Перейти к содержанию
Правила раздела

Первая вредоносная программа за всю историю [LOG!]

supremist

От supremist
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

supremist Постоялец

supremist

Опубликовано
Опубликовано (изменено)

добрый вечер,хотелось бы обратиться за помощью,т.к. этот форум неоднократно помогал в решении разного рода проблем.Недавно на мой компьютер проникла вредоносная программа,которую я впервые не могу одолеть,вирус -рекламного характера,пользуюсь продуктами Касперского, а именно KIS 2009 8.0.0.454 (a.d.e.g).

 

 

P\S скриншоты прилагаются,предыдущие посты о подобных проблемах не просматривал,т.к. катастрофически сейчас не хватает времени.Еще раз прошу прощение за "нубство".После проведения нескольких полных проверок был обнаружен и удален троян,но реклама продолжает появлятся поверх всех окон.Зараннее благодарю за любую помощь)

post-5521-1251316872_thumb.jpg

post-5521-1251316880_thumb.jpg

hijackthis.log

virusinfo_syscure.zip

Изменено пользователем supremist
Ссылка на комментарий
Поделиться на другие сайты
merenkov7 Новичок

merenkov7

Опубликовано
Опубликовано

Да это хитрый рекламный продукт первое исчешь все файлы

Ну допустим как это делал я. В локальном поиске винды - вот эти файлы и скрытые тоже!

( adSubscribe,

fieryads,

fieryadsuninstall,

av3moe1w ) основные это - fieryadsuninstall, adSubscribe, fieryads, данные файлы удаляй все с любыми расширениями

в любых папках системного диска , но это ещё не всё некоторые ты не сможешь удалить!

так как они используют системные процессы. Итак

 

//-------------------------------------------------------------------------------------------------------------------------------------------------------

 

1. выполнить-> msconfig-> автозагрузка Снимай галки со всего что неизвестно, загадочно или "адабра кадабра :)"

 

2. Тоже делаем в службах отключаем службы "адабра кадабра"

 

3. Перезагружаемся - снова пробуем удалить файлы: adSubscribe, fieryads, fieryadsuninstall,

 

4. Если и здесь блокировка, лезем в реестр ( выполнить-> regedit )( не ссы ничего страшного нет )

набираем в "найти и далее" название вышесказанных файлов и все ключики уничтожаем

с названиями этих файлов

кстати это универсальная процедура для удаления вредных файлов :angry:)

( перезагружаемся -> шаг 3) вот наверно и всё

 

Ключи в реестре подчистить ОБЯЗАТЕЛЬНО они дают указание на запуск вредным файлам !

 

//-------------------------------------------------------------------------------------------------------------------------------------------------------

 

PS Обязательно создай точку восстановления перед всей этой магией,

а перед тем как в реестре копаться, реестр сохрани.

 

Повторюсь так можно удалить не только эти файлы но и другие - которые сами запускаются( возможно у тебя что то иное, )

Ссылка на комментарий
Поделиться на другие сайты
Jen94 Ветеран

Jen94

Опубликовано
Опубликовано

merenkov7, желательно выкладывать скрипты для лечения :)

supremist, AVZ->Файл->Выполнить скрипт.

Скопировать указанный ниже скрипт, нажать на кнопку "запустить"

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DelBHO('{A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE}');
DelBHO('{95289393-33EA-4F8D-B952-483415B9C955}');
DelBHO('{6D125299-C2A9-4DBC-BEC3-6F7124E39A41}');
QuarantineFile('c:\windows\softwareprotection\systemvital.exe','');
QuarantineFile('C:\WINDOWS\system32\xlive.dll','');
DeleteFile('C:\DOCUME~1\9335~1\APPLIC~1\FieryAds\FieryAds.dll');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\AdSubscribe\AdSubscribe.dll');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Затем такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Oтправьте quarantine.zip по электронной почте на адрес newvirus@kaspersky.com. О результате сообщите.

 

2)HijackThis->Do a system scan only->поставить галочку около указанных строчек->нажать на жирную кнопку "Fix Checked"

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.qip.ru/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.qip.ru
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = start.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.qip.ru/ie
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: Доступ к платному контенту FieryAds v2.0.2 - {6D125299-C2A9-4DBC-BEC3-6F7124E39A41} - C:\DOCUME~1\9335~1\APPLIC~1\FieryAds\FieryAds.dll
O9 - Extra button: (no name) - DctMapping - (no file)

 

3) После выполнения отпишитесь о результатах

 

Сообщение от модератора Falcon
Поправил.
Ссылка на комментарий
Поделиться на другие сайты
supremist Постоялец

supremist

Опубликовано
  • Автор
Опубликовано
Желательно сделать новый клмплект логов, для контроля.

