Перейти к содержанию
Правила раздела

Вирус создает dll файлы через каждые 10 минут

Феликсъ

Автор Феликсъ,
в Помощь в удалении вирусов

 Share Подписчики 0

Рекомендуемые сообщения

Феликсъ

Феликсъ 0

Опубликовано
Опубликовано

 

8 часов назад, thyrex сказал:

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши) 



begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\ZombieNZ\AppData\Local\Temp\2e81330904.sys','');
 QuarantineFile('C:\Users\ZombieNZ\AppData\Local\Temp\2e029d0baa.sys','');
 DeleteFile('C:\Users\ZombieNZ\AppData\Local\Temp\2e029d0baa.sys','64');
 DeleteFile('C:\Users\ZombieNZ\AppData\Local\Temp\2e81330904.sys','64');
 DeleteSchedulerTask('Microsoft\Windows\MUI\1783993941');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ 



begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

 

Та же проблема, но скрипт не работает (имя пк изменил на своё)

 

Сообщение от модератора thyrex
Перенесено из темы

 

Ссылка на сообщение
Поделиться на другие сайты
Феликсъ

Феликсъ 0

Опубликовано
  • Автор
Опубликовано
23 минуты назад, thyrex сказал:

Здравствуйте.
Порядок оформления запроса о помощи.
Логи прикрепите к следующему сообщению в данной теме.
 

Вот логи

CollectionLog-2022.06.23-23.31.zip

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1355

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши) 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\windows\profile\dllhostn.exe','');
 QuarantineFile('C:\Users\felix\AppData\Local\Temp\4cab6b9c42.sys','');
 QuarantineFile('C:\Users\felix\AppData\Local\Temp\4a9204bbf4.sys','');
 DeleteFile('C:\Users\felix\AppData\Local\Temp\4a9204bbf4.sys','64');
 DeleteFile('C:\Users\felix\AppData\Local\Temp\4cab6b9c42.sys','64');
 DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinNAT');
 DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinDAT');
 DeleteFile('C:\ProgramData\windows\profile\dllhostn.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ 

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • zartanoxx
      Пытался скачать Террарию, словил жёсткий майнер и теперь не могу даже винду переустановить.
      От zartanoxx
      Здравствуйте, вчера пытался скачать террарию (НЕ СКАЧИВАЙТЕ С ЭТОГО САЙТА!!! https://igrovaya.org/121-terraria.html) и словил жёсткий майнер, сразу понял что его словил, скачал MalwareBytes, и этот теперь майнер сделал процесс MalwareBytes таким, что у меня нет прав его закрыть, он просто сидит в процессах, жрёт 250 мб оперативки и иногда поджирает процессор. Пытался многими программами удалить, но ничего не получилось. Так же флешку загрузочную на другом компе проверил, там даже в бут меню её нет, а у меня она появляеться, но пишет что диск повреждён, помогите пожалуйста.
      Проверялся такими программами :
      1) Dr.Web CureIt!
      2) ESET Online Scanner
      3) KVRT
      4) AdwCleaner 
      5) HitmanPro
      6) UnHackMe

      Так пишет и когда процесс пытаюсь закрыть, и когда службу пытаюсь остановить
    • Batyrkhan
      [РЕШЕНО] Trojan:Win32/Mamson.A!ml и другие видимо Трояны Windows 10
      От Batyrkhan
      И снова здравствуйте, недавно скачивал подозрительную прогу и это мне обернулось боком, сканировал всеми возможными антивирусами включая самого касперского, KVRT тоже не помог,Касперский его не обнаруживает а вот Windows Defender обнаруживает, так же он обнаруживает другие трояны с другим названием, но сюдя во всему они одинаковы, так же в "Службы" отсутствуют все что нужно для Центра обновлений и когда запускаешь Microsoft Store выдает ошибку-Код: 0x80070424 и сам центр обновлений не запускается пишет "Что-то пошло не так" во время запуска устранения проблем с центром обновлений пишет-некоторые параметры безопасности отсутствуют или были изменены,на этом всё.
      CollectionLog-2022.10.09-20.33.zip
      Addition.txt FRST.txt
    • PVldN
      [РЕШЕНО] Неудаляемый MEM:Trojan.Win32.SEPEH.gen
      От PVldN
      Доброго времени суток! Читал несколько тем с этим трояном, который после удаления и перезагрузки появляется снова и решения у всех индивидуальные. Кроме того, Kaspersky Security Cloud выдает сообщения о том, что процесс rundll32.exe пытается подключиться к адресу: 199.249.230.168:443, а процесс regsvr.exe к 195.88.57.217:443. Помогите, пожалуйста.


      CollectionLog-2022.10.08-09.01.zip Addition.txt FRST.txt
    • valentin868
      Подцепил шифровальщик-вымогатель
      От valentin868
      Здравствуйте!
      Все работало стабильно, выключил компьютер два месяца не работал, после включение обнаружил что все зашифровано.
      Вопрос: подключилархиве с паролем2.rarся к этому компьютеру удаленно с другого и скопировал папку, получается этот комп тоже заразился и те кто в сети с этим компьютером?
      FRST.txt Addition.txt
    • Realhike
      dialersvc64.job видеокарта загружена
      От Realhike
      Здравствуйте, dialersvc32.job и dialersvc64.job не удаляются, видеокарта загружена на 95-100% при подключении к сети интернет

      CollectionLog-2022.09.20-10.02.zip
×
×
  • Создать...