Перейти к содержанию

Вроде вирусим... (*логи вкл) [LOG+]


foxi_нья

Рекомендуемые сообщения

День добрый!

Стоит КИС2010, пробн. В отчете выводит 18 зловредов, а ничего больше с ними не делает...

 

История моя долгая и запутанная, а знаю я так мало, что можно я просто вложу свои логи и буду ждать ответ?

Но если будет необходимо, то сформулировать все же попытаюсь.

Заранее спасибо!

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты

Отключите ПК от интернета и локалки. Отключите антивирус и фаервол.

 

В AVZ выполните скрипт:

 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('hulkeqme');
DeleteService('hulkeqme');
QuarantineFile('C:\WINDOWS\system\smsc.exe','');
QuarantineFile('C:\WINDOWS\system32\sysmgr.exe','');
QuarantineFile('C:\WINDOWS\system\dllcache.exe','');
QuarantineFile('C:\WINDOWS\system32\..\ufxduhc.jvo','');
QuarantineFile('C:\WINDOWS\system32\..\fmddrq.vqf','');
QuarantineFile('C:\WINDOWS\msmacro64.exe','');
QuarantineFile('C:\WINDOWS\msmacro32.exe','');
QuarantineFile('usb_mgr.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\hulkeqme.sys','');
DeleteFile('usb_mgr.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\hulkeqme.sys');
DeleteFile('C:\WINDOWS\msmacro32.exe');
DeleteFile('C:\WINDOWS\msmacro64.exe');
DeleteFile('C:\WINDOWS\system\dllcache.exe');
DeleteFile('C:\WINDOWS\system32\sysmgr.exe');
DeleteFile('C:\WINDOWS\system\smsc.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.

 

Повторите логи + сделайте лог программой Gmer.

 

В AVZ - Сервис - поиск файлов на диске - поищите на диске С файлы ufxduhc.jvo и fmddrq.vqf , проверьте их на virustotal.com Результат напишите тут.

Изменено пользователем миднайт
Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('hulkeqme');
DeleteService('hulkeqme');
QuarantineFile('C:\WINDOWS\system32\Drivers\hulkeqme.sys','');
QuarantineFile('C:\WINDOWS\system\dllcache.exe','');
QuarantineFile('C:\WINDOWS\system\smsc.exe','');
QuarantineFile('C:\WINDOWS\system32\sysmgr.exe','');
QuarantineFile('C:\WINDOWS\system32\..\ufxduhc.jvo','');
QuarantineFile('C:\WINDOWS\system32\..\fmddrq.vqf','');
QuarantineFile('C:\WINDOWS\msmacro64.exe','');
QuarantineFile('C:\WINDOWS\msmacro32.exe','');
DeleteFile('C:\WINDOWS\system32\Drivers\hulkeqme.sys');
DeleteFile('C:\WINDOWS\system\dllcache.exe');
DeleteFile('C:\WINDOWS\msmacro32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','netmon');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','msmacro32');
DeleteFile('C:\WINDOWS\msmacro64.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','msmacro32');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','msmacro32');
DeleteFile('C:\WINDOWS\system32\sysmgr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft(R) System Manager');
DeleteFile('C:\WINDOWS\system\smsc.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WSSVC');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Скачайте GMER по одной из указанных ссылок:

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

  • Sections
  • IAT/EAT
  • Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

 

Сделайте новые логи.

Изменено пользователем snifer67
Ссылка на комментарий
Поделиться на другие сайты

Логи выполнять по очереди? И после каждого выложить новые?

И.. Не могу загрузить этот gmer/ Страничка с ним не хочет открываться. Мож пока без него?

Ссылка на комментарий
Поделиться на другие сайты

Прошу прощения за такую неоперативность...

Нахожусь в статусе молодой мамашки, не всегда есть время и силы )))

Выполнила 1й скрипт, по праву очередности, без обид

На диске С первый файл не найден, второй указанный найден. Результат я бы не против написать, только там как-то много очень информации.... Можно я все это вордовским прикреплю?

А над Гмером сейчас тружусь

 

 

quarantine.zip на newvirus@kaspersky.com отправила

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

вирустотал.doc

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\ufxduhc.jvo','');
QuarantineFile('C:\WINDOWS\fmddrq.vqf','');
DeleteFile('C:\WINDOWS\fmddrq.vqf');
DeleteFile('C:\WINDOWS\ufxduhc.jvo');
DeleteFileMask('C:\WINDOWS\', 'fmddrq.*', true);
RegKeyParamDel('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','aux1');
DeleteFileMask('C:\WINDOWS\', 'ufxduhc.*', true);
RegKeyParamDel('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','aux2');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Сделайте новые логи + ждем лог gmer

Ссылка на комментарий
Поделиться на другие сайты

Карантин отправляйте.

