Показано с 1 по 15 из 15.

Вирус даже после переустановки Windows (заявка № 228400)

  1. #1
    Junior Member Репутация
    Регистрация
    06.12.2023
    Сообщений
    8
    Вес репутации
    1

    Вирус даже после переустановки Windows

    Доброго дня.

    Столкнулся с необычной проблемой.

    Вирус издаёт звуки (напоминает уведомление о сообщениях), включает отрывки музыки (не из моей коллекции и не из коллекции Windows), абсолютно рандомно. Т.к. было некогда этим заниматься, работал с выключенным звуком, не напрягало до одного момента пока не заблокировался буфер обмена. Т.е. скопировать можно, а "вставка" не работает. Этот баг снимается перезагрузкой, всё это сопровождается звуками. Этого может не быть 2 дня, а может мучать целый день.

    По итогу было решено переустановить Windows 11. У меня 2 диска, SSD и HDD, сначала отформатировал то что было на SSD и туда накатил новую винду, не помогло. После этого отформатировал оба диска и на SSD снова накатил чистую винду. Проблема не исчезла.

    Обратился в поддержу Microsoft, они изучили, протестировали и сказали, что с Windows проблем нет.
    Куда копать дальше? Мог ли вирус проникнуть в "биос"?

    Версия 23Н2, но это появлялось и на более старых версиях.

    Логи по ссылке: https://cloud.mail.ru/public/Nqmy/HLSt5TC5h
    Последний раз редактировалось alex2601; 06.12.2023 в 19:04.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,284
    Вес репутации
    377
    Уважаемый(ая) alex2601, спасибо за обращение на наш форум!

    Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,407
    Вес репутации
    1057
    Логи крепятся к сообщению в расширенном режиме, а не ссылкой на облако.

    Я не слышал о реальных вирусах в BIOS, да ещё и проигрывающих музыку.
    Скорее всего, связано с какой-то программой, а их установлено немало, и весьма необязательных.
    Куча приложений от Gigabyte, TopSite - знаете, что такое? И по времени установки подозреваю, что ставили не по отдельности, а каким-то пакетным установщиком.
    Я бы проверил на свежеустановленной чистой системе, только необходимые драйвера и браузер.

    Сделайте лог Malwarebytes AdwCleaner.
    WBR,
    Vadim

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    06.12.2023
    Сообщений
    8
    Вес репутации
    1
    К сожалению не обратил внимание на место прикрепления логов.

    Все эти программы устанавливались пакетом с официального приложения Gigabyte Control Center, который был установлен на чистую систему, сразу после переустановки. Проблема в том, что система переустанавливалась именно из-за этого вируса.
    TopSite - это утилита, которая снимает позиции сайта в поисковой выдаче, официальный софт, к нему вопросов нет.

    Весь остальной софт устанавливал через Microsoft Store. Оба жёстких диска были отформатированы.

    Обратил внимание, что дважды ловил данную проблему при настройке rdp, когда вводил логины и пароли для удалённого доступа. И в момент, когда нужно ввести пароль (он на почте), переставала работать функция буфера обмена.

    До этого при копировании / вставке, например в поисковую строку, вставлялись фразы, которые я не копировал в буфер обмена (какие-то поздравления с днём рождения и подобное, с ссылкой на сайты-источники).

    Все это периодически сопровождается звуками. Это заставляет меня думать, что всё же имеет место быть вирусная составляющая, а не проблема с железом. Но вот почему вирус возникает снова даже после форматирования и после 2х заново установленных windows - для меня загадка.

    Логи AdwCleaner прикрепил.
    Вложения Вложения
    • Тип файла: zip Logs.zip (639 байт, 0 просмотров)
    Последний раз редактировалось Vvvyg; 07.12.2023 в 07:41.

  7. #5
    Junior Member Репутация
    Регистрация
    06.12.2023
    Сообщений
    8
    Вес репутации
    1
    Предыдущее сообщение не отображается, прикладываю логи
    Вложения Вложения
    • Тип файла: zip Logs.zip (639 байт, 1 просмотров)

  8. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,407
    Вес репутации
    1057
    Система не сборка какая-то?

    Попробуйте определить источник звуков по этому рецепту: Звуки Windows непонятного происхождения.
    WBR,
    Vadim

  9. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,579
    Вес репутации
    757
    Добавлю, что ещё понаблюдайте есть ли звуки при отключённом интернете?

  10. #8
    Junior Member Репутация
    Регистрация
    06.12.2023
    Сообщений
    8
    Вес репутации
    1
    Система - сборка с рутрекера, но в этом не вижу проблемы, потому что проблема появилась ДО установки данной сборки и продолжилась после.

    Спасибо, воспользуюсь этим советом, но звуки вообще не беда, основная проблема в блокировке буфера обмена, которая сохранилась даже после переустановки Windows и форматирования жёстких дисков.

