Перейти к содержанию

Вирус создает dll файлы через каждые 10 минут


Рекомендуемые сообщения

 

8 часов назад, thyrex сказал:

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)



begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\ZombieNZ\AppData\Local\Temp\2e81330904.sys','');
 QuarantineFile('C:\Users\ZombieNZ\AppData\Local\Temp\2e029d0baa.sys','');
 DeleteFile('C:\Users\ZombieNZ\AppData\Local\Temp\2e029d0baa.sys','64');
 DeleteFile('C:\Users\ZombieNZ\AppData\Local\Temp\2e81330904.sys','64');
 DeleteSchedulerTask('Microsoft\Windows\MUI\1783993941');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ



begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

 

Та же проблема, но скрипт не работает (имя пк изменил на своё)

 

Сообщение от модератора thyrex
Перенесено из темы

 

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте.
Порядок оформления запроса о помощи.
Логи прикрепите к следующему сообщению в данной теме.
 

Ссылка на сообщение
Поделиться на другие сайты
23 минуты назад, thyrex сказал:

Здравствуйте.
Порядок оформления запроса о помощи.
Логи прикрепите к следующему сообщению в данной теме.
 

Вот логи

CollectionLog-2022.06.23-23.31.zip

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\windows\profile\dllhostn.exe','');
 QuarantineFile('C:\Users\felix\AppData\Local\Temp\4cab6b9c42.sys','');
 QuarantineFile('C:\Users\felix\AppData\Local\Temp\4a9204bbf4.sys','');
 DeleteFile('C:\Users\felix\AppData\Local\Temp\4a9204bbf4.sys','64');
 DeleteFile('C:\Users\felix\AppData\Local\Temp\4cab6b9c42.sys','64');
 DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinNAT');
 DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinDAT');
 DeleteFile('C:\ProgramData\windows\profile\dllhostn.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • djjg25
      От djjg25
      Касперский вирус ремовал тул нашёл 37 вирусов. Я не знаю как вирус попал на мой пк и что с ним делать. Антивирусов никогда на этот компьютер не ставил, только на прошлый, диск от которого вставил в этот. Пользуюсь только виндоус дефендером. 
      CollectionLog-2024.03.27-18.39.zip
    • AndrusBelarus
      От AndrusBelarus
      Доброй ночи! Подхватил какую-то фигню:
       - никак не удаляется, новые процессы в итоге выводят каждый раз в новые папки. Сразу после оповещения от дефендера винды вырубил инет на всякий случай, вот что показал дефендер, сам он удалить не может:
       
      Trojan:Win64/Glupteba!MTB
      Trojan:Win32/Acll
       
      P.S. после перезагрузки теперь на пол экрана идёт спам консольных окон и на каждую ошибка что "файл не обнаружен"
       
      UPD. 
      Вскакивают периодически такие процессы как: 
      QMEmulatorService - процесс есть, удалить файл (.txt) не даёт 
      AppMarket / GameLoop (синий круг на иконке)
      - аппмаркет появился и на панели внизу но при нажатии на нем ПКМ - его всплывающее окно зависает в виде черного прямоугльника
       
      UPD2.
       
      Какой-то процесс *китайские символы*32 бита
    • ZeroFoX1
      От ZeroFoX1
      Заметил повышение температуры на процессоре, открыл диспетчер задач и заметил процесс label.exe. Снял задачу и резко упала температура с нагрузкой.
      Подозреваю что это майнер. Антивирус не видит. Подскажите, как такое удалять?
    • evgeniyy
      От evgeniyy
      Здравствуйте, поймал где-то крайне неприятную штуку Trojan.Multi.GenAutorunTask.c
      Найти его смог через virus removal tool, после попыток лечить вирус, он все равно появляется. При поиске вируса в безопасном режиме, выскакивал уже Trojan.Multi.GenAutorunTask.a
      Отражается их влияние на работе интернета. Он постоянно обрывается или крайне сильно тормозит. Может некоторое время работать, а потом тупо перестать. 
       
      Так же при поиске через KVRT выскакивало HEUR:Trojan.Multi.StartPage.h на пару с вышеописанными.
       
      zip-архив с собранными логами прикладываю. Надеюсь на помощь.
       
      CollectionLog-2024.02.05-21.46.zip
    • Unoki
      От Unoki
      Ни как не получается удалить майнер с компьютера, через стороннею программу узнал точно что он есть, но она не смогла его обезвредить, помогите!
×
×
  • Создать...