Перейти к содержанию
Правила раздела

Компьютер заражает флеш-носители вирусом(файлы/папки заменяются на ялыки)

rutten

От rutten
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

нужен лог полного сканирования MBAM.

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Users\Артем\AppData\Roaming\46A1.exe','');
QuarantineFile('C:\Users\Артем\AppData\Roaming\2ECF.exe','');
QuarantineFile('C:\Users\Артем\AppData\Roaming\*.exe',' ');
DeleteFileMask('C:\Users\Артем\AppData\Roaming\','*.exe ',false ,' ');
QuarantineFile('C:\Users\Артем\AppData\Roaming\Identities\Fiyeyj.exe','');
DeleteFile('C:\Users\Артем\AppData\Roaming\46A1.exe');
DeleteFile('C:\Users\Артем\AppData\Roaming\2ECF.exe');
DeleteFile('C:\Users\Артем\AppData\Roaming\Identities\Fiyeyj.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Fiyeyj');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Для создания архива с карантином выполните скрипт:
begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.
Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).
Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.
В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).
В строке "Электронный адрес:" укажите адрес своей электронной почты.
Полученный ответ сообщите в этой теме.

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):
O4 - HKCU\..\Run: [Fiyeyj] C:\Users\Артем\AppData\Roaming\Identities\Fiyeyj.exe

Сделайте новые логи по правилам.

 

+

 

Скачайте ComboFix здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в explorer.exe
Подробнее про использование ComboFix - http://safezone.cc/forum/showpost.php?p=10294&postcount=1

Ссылка на комментарий
Поделиться на другие сайты
rutten Новичок

rutten

Опубликовано
  • Автор
Опубликовано

Извините, такой вопрос: лог MBAM нужно сделать ДО вышеупомянутых вами указаний или ПОСЛЕ?

Спрашиваю ибо программа выдаст мне перечень файлов на удаление и мне придется же спросить вас о том, что мне удалять и что не надо

Ссылка на комментарий
Поделиться на другие сайты
rutten Новичок

rutten

Опубликовано
  • Автор
Опубликовано

Вот лог полного сканирования.

Как я понял, там уже нечего удалять, всего 7 объектов, но они не вирусы.

 

Начинаю делать следующие указания


Ответ от лаборатории Касперского:

 

 

 

Hello,

This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst.  If you are a licensed Kaspersky Lab customer, we recommend that you send the files to be scanned to the Virus Lab, using your profile:https://my.kaspersky.com/en/support/viruslab This option is available for the Licensed Kaspersky Lab customers only. If you are not a Licensed Kaspersky Lab customer, please use the following link: http://support.kaspersky.com/virlab/helpdesk.html?LANG=en. This link sends your file to the Virus Lab for inspection. All the files submitted for scanning from unregistered addresses are verified in the common queue order. 

2ECF.exe,
46A1.exe

These files are in process.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"

 

Насчет этих файлов 

2ECF.exe,
46A1.exe

 

Их уже нет.

 

Прикрепляю остальные логи


Я только что написал сообщение, и кто-то его отредактировал о_О Нет куска текста из письма от Лаборотории Касперского. Продублирую:

 

 

 

Hello,

This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst.  If you are a licensed Kaspersky Lab customer, we recommend that you send the files to be scanned to the Virus Lab, using your profile:https://my.kaspersky.com/en/support/viruslab This option is available for the Licensed Kaspersky Lab customers only. If you are not a Licensed Kaspersky Lab customer, please use the following link: http://support.kaspersky.com/virlab/helpdesk.html?LANG=en. This link sends your file to the Virus Lab for inspection. All the files submitted for scanning from unregistered addresses are verified in the common queue order. 

2ECF.exe,
46A1.exe

These files are in process.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"

MBAM-log-2013-11-29 (17-47-43).txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

ComboFix.rar

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

чисто.

 

деиснталлируйте MBAM/

 

удалите combofix

http://safezone.cc/threads/kak-pravilno-udalit-combofix.2892/

 

что в этих папках:

C:\LOP
C:\KKK
C:\K

?


проверьте ВСЕ флэшки антивирусным сканером.

 

 

Исправьте через AVZ -> Файл -> Мастер поиска и устранения проблем -> Все проблемы -> отметить указанное -> Исправить

>> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
>> Internet Explorer - разрешен запуск программ и файлов в окне IFRAME

 

Выполните

http://virusinfo.info/showthread.php?t=73352

Ссылка на комментарий
Поделиться на другие сайты
rutten Новичок

rutten

Опубликовано
  • Автор
Опубликовано

 

что в этих папках:

C:\LOP
C:\KKK
C:\K

 

ничего такого. там были тестовые данные для моей лабароторной работы)

 

 

удалите combofix

http://safezone.cc/t...-combofix.2892/

не получается так удалить, пишет, что не находит путь

 

 

 

проверьте ВСЕ флэшки антивирусным сканером.

