Перейти к содержанию

[РЕШЕНО] Помощь в лечении нового вируса "Письмо ФСС"


Рекомендуемые сообщения

Здравствуйте.
Еще один компьютер, более приоритетный, чем в прошлой теме.
Суть - получили сегодня письмо с exe файлом, явно подстава какая-то.

Файл был запущен.
У dr.web - ноль реакции.
Затем после отправки файла им, детект появился через часов 7.

После запуска файла, компьютер в ближайшее время был просканирован KVRT - угроза не была обнаружена. Все в порядке
Просканирован Dr.web (до отсылки им файла)  - не обнаружена.

Проходит часов 6 наверное, др.веб обновил базы и антивирус вылавливает на ПК сперва js а затем через какое-то время втихую архив с вирусом.
Я решаю просканировать KVRT повторно, и что я получаю - вирус находится в памяти - напоминаю после запуска часов 6 назад сканирование проводилось и не было ничего!

Сканирую, лечу, несколько перезагрузок.

Теперь и нет понимаю, что он успел натворить?
Почему его KVRT сразу не обнаружил?? Где он сидел все это время?

Что успел скомпрометировать?

Утащить?

Затаится?
Удалось ли его вылечить или он потом снова появится из ниоткуда?
Не оставил ли своих копий в других местах и так далее?

Помогите пожалуйста, найти, убить, найти его следы и понять что он успел сделать
Логи за весь день от KVRT прилагаю - всю папку не получается, слишком велика.
Если можно куда-то залить - скажите куда.

 

Ссылка на вирустотал

https://www.virustotal.com/gui/file/c96ecdc1d1b001ca7113557e9a6c3fba9a085f755b7a8cf15ae2e8bdd293d68b

 

 

 

Screenshot_1.png

Reports.rar CollectionLog-2022.07.27-22.09.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Три программы удалённого управления:

Цитата

 

AnyDesk

Remote Manipulator System

UltraVnc

 

Все ваши? Всеми пользуетесь?

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteRepair(20);
RebootWindows(false);
end.

 

Компьютер перезагрузится.

 

Удалите старые и соберите новые логи FRST.txt и Addition.txt

 

Ссылка на комментарий
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус (сеть при этом не отключайте).
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1: <==== ВНИМАНИЕ (Ограничение - Zones)
    C:\Users\valov.aa\AppData\Local\Google\Chrome\User Data\Default\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
    CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
    AV: COMODO Antivirus (Enabled - Up to date) {05BC7AB5-FF0E-71EC-1054-15DA19B62DC7}
    AV: Kaspersky Security Cloud (Enabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
    AV: 360 Total Security (Enabled - Up to date) {FFDC234A-CE9B-08F9-406B-F876951CE066}
    FW: Kaspersky Security Cloud (Disabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
    AlternateDataStreams: C:\ProgramData:iSpring Solutions [128]
    AlternateDataStreams: C:\Windows:AstInfo [0]
    AlternateDataStreams: C:\Users\All Users:iSpring Solutions [128]
    AlternateDataStreams: C:\Users\Все пользователи:iSpring Solutions [128]
    AlternateDataStreams: C:\ProgramData\Application Data:iSpring Solutions [128]
    AlternateDataStreams: C:\Users\valov.aa\Application Data:iSpring Solutions [128]
    AlternateDataStreams: C:\Users\valov.aa\AppData\Roaming:iSpring Solutions [128]
    FirewallRules: [{F836FDAB-90BB-426A-B4E2-8ADFB98F7050}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
    FirewallRules: [{C322EBAC-5AB0-4811-8B1D-6DFE80A93354}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
    FirewallRules: [{A8CBDB8C-6076-458D-8FEC-537FACA1BF0F}] => (Allow) C:\Program Files\BlueStacks_nxt\HD-Player.exe => Нет файла
    FirewallRules: [{DC698649-78BE-4899-AE55-9FF10436C100}] => (Allow) D:\Nox\bin\Nox.exe => Нет файла
    FirewallRules: [{F191DE94-0D8C-43D0-9B0E-C6F6AEE29A00}] => (Allow) C:\Program Files (x86)\Bignox\BigNoxVM\RT\NoxVMHandle.exe => Нет файла
    FirewallRules: [{2540ABA5-BC35-45E2-949C-C33243F279AD}] => (Allow) C:\Users\sharmanov.vv\AppData\Local\Programs\Opera\77.0.4054.203\opera.exe => Нет файла
    FirewallRules: [{3FD82455-2165-4614-9D0B-6A75CF2BB8A9}] => (Allow) LPort=21159
    FirewallRules: [{AC53AEF0-89EE-4BB0-8241-43404FEB1FCE}] => (Allow) LPort=21159
    FirewallRules: [{AB5EC4DE-DAD3-452E-8715-C092204716C0}] => (Allow) LPort=5900
    FirewallRules: [{A8C441FB-2FF0-4D03-BD74-5321AFB6DA48}] => (Allow) LPort=5800
    FirewallRules: [{B4B14FBD-D9A0-4DA9-A555-7329680DBAA9}] => (Allow) LPort=9422
    FirewallRules: [{C8BDB59E-8D8B-43F9-BBDB-D4FCBD0CD74D}] => (Allow) LPort=9245
    FirewallRules: [{BBFC233B-5B06-4E8B-B29F-956E8E9D76C5}] => (Allow) LPort=9246
    FirewallRules: [{A8C4D583-D38D-4D71-A6FA-2A912973C7CD}] => (Allow) LPort=9247
    cmd: DISM.exe /Online /Cleanup-image /Restorehealth
    cmd: sfc /scannow
    cmd: winmgmt /salvagerepository
    cmd: winmgmt /verifyrepository
    cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
    cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Хорошо. Мы очистили некоторый мусор и

