Перейти к содержанию
Правила раздела

Баннер "Доступ в сеть заблокирован" File Downloader

Thunderbom

От Thunderbom
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Thunderbom Новичок

Thunderbom

Опубликовано
Опубликовано

На пол экрана висит баннер, что доступ в сеть заблокирован с уведомлением о необходимости активации ПО File Downloader. Предлагает слать смс. Интернет не работает, сам комп прилично тормозит, процессы svchost (один из них, отвечающий за звук) и tcpsvcs занимают каждый по 50% процессорного времени. Убиением всех лишних процессов и подчисткой автозагрузки msconfig-ом особо ничего не добился, хотя явно там были лишние подозрительные файлы.

Подскажите пожалуйста, как бороться с этой штукой, и не подцепить ее вновь?

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты
Venus Doom Постоялец

Venus Doom

Опубликовано
Опубликовано (изменено)

Выполните скрипт в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\Temp\cpuz_x32.sys','');
DeleteService('cpuz129');
QuarantineFile('C:\WINDOWS\system32\aekgoprn.dll','');
DeleteFile('C:\WINDOWS\system32\aekgoprn.dll');
DeleteFile('C:\WINDOWS\Temp\cpuz_x32.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
Sleep(300);
RebootWindows(true);
end.

Дождитесь перезагрузки

 

Сделайте новые логи

Изменено пользователем Venus Doom
Ссылка на комментарий
Поделиться на другие сайты
snifer67 Ветеран

snifer67

Опубликовано
Опубликовано

+ к Venus Doom

 

1. запустить программку, что в аттаче. ПК будет перезагружен.

2. удалить в %systemroot%\system32\drivers\swenum.sys и убедиться, что WFP восстановила файл. Если файл не восстановился по какой-либо причине - скопировать его с другого ПК на место удаленного.

get2.zip

Ссылка на комментарий
Поделиться на другие сайты
Thunderbom Новичок

Thunderbom

Опубликовано
  • Автор
Опубликовано

Ооо!

Всем огромное спасибо!

Баннер пропал, инет заработал. Осталось восстановить то лишнее, что удалил при попытках самолечения :)

Подскажите пожалуйста, как эта зараза пролезла и как от нее защититься на будущее и тему можно закрывать.

Подозрение есть: в опере зайдя на один из сайтов в поисках софта нажал на крестик в плавающем рекламном окошке - как всегда открылось еще пару окон с порнухой какойто, и появилось виндовское окно на пол экрана с заголовком javascript, в котором предлагали послать тоже смс куда-то. При закрытии окошка открывалось аналогичное, оперу закрыть тоже не получалось, нажал ресет. Потом как комп загрузился - еще где-то в районе получаса вроде нормально работал, а потом вылез баннер. Стоит Нод32 с активной защитой - пропустил. Как уберечься-то?

Ссылка на комментарий
Поделиться на другие сайты
Thunderbom Новичок

Thunderbom

Опубликовано
  • Автор
Опубликовано

Сейчас вроде все нормально, подозрений на инфекцию нет. Вот последние логи после излечения.

Еще раз спасибо! Очень оперативно!

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Bercolitt
      Удаленный доступ к моим данным на ПК
      От Bercolitt
      У меня Windows 10 домашний, следовательно нет удаленного рабочего стола. Многие документы и картинки с моего ПК перенеслись автоматически в облачное хранилище OneDrive. Это видно в проднике. Особого доверия к этому хранилищу нет. Если возникают какие-то предупреждения от Kaspersky Plus, то в качестве пользователя указывается модифицированное имя моего ПК с добавлением знака доллара $ на конце. Это удаленный доступ хакера или программы бота к моим данным?
    • Сергей194
      Вирус шифровальщик, нет доступа к базе 1с
      От Сергей194
      Здравствуйте. Поймали шифровальщик, база 1с недоступна. работа предприятия заблокирована. Выручайте!
      Desktop.rar
    • orenfreezer
      Шифровальщик ooo4ps и заблокирован второй диск
      От orenfreezer
      Добрый день!
      Сработал шифровальщик.
      При заходе в систему открывается файл с требованиями.
      Зашифрованные файлы получили расширение ooo4ps
      Диск D заблокирован, при входе требует пароль
      Если модно помочь, помогите, пожалуйста.
       