 

 

контрольный комплект логов выполнил

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Ничего плохого не увидел

 

Установите SP3 (может потребоваться активация) + все новые заплатки

Установите Internet Explorer 8

Обновите JavaRE

Ссылка на комментарий
Поделиться на другие сайты
ROME'D'ROS Опытный

ROME'D'ROS

Опубликовано
Опубликовано (изменено)
сталкивался с похожей рекламой на KIS 9

антивирус тоже не реагировал

Уже поймал его вчера, отправил аналитикам, у меня он поределился как Trojan-Downloader.Win32.Adload.jci, седня его удалил сам каспер, нужна перезагрузка, так же при завершении работы, выдает окно, типо не может завершиться fieryadssubscride, в диспетчере задач его нет...

Хотя че переживать, если новые модификации уже нашли.

О5 сёдня этот чёртик вылез, я сразу нашел эти 3 файла,запаковал в архивчик и отправил аналитикам, теперь это:

AdSubscribe.dll - not-a-virus:AdWare.Win32.FearAds.cd

Uninstall.exe_ - Backdoor.Win32.Hupigon.hxig

Новые модификации о5, скоро обновление..

Изменено пользователем ROME'D'ROS
Ссылка на комментарий
Поделиться на другие сайты
supremist Постоялец

supremist

Опубликовано
  • Автор
Опубликовано

прошу вас помочь еще ,не стал создавать новую тему,но после удаления рекламной программы ,столкнулся с еще одной проблемой,а именно не могу открыть доступ на файлы в локальную сеть,он вроде бы есть,но при попытке скачивания у пользователей пишет что его нет))может быть это связано как -то я появлениями новой уч записи?(см. скриншоты)

post-5521-1251985727_thumb.jpg

post-5521-1251985733_thumb.jpg

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Мала
      Не могу понять, что за вредоносное ПО
      От Мала
      После установки пиратского ПО (google sketch up) нанятым «помощником» сначала скорость интернета просела до двух мегабит в секунду на пару дней. Сканирование компа kaspersky internet security угроз не обнаружило. 
      Через еще пару дней нечто заблокировало браузер и возможность скачивания. Интернет был, но страницы гугл хлома не загружались. Клик по диагностике сети выдавал «удаленное устройство или ресурс не принимает подключение». При этом десктопный востап обновлялся. Но посланную через него антивир утилиту скачать не удавалось.
      Следом поступил звонок с номера «из Молдовы», который я брать не стала. и поняла, что видимо щас «сотрудники фсб» будут взламывать мои госуслуги. Похоже, что это было нечто, что скачало с компа все данные и логины пароли. 
      Нанятый лечитель вирусов с youdo удаленно помог снять странные установленные каким-то патчем ограничения с браузера и почистил шесть каких-то вирусов разными утилитами.
      В финале я в безопасном режиме еще раз проверила утилитой cureit др веба. И он нашел один какой-то файл и удалил. 
       
      4 дня всё поработало бесперебойно. Сегодня снова появился симптом про браузер. То есть нечто управляющее браузером все еще сидит на компе.  Пирасткое ПО правда так и осталось не снесённым. Но есть ощущение что снос ПО не поможет и надо что-то хитрее предпринять. 
       
      Да, впн стоял и исправно без странных симптомов работал более полутора лет без обновлений. Приложения hiddify, сервер от papervpn. 

      Я очень неопытный женщина-юзер. Помогите, пожалуйста, понять что можно сделать. 
       