    Мог ли вирус оказаться на загрузочной флешке, если она создавалась на заражённой системе?
    И можно ли пользоваться сохранёнными excel файлами?

    - - - - -Добавлено - - - - -

    Цитата Сообщение от regist Посмотреть сообщение
    Добавлю, что ещё понаблюдайте есть ли звуки при отключённом интернете?
    Это будет проблематично, т.к. без интернета для меня использование компьютера бессмысленно.

    - - - - -Добавлено - - - - -

    Добрый вечер!
    В течение всего дня вирус не подавал признаков жизни.

    Проснулся в тот момент, когда я вводил данные для подключения к удалённым серверам.
    И до этого вирус активировался именно на этом моменте, при попытке ввести данные для подключения к удалённому рабочему столу блокировался буфер обмена. После этого начинались звуки.

    До этого в настройках защитника windows включил закрыть доступ защищённым папкам.
    По вашей рекомендации поставил программу Process Monitor, где отловил звуки, появляющиеся ровно каждые 10 минут. Эти звуки издают процессы: ShellExperienceHost.exe, consent.exe, svchost.exe, SystemSettings.exe - прикладываю скрины.

    До этого (на всякий случай) обновил BIOS.

    Возникла мысль, что вирус появляется после переустановки винды, т.к. загрузочный файл был записан на заражённой системе.

    Помимо этого с рабочего стола стали пропадать недавно созданные текстовые файлики.

    Следующим действием попробую сделать загрузочную флешку с чистой системы и переустановить винду с неё.
    Изображения Изображения
    Последний раз редактировалось alex2601; 07.12.2023 в 21:06.

  11. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,407
    Вес репутации
    1057
    Пока до переустановки сделайте такой лог.

    Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
    WBR,
    Vadim

  12. #10
    Junior Member Репутация
    Регистрация
    06.12.2023
    Сообщений
    8
    Вес репутации
    1
    Прикладываю лог https://cloud.mail.ru/public/EwML/s7AhmwM5a

    К сожалению не смог прикрепить к вложениям, из-за недостатка места.

  13. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,407
    Вес репутации
    1057
    Ничего с первого взгляда тоже не видно система - сборка? Встречались со встроенными закладками, которые не выковырять никак.
    WBR,
    Vadim

  14. #12
    Junior Member Репутация
    Регистрация
    06.12.2023
    Сообщений
    8
    Вес репутации
    1
    Да, система сборка, не знаю где взять оригинальный образ (важное примечание - сборка отличающаяся от предыдущих).

    Переустановил, чистая система, полностью отформатированные и удалённые разделы.

    Тестирую ту же самую ошибку (на чистой системе):

    1. Включаю "Подключение к удалённому рабочему столу"
    2. Ввожу IP-адрес и пользователя.
    3. Сохраняю параметры подключения.
    4. Нажимаю "подключить" и ввожу пароль.
    ок.

    ---

    5. Повторяю пункты 1-4 со 2-м сервером.
    ок

    ---

    6. Пытаюсь выполнить пункты 1-4 с 3-м сервером.
    1. Ок.
    2. Не вводится IP-адрес, блокируется буфер обмена.

    На данный момент никаких звуков в системе не происходит.

  15. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,407
    Вес репутации
    1057
    Оригинал установить просто, с помощью средства для создания носителя.
    Про такие фокусы с буфером обмена не слышал, но крайне маловероятно, что это проделки вируса.
    WBR,
    Vadim

  16. #14
    Junior Member Репутация
    Регистрация
    06.12.2023
    Сообщений
    8
    Вес репутации
    1
    По всей видимости вирус находится на одном из удалённых серверов, т.к. вышеописанный алгоритм повторил на другом компьютере с абсолютно идентичным результатом. Если не заходить в rdp - никаких симптомов заражения не происходит (звуки, блокировка буфера обмена).

  17. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,407
    Вес репутации
    1057
    Я не могу представить, как удалённый сервер может блокировать буфер обмена ещё до подключения к нему. Но, в любом случае, проблема явно не в вирусах, предлагаю с дальнейшими изысканиями переместиться на какой-нибудь форум сисадминов )
    WBR,
    Vadim

  18. Это понравилось:


Похожие темы

  1. Ответов: 1
    Последнее сообщение: 09.08.2017, 18:33
  2. Ответов: 4
    Последнее сообщение: 10.11.2014, 11:05
  3. Ответов: 3
    Последнее сообщение: 09.06.2014, 20:03
  4. Ответов: 6
    Последнее сообщение: 13.05.2014, 18:47
  5. Ответов: 9
    Последнее сообщение: 22.02.2009, 09:29

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01264 seconds with 19 queries