 

Сохраните текст ниже как cleanup.bat в ту же папку, где находится 8lfr977q.exe (gmer)

8lfr977q.exe -del service ttcfd
8lfr977q.exe -del file "C:\WINDOWS\system32\hysvj.dll"
8lfr977q.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ttcfd"
8lfr977q.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ttcfd"
8lfr977q.exe -reboot

И запустите cleanup.bat

Компьютер перезагрузится

 

Сделать новый лог gmer

Ссылка на комментарий
Поделиться на другие сайты

Это новые логи, а сейчас займусь гмером

 

Подскажите, нормально, что гмер собирается очень долго, да?

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

gmer.log

Ссылка на комментарий
Поделиться на другие сайты

Подскажите, нормально, что гмер собирается очень долго, да?

ничего страшного. выполните последний скрипт из сообщения #12 от thyrex. только после этого повторите логи.

Ссылка на комментарий
Поделиться на другие сайты

Пофиксить в Hijack

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,\s

Выполните указанный выше скрипт для gmer и сделайте только новые лог gmer и HiJack

Логи AVZ больше не нужно переделывать.

Изменено пользователем thyrex
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Temikst
      От Temikst
      Приветствую. Сын скачивал какую-то программу для игры, как итог словили какой-то вирус. Dr.web ничего не нашел. но обратил внимание что комп стал тупить, до этого не было так
      CollectionLog-2025.02.09-23.46.zip

       
      Даже браузер сильно тормозит. после открывание диспетчер задач сразу же лучше работает\
    • VanyeJ
      От VanyeJ
      Здравствуйте, при включении компьютера и окончательном входе в систему PowerShell пытается перекинуть на вредоносную ссылку. Касперский сразу же блокирует.

      Событие: Остановлен переход на сайт
      Пользователь: WIN-O4R3Q0UCBR5\User
      Тип пользователя: Инициатор
      Имя приложения: powershell.exe
      Путь к приложению: C:\Windows\System32\WindowsPowerShell\v1.0
      Компонент: Интернет-защита
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: 
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: 1731762779-9803.jpeg
      Путь к объекту: 
      Причина: Облачная защита

      Активировал Windows через cmd после этого появилось (powershell iex (irm 'activated.run/key')) команда после которой вирус появился.
      CollectionLog-2025.02.08-15.48.zip
    • TloBeJluTeJlb
      От TloBeJluTeJlb
      Здравствуйте, перед обращением прошерстил темы похожих проблем, но не нашёл своей. John каким-то совершенно непостижимым образом почти не влиял на работоспособность системы, а заметил я его исключительно из-за пропажи доступа к файлам Касперского, который полностью перестал запускаться. 

      Побился об ближайшую стену, подумал, прошёлся KVRT, которым ничего не нашло, подумал ещё немного, включил AV_block_remover. Он нашёл, сделал своё дело, но доступ к папке антивируса я всё ещё не получил :D! FRST, от нечего делать, тоже был задействован, но немного опосля. Короче говоря, я, даже после удаления злополучного майнера из системы, не могу получить доступ к своим же файлам.



       

      FRST.txt Fixlog.txt Addition.txt AV_block_remove_2025.01.20-07.45.log
    • foxlape
      От foxlape
      Запустил прогу и комп тупить начал, есть подозрения на вирус. Логи после запуска проги Logfile.rar (Сохранял логи через Processor Monitor)
       
    • Obivan
      От Obivan
      Есть несколько проблем которые я заметил в работе своего компа после того как на новогодних каникулах в него поиграли детишки. В браузере хром невозможно ничего скачать, всегда обнаружен вирус, даже там где его не может быть. Заблочились обновления виндовс. Винда 11 про 22н2. Все, что на форумах обычно пишут сделать- делал, ничего не помогло. Антивирус стоит Касперский эндпоинт секурити. Сканировал куреит, авз, малвар и пр, что-то там нашлось, удалилось и вылечилось, но эффекта не дало. Кто знает, что делать? Давайте разбираться!
      CollectionLog-2025.01.16-19.59.zip
×
×
  • Создать...