    • KL FC Bot
      История атаки вымогателей на UnitedHealth | Блог Касперского
      От KL FC Bot
      Примерно год назад произошел масштабнейший ransomware-инцидент — атака на гиганта американского медицинского страхования, компанию UnitedHealth Group. Взлом имел настолько многочисленные и серьезные последствия, что все прошедшее с момента атаки время появлялись новые подробности о ходе атаки и ее итогах. К годовщине инцидента мы решили собрать все теперь уже доступные данные в одном материале.
      Ransomware-атака на UnitedHealth Group
      Сперва дадим контекст, который будет в особенности полезен для тех, кто не очень хорошо знаком с данной организацией. UnitedHealth Group — это крупнейшая компания на рынке медицинского страхования и медицинских услуг США. Ее капитализация составляет примерно $500 миллиардов. При этом UnitedHealth Group занимает девятое место по выручке среди всех корпораций мира, следуя в этом списке сразу после Apple.
      В состав UnitedHealth Group входят две компании. Первая из них, UnitedHealthcare, занимается медицинским страхованием. Вторая, Optum, специализируется на предоставлении разнообразных медицинских услуг — от фармацевтики и собственно медицинского обслуживания до ИТ-систем, используемых в здравоохранении.
      Последним занимается OptumInsight — одно из трех подразделений Optum, причем самое высокомаржинальное из них. Осенью 2022 года в OptumInsight вошла приобретенная UnitedHealth Group платформа Change Healthcare. Эта цифровая площадка обрабатывает заявления на получение страховых выплат, выступая в роли финансового посредника между пациентами, поставщиками медицинских услуг и страховщиками.
      Собственно, Change Healthcare и стала непосредственной целью атаки вымогателей: 21 февраля в ее системах начал работать шифровальщик, из-за чего платформа стала недоступна. Это вызвало настоящий хаос в американской системе здравоохранения: из-за невозможности быстрой обработки заявлений на страховые выплаты многие пациенты вынуждены были оплачивать лекарства и медицинские услуги из своего кармана. А медицинским учреждениям пришлось перейти в ручной режим обработки счетов.
      Восстановление пострадавших систем заняло многие месяцы: к примеру, клиринговый сервис Change Healthcare возобновил работу лишь в ноябре. В UnitedHealth Group даже создали специальный сайт, на котором можно следить за восстановительными работами. Даже сейчас, спустя год после атаки, на этом сайте публикуются регулярные обновления, а некоторые системы до сих пор имеют статус «доступна частично».
       
      View the full article
    • Кристина1983
      По электронной почте прислали вредоносный файл
      От Кристина1983
      Здравствуйте! Вчера по электронной почте пришел вредоносный файл, якобы Накладная.pdf, но файл был не PDF, просто маскировался. Письмо из почты удалила, при попытке почистить папку удаленные, через несколько секунд это удаленное письмо в удаленных восстанавливалось (почтовый клиент Thunderbird). Касперским проверила лог прилагаю, но в почтовом клиенте опять в удаленных было это письмо. Снова запустила утилиту Касперского с полной проверкой. Было проведено лечение с перезагрузкой.
      Прошу проверить остались ли вредоносные следы в системе? 
       
      Логи Kaspersky Virus Removal Tool Reports.rar
      Логи AutoLogger, после того как отработал Kaspersky Virus Removal Tool
      CollectionLog-2025.02.06-15.12.zip
    • vlanzzy
      Вредоносное заражение с task.vbs
      От vlanzzy
      CollectionLog-2024.12.19-19.35.zip
      Произошло заражение вирусом, выполнял проверку через KVRT и смог удалить вирусы, но теперь запускается task.vbs
       
    • KL FC Bot
      Вредоносный код в поддельных репозиториях в Github | Блог Касперского
      От KL FC Bot
      Можете представить себе мир, в котором каждый раз, прежде чем куда-либо поехать, вам нужно придумывать колесо и собирать вручную велосипед? Мы — нет. Зачем что-то придумывать, если оно уже давно успешно существует? Точно такая же логика работает и в программировании: разработчикам ежедневно приходится сталкиваться с типовыми задачами и вместо придумывания колес и велосипедов собственного производства (которые могут быть еще и некачественными), они просто берут уже готовый велосипед код из открытого репозитория в Github.
      Доступно такое решение абсолютно для всех, в том числе и для злоумышленников, которые используют бесплатный шикарный самый лучший в мире открытый код в качестве приманки. Подтверждений этому тезису много и вот свежайшее: наши эксперты обнаружили активную вредоносную кампанию GitVenom, направленную на пользователей GitHub.
      Что такое GitVenom
      Так мы назвали вредоносную кампанию, в ходе которой неизвестными были созданы более 200 репозиториев, содержащие фейковые проекты с вредоносным кодом: боты для Telegram, инструменты для взлома игры Valorant, автоматизации действий в Instagram и управления кошельками Bitcoin. На первый взгляд все репозитории выглядят легитимно, особенно выделяется хорошо оформленный файл-гайд по работе с кодом README.MD с подробными инструкциями на нескольких языках мира.
      Злоумышленники использовали искусственный интеллект для написания подробнейших инструкций на разных языках
       
      View the full article
×
×
  • Создать...