Перейти к содержанию

[РЕШЕНО] остановлен переход на вредоносный сайт


Рекомендуемые сообщения

1)

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке с AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.SU, karelia.ru) и укажите ссылку на скачивание в своём следующем сообщении.

2)

Проверьте эти файлы на virustotal

C:\Users\ILYA\AppData\Local\Programs\asevcuk865\d842acf714.msi

кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

Ссылка на сообщение
Поделиться на другие сайты

Файл и папку

C:\WINDOWS\system32\tasks\Ultimate Eraser Update Task-S-1-5-21-2619395539-3111838128-4136308805-1001
C:\Users\ILYA\AppData\Local\Programs\asevcuk865\

заархивируйте в zip архив с паролем virus . Полученный архив закачайте на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.SU, karelia.ru) и пришлите ссылку мне в ЛС.

Ссылка на сообщение
Поделиться на другие сайты

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger\AV\av_z.exe (Файл - Выполнить скрипт):

begin
ExecuteAVUpdate;
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\ILYA\AppData\Local\Programs\asevcuk865\d842acf714.msi', '');
 QuarantineFile('C:\WINDOWS\system32\tasks\Ultimate Eraser Update Task-S-1-5-21-2619395539-3111838128-4136308805-1001', '');
 QuarantineFileF('C:\Users\ILYA\AppData\Local\Programs\asevcuk865\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\ILYA\AppData\Local\Programs\asevcuk865\d842acf714.msi', '64');
 DeleteFile('C:\WINDOWS\system32\tasks\Ultimate Eraser Update Task-S-1-5-21-2619395539-3111838128-4136308805-1001');
 DeleteFileMask('C:\Users\ILYA\AppData\Local\Programs\asevcuk865\', '*', true);
 DeleteDirectory('C:\Users\ILYA\AppData\Local\Programs\asevcuk865\');
ExecuteSysClean;
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
RebootWindows(true);
end.

 

Компьютер перезагрузится.
После перезагрузки, выполните такой скрипт:

 

Файл quarantine.7z из папки AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

10 часов назад, tankkiller сказал:

отправил

В присланном Вами файле обнаружено новое вредоносное программное обеспечение.
 d842acf714.msi - Trojan-Dropper.VBS.Agent.pb
 Ultimate Eraser Update Task-S-1-5-21-2619395539-3111838128-4136308805-1001 - Trojan.Script.Starter.n
 Его детектирование будет включено в очередное обновление антивирусных баз.
 Благодарим за оказанную помощь.

 

Для повторной диагностики запустите снова AutoLogger.

Ссылка на сообщение
Поделиться на другие сайты
6 часов назад, tankkiller сказал:

Повторный лог вроде бы чисто все

такое чувство, что скрипт вообще не выполняли. Выполните его ещё раз и свежий лог после скрипта.

22 часа назад, regist сказал:

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

И это сделали?

Ссылка на сообщение
Поделиться на другие сайты

"Пофиксите" в HijackThis:

O22 - Tasks: (disabled) \Microsoft\Windows\Shell\FamilySafetyMonitorToastTask - {D2CBF5F7-5702-440B-8D8F-8203034A6B82},$(Arg0) - (no file)
O22 - Tasks_Migrated: (disabled) \Microsoft\Windows\Shell\FamilySafetyMonitorToastTask - {D2CBF5F7-5702-440B-8D8F-8203034A6B82},$(Arg0) - (no file)
O22 - Tasks_Migrated: (telemetry) \Microsoft\Windows\Customer Experience Improvement Program\KernelCeipTask - {E7ED314F-2816-4C26-AEB5-54A34D02404C} - (no file)
O22 - Tasks_Migrated: \Microsoft\Windows\EDP\EDP App Launch Task - {35EF4182-F900-4632-B072-8639E4478A61},AppLaunch - (no file)
O22 - Tasks_Migrated: \Microsoft\Windows\EDP\EDP Auth Task - {35EF4182-F900-4632-B072-8639E4478A61},ReAuth - (no file)
O22 - Tasks_Migrated: \Microsoft\Windows\SettingSync\BackupTask - {60A4C78C-E2B8-4E6E-876F-DA203B02C05E} - (no file)
O22 - Tasks_Migrated: \Microsoft\Windows\WindowsUpdate\Automatic App Update - {A6BA00FE-40E8-477C-B713-C64A14F18ADB} - (no file)

 

  • Загрузите SecurityCheck by glax24 & Severnyj отсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Подробнее читайте в этом разделе форума поддержки утилиты.

Выполните рекомендации после лечения.

 

Ссылка на сообщение
Поделиться на другие сайты

Microsoft Office Word 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office 2007 Service Pack 3 (SP3) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
µTorrent v.3.5.5.46542 Внимание! Клиент сети P2P с рекламным модулем!.
Mozilla Firefox (x64 ru) v.106.0.3 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Ultimate Ad Eraser 1.0.0.0 v.1.0.0.0 << Скрыта Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

 

+

Цитата

WinRAR 6.11 (64-bit) v.6.11.0
WinRAR 5.40 v.5.40

старую версию винрар-а советую удалить.

Ссылка на сообщение
Поделиться на другие сайты

Можно например так https://www.safezone.cc/threads/kak-deinstallirovat-skrytuju-programmu-cherez-hijackthis.38311/

Или через какой-то менеджер установок программ.

 

Либо можете собрать логи FRST по инструкции ниже, сделаем "видимой".

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
×
×
  • Создать...