Перейти к содержанию
Правила раздела

вирус который меняет скачиваемые файлы из инета архивом

Surenaka

Автор Surenaka
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Surenaka

Surenaka

Опубликовано
Опубликовано (изменено)

Недавно заметил что при скачивание файлов из яндекс/гугл/mediafire ресурсов у меня скачивается архив 

ссылку на вирустотал архива - https://www.virustotal.com/ru/file/a9984223567fed08497e571a6bb7d8873bdab363f7f232201934af3ca5861546/analysis/1508964673/

имя архива archive-12-b2e.zip в нем находится сам вирус в формате exe

http://rgho.st/7t2xfgJcLвот ссылку на лог файл, просто у меня почему то не получилось загрузить файл простым способом

Изменено пользователем Surenaka
Mark D. Pearlstone

Mark D. Pearlstone

Опубликовано
Опубликовано

@Surenaka, кнопку "Загрузить" после выбора файла нужно нажать.

  • Спасибо (+1) 1
Surenaka

Surenaka

Опубликовано
  • Автор
Опубликовано

Недавно заметил что при скачивание файлов из яндекс/гугл/mediafire ресурсов у меня скачивается архив 

ссылку на вирустотал архива - https://www.virustotal.com/ru/file/a9984223567fed08497e571a6bb7d8873bdab363f7f232201934af3ca5861546/analysis/1508964673/

имя архива archive-12-b2e.zip в нем находится сам вирус в формате exe

http://rgho.st/7t2xfgJcLвот ссылку на лог файл, просто у меня почему то не получилось загрузить файл простым способом

CollectionLog-2017.10.29-12.04.zip

thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ExecuteFile('schtasks.exe', '/delete /TN "shell-unlock" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "shell" /F', 0, 15000, true);
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Пофиксите в HiJack из папки Autologger

O17 - HKLM\System\CSS\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 178.132.6.57
O17 - HKLM\System\CSS\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 193.238.153.54
O17 - HKLM\System\CSS\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 35.177.46.238
O17 - HKLM\System\CSS\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 46.101.28.31
O17 - HKLM\System\CSS\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 178.132.6.57
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 193.238.153.54
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 35.177.46.238
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 82.202.226.203
Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.
  • Спасибо (+1) 1
Surenaka

Surenaka

Опубликовано
  • Автор
Опубликовано

Выполните скрипт в AVZ

begin
ExecuteFile('schtasks.exe', '/delete /TN "shell-unlock" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "shell" /F', 0, 15000, true);
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Пофиксите в HiJack из папки Autologger

O17 - HKLM\System\CSS\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 178.132.6.57
O17 - HKLM\System\CSS\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 193.238.153.54
O17 - HKLM\System\CSS\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 35.177.46.238
O17 - HKLM\System\CSS\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 46.101.28.31
O17 - HKLM\System\CSS\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 178.132.6.57
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 193.238.153.54
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 35.177.46.238
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 82.202.226.203
Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

 

сделал все как написано, проблема осталось

 

извините, проблема прошла, огромное спасибо вам за вашу отзывчивость и за профессиональность, как я понял если вдруг вирус вернется повторить те же действие?

CollectionLog-2017.10.29-13.39.zip

thyrex

thyrex

Опубликовано
Опубликовано

как я понял если вдруг вирус вернется повторить те же действие?

Причина может оказаться в другом. Потому лучше обращаться с новыми логами.

 

Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • CHEAX
      [РЕШЕНО] Два файла dwm.exe, один из которых вирус.
      Автор CHEAX
      Один из файлов грузит систему, ни один антивирус поймать не может, в том числе Касперский Премиум. На данном форуме видел подобные темы, uVS скачан. Просьба помочь в решении вопроса.

    • Алексей_DML
      Шифровальщик, меняющий расширение файлов на 54a8afd423597a
      Автор Алексей_DML
      Добрый день. Столкнулся с шифровальщиком, который зашифровал множество важных файлов и изменил их расширение на 54a8afd423597a. Операционная система была Windows server 2019.  Farbar Recovery Scan Tool применить нет возможности, так как заражённая машина является контролером домена, залогиниться невозможно. 2 зашифрованных файла и файл с требованиями злоумышленников прилагаю. Буду благодарен за любую помощь. Заранее спасибо.
      Файлы.rar
    • vanurt
      мега-вирус который сам себя восстанавливает
      Автор vanurt
      вирус сам себя восстанавливает,сразу же после удаления. находится по пути C:\ProgramData\kdaqmmepuqgl   помогите,как удалить его? переустановка или снос до заводских не вариант,файлов важных много...
      еще он восстанавливает себя через conhost и powershell,выяснил когда сидел в диспетчере задач и удалял его много раз.. 
    • Александр_J30
      [РЕШЕНО] Не скачивается касперский, помощь в поиске и удалении вирусов.
      Автор Александр_J30
      Пытался скачать Kaspersky Total Security, но exe никак не запускался. Перепробовал все действия, которые связаны с не запуском exe файлов, но ничего не помогло. Наткнулся на статью, что вирусы могу блокировать установку антивируса, скачал Kaspersky Virus Removal Tool, провел сканирование два раза, было выявлено 13 и 9 вирусов(скриншоты прилагаю). KTS до сик пор не запускается, думаю есть еще более невидимые вирусы.


      CollectionLog-2024.02.20-15.13.zip
    • iulian
      вирус который после полного форматирования не удаляется
      Автор iulian
      Характеристики:
      MSI prestige 14 Hb12u (notebook)
      CPU — intel i5 12450h, RTX 2050
      Об проблеме:
      Симптомы:
      1. При открытии диспетчера задач резко с 100% падает до 15%.
      2. Если запустить с включенным диспетчером какую-то тяжелую прогу и не только тяжелую (не знаю, как-то по рандому), то есть включаю конференцию, комп шумит и греется от нее, как от мощной проги, и так же, когда не мощную прогу. Я думаю, что это майнер, но если выключить интернет (Wi-Fi) с кнопки в панели задач, то он так же работает (не знаю, надолго не выключал, примерно 5 мин).
      3. Иногда может и просто начать греться и шуметь, когда ничего, кроме Яндекса, не включено (с включенным диспетчером задач).
      4. Еще так же не всегда до 100% он гонит в диспетчере, иногда до 60–70% (без включенных прог).
      5. Еще безопасный режим тоже не могу включить, когда запускаю его, просит пин-код, но ввести его нельзя (пишет: «Проблема с пин-кодом, попробуйте заново»).
      Что я делал:
      1. Я полностью форматировал все диски и переустанавливал винду, которую скачать с другого ПК (все так же осталось).
      2. Я скачивал на флешку утилиту от «Касперского» и через нее делал, ничего не поменялось.
      3. Скачивал разные другие утилиты, которые лечат, штук 5–6 перепробовал. 
       
       
       
       
       
       
       
       
×
×
  • Создать...