Неведома зараза

[nazarianin]

Доброго всем дня. 

Знакомый где-то зацепил заразу, прописывается в автозагрузку и в планировщик заданий. Антивирусом не определяется.   Периодически пытается скачать файл  ссылка удалена что блокируется антивирусом. Папки с исполняемыми файлами прилагаю. На компьютере задания отключил, из автозагрузки удалил, в браузера расширения почистил. 

 

Строгое предупреждение от модератора Mark D. Pearlstone

Не отправляйте вредоносные, потенциально вредоносные файлы и ссылки на них на форум.

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[nazarianin]

Кратко - неведомое чудо запускается в интерпретаторе python и как дополнение к бразеру на JavaScript. Дополнения есть для разных антивирусов.  Антивирус видит только запрещенную ссылку и блокирует попытки скачать доп.  модули которые ему знакомы. Надеюсь после отправки в лабораторию, будет определяться Антивирусом. 

[Mark D. Pearlstone]

@nazarianin, вы правила собираетесь выполнять или поговорить пришли?

[nazarianin]

Некоторое время назад антивирус Касперского начал выдавать периодические сообщения, что заблокирована вредоносная ссылка. После разбирательств были найдены подозрительные папки в AppData\Roaming fltnsl и prof2you и файл flprx.exe. В реестре был прописан автозапуск launcher.exe из prof2you. Планировщике заданий были найдены два задания связанные с этими папками. Что было сделано: отключены задания связанные с этими папками. Из реестра автозапуска удалены записи связанные с этими папками. Подозрительные папки переименованы. Выполнена перезагрузка. Запущено полное сканирование антивирусом. На текущее момент сообщений от антивируса о подозрительной активности не выскакивало. Результат сборщика логов запущенного после всех манипуляций прилагаю. 

CollectionLog-2016.09.14-08.14.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\albert\AppData\Roaming\prof2you\updater\python\pythonw.exe','');
 ExecuteFile('schtasks.exe', '/delete /TN "prof2you" /F', 0, 15000, true);
 DeleteFile('C:\Users\albert\AppData\Roaming\prof2you\updater\python\pythonw.exe','32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.