Перейти к содержанию
Правила раздела

Первая вредоносная программа за всю историю [LOG!]

supremist

От supremist
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

supremist Постоялец

supremist

Опубликовано
Опубликовано (изменено)

добрый вечер,хотелось бы обратиться за помощью,т.к. этот форум неоднократно помогал в решении разного рода проблем.Недавно на мой компьютер проникла вредоносная программа,которую я впервые не могу одолеть,вирус -рекламного характера,пользуюсь продуктами Касперского, а именно KIS 2009 8.0.0.454 (a.d.e.g).

 

 

P\S скриншоты прилагаются,предыдущие посты о подобных проблемах не просматривал,т.к. катастрофически сейчас не хватает времени.Еще раз прошу прощение за "нубство".После проведения нескольких полных проверок был обнаружен и удален троян,но реклама продолжает появлятся поверх всех окон.Зараннее благодарю за любую помощь)

post-5521-1251316872_thumb.jpg

post-5521-1251316880_thumb.jpg

hijackthis.log

virusinfo_syscure.zip

Изменено пользователем supremist
Ссылка на комментарий
Поделиться на другие сайты
merenkov7 Новичок

merenkov7

Опубликовано
Опубликовано

Да это хитрый рекламный продукт первое исчешь все файлы

Ну допустим как это делал я. В локальном поиске винды - вот эти файлы и скрытые тоже!

( adSubscribe,

fieryads,

fieryadsuninstall,

av3moe1w ) основные это - fieryadsuninstall, adSubscribe, fieryads, данные файлы удаляй все с любыми расширениями

в любых папках системного диска , но это ещё не всё некоторые ты не сможешь удалить!

так как они используют системные процессы. Итак

 

//-------------------------------------------------------------------------------------------------------------------------------------------------------

 

1. выполнить-> msconfig-> автозагрузка Снимай галки со всего что неизвестно, загадочно или "адабра кадабра :)"

 

2. Тоже делаем в службах отключаем службы "адабра кадабра"

 

3. Перезагружаемся - снова пробуем удалить файлы: adSubscribe, fieryads, fieryadsuninstall,

 

4. Если и здесь блокировка, лезем в реестр ( выполнить-> regedit )( не ссы ничего страшного нет )

набираем в "найти и далее" название вышесказанных файлов и все ключики уничтожаем

с названиями этих файлов

кстати это универсальная процедура для удаления вредных файлов :angry:)

( перезагружаемся -> шаг 3) вот наверно и всё

 

Ключи в реестре подчистить ОБЯЗАТЕЛЬНО они дают указание на запуск вредным файлам !

 

//-------------------------------------------------------------------------------------------------------------------------------------------------------

 

PS Обязательно создай точку восстановления перед всей этой магией,

а перед тем как в реестре копаться, реестр сохрани.

 

Повторюсь так можно удалить не только эти файлы но и другие - которые сами запускаются( возможно у тебя что то иное, )

Ссылка на комментарий
Поделиться на другие сайты
Jen94 Ветеран

Jen94

Опубликовано
Опубликовано

merenkov7, желательно выкладывать скрипты для лечения :)

supremist, AVZ->Файл->Выполнить скрипт.

Скопировать указанный ниже скрипт, нажать на кнопку "запустить"

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DelBHO('{A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE}');
DelBHO('{95289393-33EA-4F8D-B952-483415B9C955}');
DelBHO('{6D125299-C2A9-4DBC-BEC3-6F7124E39A41}');
QuarantineFile('c:\windows\softwareprotection\systemvital.exe','');
QuarantineFile('C:\WINDOWS\system32\xlive.dll','');
DeleteFile('C:\DOCUME~1\9335~1\APPLIC~1\FieryAds\FieryAds.dll');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\AdSubscribe\AdSubscribe.dll');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Затем такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Oтправьте quarantine.zip по электронной почте на адрес newvirus@kaspersky.com. О результате сообщите.

 

2)HijackThis->Do a system scan only->поставить галочку около указанных строчек->нажать на жирную кнопку "Fix Checked"

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.qip.ru/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.qip.ru
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = start.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.qip.ru/ie
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: Доступ к платному контенту FieryAds v2.0.2 - {6D125299-C2A9-4DBC-BEC3-6F7124E39A41} - C:\DOCUME~1\9335~1\APPLIC~1\FieryAds\FieryAds.dll
O9 - Extra button: (no name) - DctMapping - (no file)

 

3) После выполнения отпишитесь о результатах

 

Сообщение от модератора Falcon
Поправил.
Ссылка на комментарий
Поделиться на другие сайты
supremist Постоялец

supremist

Опубликовано
  • Автор
Опубликовано
Желательно сделать новый клмплект логов, для контроля.

 

 

контрольный комплект логов выполнил

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Ничего плохого не увидел

 

Установите SP3 (может потребоваться активация) + все новые заплатки

Установите Internet Explorer 8

Обновите JavaRE

Ссылка на комментарий
Поделиться на другие сайты
ROME'D'ROS Опытный

ROME'D'ROS

Опубликовано
Опубликовано (изменено)
сталкивался с похожей рекламой на KIS 9

антивирус тоже не реагировал

Уже поймал его вчера, отправил аналитикам, у меня он поределился как Trojan-Downloader.Win32.Adload.jci, седня его удалил сам каспер, нужна перезагрузка, так же при завершении работы, выдает окно, типо не может завершиться fieryadssubscride, в диспетчере задач его нет...