 

Чем посоветуете проверять?

Ссылка на комментарий
Поделиться на другие сайты
rutten Новичок

rutten

Опубликовано
  • Автор
Опубликовано

Та отож НОД32 и не заметил этот вирус, ну да ладно, я его на флешке в ручную через Total Commander удалил. Ибо он был скрытым и системным.

 

Заметил, что последний (может и остальные) скрипт 

для обнаружения опасных уязвимостей

 написан на паскале, это так?)

 

Так или иначе, ВАЛЕРИЙ, ОГРОМНОЕ ВАМ СПАСИБО, за ВСЕ! Вы и ваша команда по истине делаете хорошее дело! Очень помогли) А то я бы в реестре возился месяцами, что бы найти изъян)

Ссылка на комментарий
Поделиться на другие сайты
  • 1 year later...
Beklife Новичок

Beklife

Опубликовано
Опубликовано

Здравствуйте дорогие лекари у меня тоже сама я проблема я выложил сам вирус на архиве rar ниже упакован на зараженном компьютере с места C://windows/temp/adobe может сами как то добавите на базах антивируса что б дальнейшем после обновлении антивирус сам находит вирус и удалил спасибо за вниманию.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • CHEAX
      [РЕШЕНО] Два файла dwm.exe, один из которых вирус.
      От CHEAX
      Один из файлов грузит систему, ни один антивирус поймать не может, в том числе Касперский Премиум. На данном форуме видел подобные темы, uVS скачан. Просьба помочь в решении вопроса.

    • ARKHIPOV
      [РЕШЕНО] На компьютере обнаружил вирус майнера, не удаляется Касперским
      От ARKHIPOV
      Добрый день! Пару дней назад компьютер после стандартного запуска вывел синий экран (BSOD). При отключении интернет соединения данная проблема исчезла. Это побудило меня приобрести ключ к Касперскому (до этого пользовался Malware, пробником, который истек и защиту в реальном времени уже не оказывал). Проверив ПК на вирусы, обнаружились Трояны (к сожалению логов и скринов не сохранил, причина дальше). Вирус сидел в exeшнике GoogleUpdate. Отключил службы, связанные с апдейтом гугла, удалил файлы связанные с ним, после полной проверки перезагрузил ПК и обнаружил надпись в Касперском: "Некоторые компоненты защиты повреждены", переустановил К (сообщение пропало и логи про удаленный вирус тоже), снова проверил на вирусы, снова перезагрузил, получил тот же результат. У меня подозрение на наличие майнера, который не удаляется стандартным путем и сидит где-то в системных файлах и службах. Прошу помочь восстановить работу служб и системы. Без интернет соединения ПК летает хорошо, при подключении работает медленней.
      CollectionLog-2025.02.18-11.00.zip
    • Олег Н
      Появляются странные файлы и папки на рабочем столе
      От Олег Н
      Здравствуйте.
      С 26.12.2024 стали появляться странные файлы и папки на рабочем столе. Антивирус угрозы в них не видит. Помогите разобраться, пожалуйста, что это?
       
      Desktop.rar
    • Антон_63ru
      Зашифрованы файлы в сетевых папках файлообменника (pussylikeashavel@cyberfear.com)
      От Антон_63ru
      Зашифрованы файлы в сетевых файлах на  файлообменнике,  на нем два сетевых интерфейса смотрят в разные локальные сетки..
      в той сетке куда имею доступ "нулевого пациента" нет . Коллеги уверяют, что у них тоже все ок..(
      на самом файлообменнике в нерасшаренных папках файлы WORD и EXCEL не зашифрованы
      Addition.txt crypted_file.7z FRST.txt
    • Kemel
      Вирус зашифровал файлы с расширением .Frank
      От Kemel
      Your ID: EBF7F3B5F6C0398D
      If you want your files back, contact us at the email addresses shown below.
      Frank1850@mailum.com
      Frank1850@firemail.de
      ((*** Your ID must be included in the subject line of your email or we WILL NOT answer ***))
      This notification shows that your system has been hacked.
      Your files have not been damaged or infected by viruses; they are just locked with the Frank suffix.
      We saved your data on our servers,
      and if you don't contact us, we'll extract your sensitive information and put it on the darknet, where anybody can view it.
      We have no political goals and are not trying to harm your reputation.
      This is our business. Money and our reputation are the only things that matter to us.
      There is no software or company on the internet that can recover your locked files; we are the only ones who can help you.
      Do Not Change These Locked Files; if you want to do it anyway, make a backup of your files first.
      Frank_Help.txt Зашифрованные файлы.rar
×
×
  • Создать...