Здравствуйте.
Признаки:
1.Стали пропадать папки бесследно. Раз в квартал, примерно, 1 папка. Приходиться восстанавливать утилитами.
2.Очевидно,что переносится на флэшке
3.Недавно браузер перестал заходить на антивирусные сайты.
4.Периодически "отваливаются" винчестеры.Грешил на БП или материнку
Заранее благодарю за помощь
Последний раз редактировалось newrising; 04.02.2025 в 15:11.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) newrising, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
По симптомам скорее порхоже на проблемы с диском. И Comodo, видимо, частично заблкировал работу autologger.
Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:В папке с AVZ появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.Код:begin ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false); ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false); ExecuteFile('wevtutil.exe', 'epl Security Security.evtx', 0, 200000, false); ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-Windows Defender/Operational" wd.evtx "/q:*[System [(EventID=1116)]]"', 0, 200000, false); ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-PowerShell/Operational" "Windows PowerShell.evtx"', 0, 200000, false); ExecuteFile('wevtutil.exe', 'epl "Doctor Web" "Doctor Web.evtx"', 0, 200000, false); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=128m Events.7z *.evtx', 1, 300000, false); ExitAVZ; end.
WBR,
Vadim
Хорошо, спасибо.
(При этом: "По симптомам скорее похоже на проблемы с диском". Диски отваливаются хаотично , то есть,а то нет , на двух разных машинах и все диски рандомно. AVZ нашел что функция перехвачена - , удаляются не в корзину папки одна прямо на моих глазах , и .... winpe_10_8/ загрузочный диск, когда загрузил win PE а в нем свыше 5 шт троянов, а эта флэшка палочка -выручалочкой долго была)
- - - - -Добавлено - - - - -
Скрипт выполнил, правда в архив он сам файлы не упаковал
https://disk.yandex.ru/d/LC1MXNbONSF4mw
Повторил с выключенным Comodo
Последний раз редактировалось newrising; 05.02.2025 в 14:28.
Такое есть событие:
И такие события нередки:Имя журнала: System
Источник: Microsoft-Windows-DriverFrameworks-UserMode
Дата: 04.02.2025 15:45:01
Код события: 10111
Категория задачи:User-mode Driver problems.
Уровень: Критический
Ключевые слова:
Пользователь: СИСТЕМА
Компьютер: DESKTOP-NMM4REV
Описание:
Устройство Samsung USB (размещение (unknown)) отключено из-за сбоя драйвера пользовательского режима. Windows попытается перезапустить устройство еще несколько раз: 5. Свяжитесь с производителем устройства для получения дополнительных сведений об этой проблеме.Т. е. аппаратные проблемы явные.Система перезагрузилась, завершив работу с ошибками. Возможные причины ошибки: система перестала отвечать на запросы, произошел критический сбой или неожиданно отключилось питание.
Активных вирусов по логам нет, если нашлось что-то мирно лежащее в закромах - оно не опасно, если не запускается.
Давайте копнём глубже. Сделайте такой лог, только отключите полностью Comodo на время.
Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
WBR,
Vadim
сделал полный образ автозапуска uVS. DESKTOP-NMM4REV_2025-02-05_19-23-49_v4.99.5v x64
- - - - -Добавлено - - - - -
Теперь , после начала проблем, каждый раз сразу после начала работы ОС при запускаю AVZ
И как, помогает?Сообщение от newrising
А в состав Autologger входит AVZ версии 5.99 и логи его в архиве присутствуют.Протокол антивирусной утилиты AVZ версии 4.46
Есть, возможно, следы майнера, но только следы. Почистим с мусором.
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.Код:;uVS v4.99.8v x64 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c deltmp delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\GOOGLEUPDATE.EXE deltsk %SystemDrive%\USERS\CREATION\APPDATA\LOCAL\TEMP\EDGE_BITS_10716_2044905233\B3F61889-8086-4659-BC6F-ED5BE91DA387 delref %SystemDrive%\USERS\KONSTRUKTOR\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVESTANDALONEUPDATER.EXE delref %SystemDrive%\PROGRAMDATA\PDF ARCHITECT 9\INSTALLATION\PDF_ARCHITECT_9_INSTALLER.EXE delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.2105.5-0\DRIVERS\WDNISDRV.SYS delref L:\SETUP.EXE delref J:\SISETUP.EXE delref H:\SETUP.EXE delref F:\SETUP.EXE delref F:\SISETUP.EXE delref J:\SETUP.EXE delref %SystemDrive%\PROGRAM FILES\GOOGLE\DRIVE FILE STREAM\68.0.2.0\GOOGLEDRIVEFS.EXE delref %SystemDrive%\USERS\CREATION\APPDATA\LOCAL\WHATSAPP\WHATSAPP.EXE delref %SystemDrive%\USERS\CREATION\APPDATA\ROAMING\YANDEX\YANDEXDISK2\3.2.28.4901\YANDEXDISK2.EXE apply restart
Компьютер перезагрузится.
