Перейти к содержанию
Правила раздела

вирус который меняет скачиваемые файлы из инета архивом

Surenaka

Автор Surenaka
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Surenaka Новичок

Surenaka

Опубликовано
Опубликовано (изменено)

Недавно заметил что при скачивание файлов из яндекс/гугл/mediafire ресурсов у меня скачивается архив 

ссылку на вирустотал архива - https://www.virustotal.com/ru/file/a9984223567fed08497e571a6bb7d8873bdab363f7f232201934af3ca5861546/analysis/1508964673/

имя архива archive-12-b2e.zip в нем находится сам вирус в формате exe

http://rgho.st/7t2xfgJcLвот ссылку на лог файл, просто у меня почему то не получилось загрузить файл простым способом

Изменено пользователем Surenaka
Ссылка на комментарий
Поделиться на другие сайты
Surenaka Новичок

Surenaka

Опубликовано
  • Автор
Опубликовано

у меня почему то не получается прикрепить лог-файл могу ли скинуть через какой нить файлообменник?

Ссылка на комментарий
Поделиться на другие сайты
Surenaka Новичок

Surenaka

Опубликовано
  • Автор
Опубликовано

Недавно заметил что при скачивание файлов из яндекс/гугл/mediafire ресурсов у меня скачивается архив 

ссылку на вирустотал архива - https://www.virustotal.com/ru/file/a9984223567fed08497e571a6bb7d8873bdab363f7f232201934af3ca5861546/analysis/1508964673/

имя архива archive-12-b2e.zip в нем находится сам вирус в формате exe

http://rgho.st/7t2xfgJcLвот ссылку на лог файл, просто у меня почему то не получилось загрузить файл простым способом

CollectionLog-2017.10.29-12.04.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ExecuteFile('schtasks.exe', '/delete /TN "shell-unlock" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "shell" /F', 0, 15000, true);
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Пофиксите в HiJack из папки Autologger

O17 - HKLM\System\CSS\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 178.132.6.57
O17 - HKLM\System\CSS\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 193.238.153.54
O17 - HKLM\System\CSS\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 35.177.46.238
O17 - HKLM\System\CSS\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 46.101.28.31
O17 - HKLM\System\CSS\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 178.132.6.57
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 193.238.153.54
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 35.177.46.238
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 82.202.226.203
Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
Surenaka Новичок

Surenaka

Опубликовано
  • Автор
Опубликовано

Выполните скрипт в AVZ

begin
ExecuteFile('schtasks.exe', '/delete /TN "shell-unlock" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "shell" /F', 0, 15000, true);
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Пофиксите в HiJack из папки Autologger

O17 - HKLM\System\CSS\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 178.132.6.57
O17 - HKLM\System\CSS\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 193.238.153.54
O17 - HKLM\System\CSS\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 35.177.46.238
O17 - HKLM\System\CSS\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 46.101.28.31
O17 - HKLM\System\CSS\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 178.132.6.57
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 193.238.153.54
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 35.177.46.238
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 82.202.226.203
Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

 

сделал все как написано, проблема осталось

 

извините, проблема прошла, огромное спасибо вам за вашу отзывчивость и за профессиональность, как я понял если вдруг вирус вернется повторить те же действие?

CollectionLog-2017.10.29-13.39.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

как я понял если вдруг вирус вернется повторить те же действие?

Причина может оказаться в другом. Потому лучше обращаться с новыми логами.

 

Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • orbita06
      вирус зашифровал файлы
      Автор orbita06
      легла вся сеть и 4 сервера вирус удален нужна программа дешифровальщика
    • CHEAX
      [РЕШЕНО] Два файла dwm.exe, один из которых вирус.
      Автор CHEAX
      Один из файлов грузит систему, ни один антивирус поймать не может, в том числе Касперский Премиум. На данном форуме видел подобные темы, uVS скачан. Просьба помочь в решении вопроса.

    • zsvnet
      файлы зашифрованы вирусом
      Автор zsvnet
      obrazec.zipAddition.txtShortcut.txtFRST.txtДобрый день! Зашифровали файлы.
      Скорее всего проникли через RDP. Исходный ПК неработоспособен. Диск подключен к другому ПК и на нем запускали FRST.
    • sencity72
      [РЕШЕНО] вирус который маскируется под системный процесс Телефон Microsoft Windows
      Автор sencity72
      Добрый день, поймал вирус - силно загружает энергопотребление - ноутбук работает на максимальном охлождении постоянно - ранее небыло видно этого процесса в диспетчере задач, а теперь он на самом верху -  Телефон Microsoft Windows, при попытке отключить процесс - система уходит в синий экран
      CollectionLog-2025.04.25-19.02.zip
    • вася1525
      вирус жрёт файлы. ×
      Автор вася1525
      virusinfo_syscheck.zip
×
×
  • Создать...