Цитата

Программа защиты ресурсов Windows обнаружила поврежденные файлы и успешно их восстановила.

 

По поводу вопросов из первого сообщения - затрудняюсь что-либо сказать.

Исследование (или т.н. форензика) - это немного другая область, другие инструменты, знания, затраты и т.д. и т.п.

 

Мы можем помочь избавиться от существующего заражения и дать рекомендации на будущее.

 

Для этого дополнительно:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на комментарий
Поделиться на другие сайты

Явных вредоносов, ворующих пароли, не замечено. Но лишний раз сменить важные пароли не помешает.

 

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
Notepad++ (64-bit x64) v.8.4.2 Внимание! Скачать обновления
------------------------------- [ Backup ] --------------------------------
Яндекс.Диск v.3.2.17.4565 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 21.07 (x64) v.21.07 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
-------------------------- [ IMAndCollaborate ] ---------------------------
WhatsApp v.2.2212.8 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46206 Внимание! Клиент сети P2P с рекламным модулем!.
--------------------------------- [ SPY ] ---------------------------------
Remote Manipulator System - Viewer v.7.1.2.0 Внимание! Программа удаленного доступа!
Remote Manipulator System - Host v.7.1.2.0 Внимание! Программа удаленного доступа!
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.16 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat DC v.20.006.20042 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.2.2.55 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

 

На перечисленное обратите внимание и по возможности исправьте.

 

Читайте Рекомендации после удаления вредоносного ПО

 

В остальных ваших темах тоже дайте ответ, пожалуйста.

Ссылка на комментарий
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • KakoeImyaSdelat
      От KakoeImyaSdelat
      Добрый день, программа "RogueKiller" выявляет майнер "PuzzleMedia" и у меня самостоятельно удалить не получается. Ощущение, что вирусы блокируют некоторые сайты, помогите, пожалуйста
       
    • 4uvak
      От 4uvak
      Добрый день. вирус HEUR: Trojan. Multi.GenBadur.genw Расположение: Системная память. Kaspersky TS лечение с перезагрузкой - не помогает. Прилагаю:
       
      1. логи FRST
      2. образ автозапуска системы в uVS
       
      Благодарю за помощь.
      HOME-PC_2024-11-10_03-57-00_v4.99.2v x64.7z Отчеты.rar
    • Magashmug
      От Magashmug
      Здравствуйте, после перезагрузки опять появляется вирус, вот мой файл.
      CollectionLog-2024.10.15-18.27.zip
    • Folclor
      От Folclor
      Добрый день, обнаружил у себя на пк вирус net:malware.url который сильно нагружает процессор, выполнил сканирование и попробовал его удалить, что не принесло результатов, прошу помощи у знатоков в решении данного вопроса. 

    • sova.prod123
      От sova.prod123
      Здравствуйте, не знаю точно откуда подцепил эту гадость на пк, ибо придя с работы оно уже было на пк, те кто пользовался компьютером, говорят что ничего не скачивали. Kaspersky Virus Removal Tool дал лишь временный эффект, после чего всё вернулось обратно. Сильно нагружается пк, сидит в хосте - не дает нормально открыть браузер с утилитами, сворачивает диспетчер задач, препятствует установке лечащих утилит, с safe режиме дела обстоят чуть получше, но полностью вычистить вирус с пк не удается.
      CollectionLog-2024.10.10-16.48.zip
×
×
  • Создать...