По разборкам с удалением папок - можно попробовать Sysinternals ProcessMonitor настроить на отслеживание доступа, вот хороший гайд.
WBR,
Vadim
Спасибо за рекомендации! , с утра займусь. "Теперь , после начала проблем, каждый раз сразу после начала работы ОС при запускаю AVZ" помогает, но не надолго ) и немного )) ((
Здравствуйте, практически последний скрипт ничем не помог. Почти все файлы по новой образуются. "Перехватчиков" AVZ почти столько же видит после выполнения скрипта. Думаю систему переустанавливать надо?
Скрипт только чистил мусор. Проблема, скорее, аппаратная, прежде чем переустанавливать систему, проверьте железо.
На перехваты функций не обращайте внимания, они от Comodo.
WBR,
Vadim
Одинаковая аппаратная проблема на 2 ух разных компьютерах? Такое бывает наверное крайне редко,все-таки железо то абсолютно разное?
Давайте логи по второму смотреть. И сразу журналы событий, как в сообщении #3. Пока не зачто даже зацепиться.
WBR,
Vadim
https://disk.yandex.ru/d/DkVxbKwMeVM0DQ журнал событий , второй комп. Пока делал, исчезла на глазах папка, затем отвалился "винт" , затем при перезагрузке уход в CHKDSK
https://disk.yandex.ru/d/91vWnBue6ofY3A autologger
Последний раз редактировалось newrising; 06.02.2025 в 18:31.
Эти логи полностью бесполезны, древняя версия AVZ и то, что показал UVS после запуска. Нужен лог Autologger и полный образ UVS.
Вжурналах вал событий:
И такое ещё:Обнаружена ошибка на устройстве \Device\Harddisk2\DR2 во время выполнения операции страничного обмена.Не стоит искать вирусы там, где причины вполне очевидны.Драйвер обнаружил ошибку контроллера \Device\Ide\IdePort2.
Доступ к устройству \Device\Harddisk1\DR1 пока невозможен.
WBR,
Vadim
Здравствуйте. Помогло только одно: форматирование винчестера и установка с нуля из образа ОС. Но не из всякого, а до только определенной даты( т.е. до момента наличия каких то программ и лек-ств к ним) На другой машине скачал вот это : https://www.safe..... /resources/av-block-remover-avbr.224/ , по завершении заказчики файла внимательно смотрю на него и через 0.1 сек файл обнулился в 0 байт и сменил имя и расширение! Скачал его же с "кривым именем" , запустил: успел заметить что удалено много файлов и 10 строк было красных . Признаки улучшения в системе стали наблюдаться .
- - - - -Добавлено - - - - -
Вот логи
- - - - -Добавлено - - - - -
Думаю (что посоветуете) LiveCD какой? DrWerb LiveCD я с него загрузился, но там не работает КВРТ Касперского, а CureiT не видит половину дисков, и чтобы ваши все программы работали: AVZ uVS. Еще странная картина: AVZ на всех копмах в 2 ух файлах "image_breeze..." находят троянов , а Virustotal именно в этих же файлах ничего не видит (
Последний раз редактировалось newrising; 07.02.2025 в 13:57.
Попробуйте Kaspersky Rescue Disk.
AVZ в качестве антивируса - так себе решение, много ложных срабатываний, как в Вашем случае.
И av-block-remover тут вовсе бесполезен.
WBR,
Vadim
Здравствуйте. Как только переустановил ОС, так сразу все "проблемы с железом" исчезли на обеих машинах.
При всем при этом, по 2 шт. ОС старых с программами я оставил , единственно только, распаковал их из 2 годовалых образов. Оданко же, и в них также были зловреды ! , очевидно что ранее они спали.
В лечении указанных зловредов помогли вот эти проги: av-block-remover находил по 1-2 зловреда , и удалил их, MinerSearch_v1.4.7.72 находил по 2-3 зловреда , и удалил их, + еще AVZ в качестве лакмуса хорош.
Итог - 4 дня , на компах все спокойно.
Так что вам спасибо, ваша догадка верна: майнеры и еще трояны.
Последний раз редактировалось newrising; 09.02.2025 в 13:06.
Уважаемый(ая) newrising, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
