Перейти к содержанию
Авторизация  
Xenon

Просьба проверить логи

Рекомендуемые сообщения

У знакомой после "незащищенного контакта" ноутбука с "гулящей" флешкой, появилась зараза. А на съемных носителях после контакта с ноутом файлы и папки становились скрытыми и подмененены ярлыками.
В БР просканил Курейтом ноут и тот вроде вывел вредителя. Симптомы пропали.

Но просьба проверить логи AVZ и RSIT на остаточные явления...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantine;
QuarantineFile('C:\Users\Татьяна Юрьевна\AppData\Roaming\ScreenSaverPro.scr','');
QuarantineFile('C:\Users\Татьяна Юрьевна\AppData\Roaming\Microsoft\Quwywo.exe','');
DeleteFile('C:\Users\Татьяна Юрьевна\AppData\Roaming\Microsoft\Quwywo.exe','32');
DeleteFile('C:\Users\Татьяна Юрьевна\appdata\roaming\screensaverpro.scr','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Quwywo');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Screen Saver Pro 3.1');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Для создания архива с карантином выполните скрипт:
begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.
Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).
Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.
В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).
В строке "Электронный адрес:" укажите адрес своей электронной почты.
Полученный ответ сообщите в этой теме.

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):
O4 - HKCU\..\Run: [Screen Saver Pro 3.1] C:\Users\Татьяна Юрьевна\AppData\Roaming\ScreenSaverPro.scr

Сделайте новые логи по правилам.

+

 

Скачайте Malwarebytes' Anti-Malware здесь или здесь.
Установите mbam-setup-<current number>.exe
Откажитесь от использования пробной версии Malwarebytes' Anti-Malware PRO (снимите галочку с пункта "Включить бесплатный тестовый период Malwarebytes Anti-Malware PRO "подробнее...").
Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".
Полученный лог прикрепите к сообщению.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Выполнил рекомендации и сделал новые логи.
Пофиксить в HijackThis не удалось, т.к. после AVZ там этого уже не было.

В вирлаб не посылал, т.к. архив с карантином почему-то пишет, что поврежден...

для Roman_Five:

Валер, могу скинуть его в ЛС тебе, если что. Может его Малвар при сканировании повредил? 

 

Изменено пользователем Xenon

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

архив мог быть пустым.

 

удалить в MBAM:

Обнаруженные файлы: 2
C:\drivers\addd.zip (PUP.Optional.BitCoinMiner) -> Действие не было предпринято.
C:\Users\Татьяна Юрьевна\AppData\Roaming\temp.bin (Trojan.Ransom) -> Действие не было предпринято.

новый лог приложить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Что с проблемой?

Пока не наблюдается, хотелось бы чтобы хвостов не осталось :)

Изменено пользователем Xenon

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Авторизация  

×
×
  • Создать...