      Логи.rar 3 файла.rar
    • couitatg
      Очень странное и необычное заражение вирусом удалённого доступа
      От couitatg
      В субботу, пока я играл в игру, антивирус Касперского проводил сканирование в фоновом режиме. По отчетам, он обнаружил 56 попыток майнинга, а также удалил 351 вирусный объект.
      После этого я решил провести дополнительное сканирование. В результате была выявлена безфайловая угроза и фейковый процесс msedge.exe, который установил TCP-соединение.
      Спустя 20–30 минут попыток устранить угрозу, я заметил, что Windows Defender работает как единственный антивирус в системе, а Касперский будто бы не функционирует. Defender обнаружил троян Njrat в msedge.exe, но не смог его устранить. Более того, в исключениях Windows Defender оказались указаны диск, файл msedge.exe и папка Program Files.
      Позже я обнаружил майнер в поддельных файлах taskmgr.exe, regedit.exe и svchost.exe.
      Самым неприятным оказалось то, что был выявлен руткит (C:\Program Files\DrWeb\drwebnet.sys), хотя антивирус Dr.Web на системе отсутствовал. У руткита была действительная цифровая подпись от Microsoft. Windows Defender смог успешно устранить руткит, но с трояном Njrat так и не справился.
      Затем аналогичная копия руткита обнаружилась в папке антивируса Avast, который тоже не был установлен на системе.
      Наконец, система подверглась попытке шифрования вирусом (предположительно Chaos Ransomware). Мне удалось остановить процесс с помощью утилиты Process Hacker.

      CollectionLog-2024.12.15-13.23.zip
    • KL FC Bot
      Мошенническая схема с сид-фразой в открытом доступе | Блог Касперского
      От KL FC Bot
      «Есть такой вопрос: на моем кошельке хранится USDT и есть сид-фраза, подскажите, как перевести их в другой кошелек?» — комментарий с таким текстом мы обнаружили под одним из видео на финансовую тематику в YouTube. Причем сид-фраза там была указана полностью.
      Выглядело это подозрительно: едва ли даже новичок в мире криптовалют поделился своей сид-фразой со всем миром. Мы насторожились — и неспроста. Этот комментарий оказался… частью мошеннической схемы.
      Читайте дальше, чтобы узнать, что может пойти не так, если вы нашли сид-фразу от чужого криптокошелька.
      «С меня — сид-фраза, с вас — помощь в переводе моих денег в другой кошелек»
      Начнем с азов. Сид-фраза — это уникальная последовательность случайно сгенерированных осмысленных слов, необходимая для восстановления доступа к криптокошельку. И когда кто-то делится своей сид-фразой, то есть фактически ключом к собственному кошельку, — это выглядит очень и очень подозрительно. Мы обнаружили однотипные комментарии, в каждом из которых была эта самая восстановительная фраза и просьба о помощи в переводе денег на другую платформу. Что примечательно, каждое подобное сообщение было написано с нового аккаунта.
      В однотипных комментариях, написанных со свежесозданных аккаунтов, якобы «новички в крипте» щедро делятся своими сид-фразами
      Итак, давайте на секунду представим, что прочитавший любой из этих комментариев — не совсем добросовестный человек, и вместо помощи новичку он не откажется заглянуть в чужой кошелек, благо ключ к нему практически у него в кармане. Открыв кошелек, он с удивлением обнаруживает его набитым USDT — это токен TRC20 в сети TRON, привязанный к стоимости доллара США. В денежном эквиваленте в кошельке лежит более восьми тысяч долларов. Что же человеку делать дальше? Правильный ответ: вспомнить поговорку про бесплатный сыр и мышеловку и вынуть руку из чужого кошелька.
      Найти несколько тысяч долларов США в чужом кошельке — это просто «удача» для любого недобросовестного человека
       
      View the full article
×
×
  • Создать...