Хотя че переживать, если новые модификации уже нашли.

О5 сёдня этот чёртик вылез, я сразу нашел эти 3 файла,запаковал в архивчик и отправил аналитикам, теперь это:

AdSubscribe.dll - not-a-virus:AdWare.Win32.FearAds.cd

Uninstall.exe_ - Backdoor.Win32.Hupigon.hxig

Новые модификации о5, скоро обновление..

Изменено пользователем ROME'D'ROS
Ссылка на комментарий
Поделиться на другие сайты
supremist Постоялец

supremist

Опубликовано
  • Автор
Опубликовано

прошу вас помочь еще ,не стал создавать новую тему,но после удаления рекламной программы ,столкнулся с еще одной проблемой,а именно не могу открыть доступ на файлы в локальную сеть,он вроде бы есть,но при попытке скачивания у пользователей пишет что его нет))может быть это связано как -то я появлениями новой уч записи?(см. скриншоты)

post-5521-1251985727_thumb.jpg

post-5521-1251985733_thumb.jpg

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      История атаки вымогателей на UnitedHealth | Блог Касперского
      От KL FC Bot
      Примерно год назад произошел масштабнейший ransomware-инцидент — атака на гиганта американского медицинского страхования, компанию UnitedHealth Group. Взлом имел настолько многочисленные и серьезные последствия, что все прошедшее с момента атаки время появлялись новые подробности о ходе атаки и ее итогах. К годовщине инцидента мы решили собрать все теперь уже доступные данные в одном материале.
      Ransomware-атака на UnitedHealth Group
      Сперва дадим контекст, который будет в особенности полезен для тех, кто не очень хорошо знаком с данной организацией. UnitedHealth Group — это крупнейшая компания на рынке медицинского страхования и медицинских услуг США. Ее капитализация составляет примерно $500 миллиардов. При этом UnitedHealth Group занимает девятое место по выручке среди всех корпораций мира, следуя в этом списке сразу после Apple.
      В состав UnitedHealth Group входят две компании. Первая из них, UnitedHealthcare, занимается медицинским страхованием. Вторая, Optum, специализируется на предоставлении разнообразных медицинских услуг — от фармацевтики и собственно медицинского обслуживания до ИТ-систем, используемых в здравоохранении.
      Последним занимается OptumInsight — одно из трех подразделений Optum, причем самое высокомаржинальное из них. Осенью 2022 года в OptumInsight вошла приобретенная UnitedHealth Group платформа Change Healthcare. Эта цифровая площадка обрабатывает заявления на получение страховых выплат, выступая в роли финансового посредника между пациентами, поставщиками медицинских услуг и страховщиками.
      Собственно, Change Healthcare и стала непосредственной целью атаки вымогателей: 21 февраля в ее системах начал работать шифровальщик, из-за чего платформа стала недоступна. Это вызвало настоящий хаос в американской системе здравоохранения: из-за невозможности быстрой обработки заявлений на страховые выплаты многие пациенты вынуждены были оплачивать лекарства и медицинские услуги из своего кармана. А медицинским учреждениям пришлось перейти в ручной режим обработки счетов.
      Восстановление пострадавших систем заняло многие месяцы: к примеру, клиринговый сервис Change Healthcare возобновил работу лишь в ноябре. В UnitedHealth Group даже создали специальный сайт, на котором можно следить за восстановительными работами. Даже сейчас, спустя год после атаки, на этом сайте публикуются регулярные обновления, а некоторые системы до сих пор имеют статус «доступна частично».
       
      View the full article
    • Кристина1983
      По электронной почте прислали вредоносный файл
      От Кристина1983
      Здравствуйте! Вчера по электронной почте пришел вредоносный файл, якобы Накладная.pdf, но файл был не PDF, просто маскировался. Письмо из почты удалила, при попытке почистить папку удаленные, через несколько секунд это удаленное письмо в удаленных восстанавливалось (почтовый клиент Thunderbird). Касперским проверила лог прилагаю, но в почтовом клиенте опять в удаленных было это письмо. Снова запустила утилиту Касперского с полной проверкой. Было проведено лечение с перезагрузкой.
      Прошу проверить остались ли вредоносные следы в системе? 
       
      Логи Kaspersky Virus Removal Tool Reports.rar
      Логи AutoLogger, после того как отработал Kaspersky Virus Removal Tool
      CollectionLog-2025.02.06-15.12.zip
    • vlanzzy
      Вредоносное заражение с task.vbs
      От vlanzzy
      CollectionLog-2024.12.19-19.35.zip
      Произошло заражение вирусом, выполнял проверку через KVRT и смог удалить вирусы, но теперь запускается task.vbs
       
    • Snake200221
      PowerShell пытается перекинуть на вредоносную ссылку
      От Snake200221
      Здравствуйте, при включении компьютера и окончательном входе в систему PowerShell пытается перекинуть на вредоносную ссылку. Касперский сразу же блокирует
       
      Также недавно активировал систему командой в сmd, а именно "powershell iex (irm 'activated.run/key')". Может быть это она спровоцировала данную проблему 
      CollectionLog-2025.01.04-00.02.zip
    • mrTomny
      PowerShell пытается перекинуть на вредоносную ссылку
      От mrTomny
      Вопрос не решился? у меня такая же проблема вылезла....
      инфо.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...