Перейти к содержанию
Правила раздела

Походу дела вредоносный скрипт

Kaspersky User

От Kaspersky User
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Kaspersky User Ветеран

Kaspersky User

Опубликовано
Опубликовано

Здравствуйте. У меня проблема небольшая возникла. Открываются сами по себе браузеры, установленные по умолчанию. И вместе с ним(и) открываются "левые" страницы. Не буду писать их адреса. Мне кажется, что это работает вредоносный скрипт. Сделал полную проверу компьютера - Касперский ничего не нашел. Помогите выявить эту вредоносную тварь. Логи прилагаю

GetSystemInfo_ASHAT_Асхат_2011_03_20_12_31_46.zip

Ссылка на комментарий
Поделиться на другие сайты
Kaspersky User Ветеран

Kaspersky User

Опубликовано
  • Автор
Опубликовано (изменено)

А можно MBAM не предлагать? А то я не пойму как её скачать...

 

Короче вот три лога: virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log

virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log

Изменено пользователем Асхат
Ссылка на комментарий
Поделиться на другие сайты
Mark D. Pearlstone Мудрец

Mark D. Pearlstone

Опубликовано
Опубликовано
А можно MBAM не предлагать? А то я не пойму как её скачать...

А что там непонятного? Переходите по ссылке, которая на virusinfo, жмёте Download Now. Ждёте меню с предложением скачать и сохраняете на винчестере.

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
Короче вот три лога

Ваше одолжение никому здесь не требовалось.

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\program files\picpick\picpick.exe');
TerminateProcessByName('c:\documents and settings\Асхат\local settings\application data\{bca7dfc9-7b06-0510-54ef-9fc7b793b65b}\.exe');
QuarantineFile('C:\Documents and Settings\Асхат\Application Data\Emergency Soft\Online TVx\OnlineTVx.exe','');
QuarantineFile('c:\program files\picpick\picpick.exe','');
QuarantineFile('c:\documents and settings\Асхат\local settings\application data\{bca7dfc9-7b06-0510-54ef-9fc7b793b65b}\.exe','');
DeleteFile('c:\documents and settings\Асхат\local settings\application data\{bca7dfc9-7b06-0510-54ef-9fc7b793b65b}\.exe');
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000);
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('c:\documents and settings\Асхат\local settings\application data\{bca7dfc9-7b06-0510-54ef-9fc7b793b65b}\.exe');
BC_Activate;
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Рекомендуется удалить ПО, которое может конфликтовать с установленной антивирусной программой:

- Ask Toolbar.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O4 - HKLM\..\RunOnce: [AD Network] "C:\Documents and Settings\Асхат\Local Settings\Application Data\{BCA7DFC9-7B06-0510-54EF-9FC7B793B65B}\.exe" ?

 

После проведённого лечения рекомендуется установить следующие обновления:

- все обновления на Windows (может потребоваться активация Windows)

- обновить Java до актуальной версии

- обновить Adobe Reader до актуальной версии

- обновить Adobe Shockwave Player до актуальной версии

- обновить Adobe Flash Player до актуальной версии

- обновить QuickTime Player до актуальной версии

 

Сделайте новые логи по правилам.

+ лог MBAM

Ссылка на комментарий
Поделиться на другие сайты
  • 2 weeks later...

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • vlanzzy
      Вредоносное заражение с task.vbs
      От vlanzzy
      CollectionLog-2024.12.19-19.35.zip
      Произошло заражение вирусом, выполнял проверку через KVRT и смог удалить вирусы, но теперь запускается task.vbs
       
    • ДмитрийКасперскийКлуб
      [РЕШЕНО] Открытие рекламы при запуске компьютера и запуск непонятных скриптов
      От ДмитрийКасперскийКлуб
      При запуске ноутбука открывается бразуер с ссылкой на рекламу, так же после перезапуска бывает сворачивается полноэкранное приложение, будто что-то на фоне начинает выполняться на секунду, что сворачивает активное приложение. После анализа CureIt был обнаружен и вылечен троян trojan starter 7691. Подозреваю, что могло начаться после использования zapret-discord-youtube архива (уже удалил его).
      Заранее большое спасибо за помощь!
      CollectionLog-2024.12.16-13.39.zip
    • Snake200221
      PowerShell пытается перекинуть на вредоносную ссылку
      От Snake200221
      Здравствуйте, при включении компьютера и окончательном входе в систему PowerShell пытается перекинуть на вредоносную ссылку. Касперский сразу же блокирует
       
      Также недавно активировал систему командой в сmd, а именно "powershell iex (irm 'activated.run/key')". Может быть это она спровоцировала данную проблему 
      CollectionLog-2025.01.04-00.02.zip
    • mrTomny
      PowerShell пытается перекинуть на вредоносную ссылку
      От mrTomny
      Вопрос не решился? у меня такая же проблема вылезла....
      инфо.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • KL FC Bot
      BadRAM: атака при помощи вредоносного модуля RAM
      От KL FC Bot
      Исследователи из трех европейских университетов недавно продемонстрировали атаку BadRAM. Она стала возможна благодаря уязвимости в процессорах AMD EPYC и угрожает прежде всего поставщикам облачных решений и систем виртуализации. В наихудшем сценарии данная уязвимость может быть использована, чтобы скомпрометировать данные из максимально защищенной виртуальной машины.
      Впрочем, реализовать этот сценарий на практике будет достаточно нелегко. Атака предполагает физический доступ к серверу, а затем — максимальный уровень доступа к программному обеспечению. Однако, прежде чем обсуждать атаку BadRAM в деталях, стоит поговорить о концепции Trusted Execution Environment, или TEE.
      Особенности TEE
      Ошибки в программном обеспечении неизбежны. По разным оценкам, сделанным еще в девяностые годы прошлого века, на каждую тысячу строк кода приходится от 1 до 20 ошибок. Часть этих ошибок приводит к уязвимостям, через которые злоумышленники могут попробовать добраться до конфиденциальной информации. Поэтому в случаях, когда защищенность каких-то данных или цепочки вычислений (например, обработки секретных ключей шифрования) должна быть максимальной, имеет смысл изолировать эти данные (или вычисления) от всего остального кода. Примерно в этом и состоит концепция Trusted Execution Environment.
      Существует огромное количество реализаций TEE для решения различных задач. В процессорах AMD она реализована в виде технологии Secure Encrypted Virtualization, обеспечивающей повышенную защиту виртуальных машин. Она подразумевает шифрование данных виртуальной системы в памяти, чтобы системы других виртуальных машин или оператор физического сервера, на котором развернуты виртуальные ОС, не могли получить к ним доступ. Относительно недавно для этой технологии было выпущено расширение Secure Nested Paging, способное определить попытки несанкционированного доступа к данным виртуальной системы.
      Представьте себе сценарий, когда финансовая организация использует инфраструктуру стороннего подрядчика для работы своих виртуальных систем. На виртуальных ОС обрабатываются максимально конфиденциальные данные, и нужно обеспечить их стопроцентную безопасность. Можно предъявлять повышенные требования к подрядчику, но в некоторых случаях проще исходить из того, что ему нельзя полностью доверять.
       
      View the full article
×
×
  • Создать...