репутации
- 20
Сначала забыл что за автологгер, но потом сориентировался.
Вот логи с ССД:
Плюс вышло 2 ошибки, сделал скриншот одной из них (могу скинуть при необходимости). И создались 2 текстовых документа с названиями "report1" и "report2", их тоже прилагаю.
Последний раз редактировалось S-Size; 07.02.2019 в 12:48.