safety 123 Опубликовано 10 декабря, 2023 Share Опубликовано 10 декабря, 2023 По этому файлу можете указать, когда было последнее срабатывание антивируса? 132581908,1059360,WIN-59RIJM9KE3N,СИСТЕМА,101,536870912,1,32,0,Вирус обнаружен,512,129,9040,|C:\Windows\SERVIC~1\MSSQL$~1\AppData\Local\Temp\tzt.exe|,|Подозрительный объект в программе ( ID709040 )|,|Файл не найден!|,|Можно вылечить|, Ссылка на сообщение Поделиться на другие сайты
Agatik 0 Опубликовано 10 декабря, 2023 Автор Share Опубликовано 10 декабря, 2023 пароль 202020 файлы.rar Ссылка на сообщение Поделиться на другие сайты
safety 123 Опубликовано 10 декабря, 2023 Share Опубликовано 10 декабря, 2023 (изменено) спасибо. По этому файлу tzt.exe постоянное срабатывание антивируса? Если систему можно перегружать, Добавьте, пожалуйста, образ автозапуска системы в uVS. 1. Скачать архив программы можно отсюда: 2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe (для Vista, W7, W8, W10, W11 запускаем с правами администратора) 3. В стартовом окне программы - нажмите "запустить под текущим пользователем" (если текущий пользователь с правами администратора). 4. копируем скрипт (ниже) из браузера в буфер обмена, Далее, в главном меню uVS выберите режим: "Скрипт-выполнить скрипт из буфера обмена" скрипт ниже: ;uVS v4.14.1 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE regt 39 restart После перезагрузки системы, еще раз запускаем start,exe (от имени Администратора), текущий пользователь. 5. Далее, меню "Файл" / Сохранить Полный образ автозапуска. 6. дождитесь, пока процесс создания файла образа завершится. Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar. 7. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ. Если перегрузка нежелательна: Выполните все пункты, кроме п.4. со скриптом. Изменено 10 декабря, 2023 пользователем safety Ссылка на сообщение Поделиться на другие сайты
Agatik 0 Опубликовано 10 декабря, 2023 Автор Share Опубликовано 10 декабря, 2023 Подскажите пожалуйста, где я могу взять этот файл? Через поисковую строчку поиск не производится, т.к "неполное имя корневого файла" Не можем понять... И как можно посмотреть через антивирус последнюю работу над файлами? Ссылка на сообщение Поделиться на другие сайты
safety 123 Опубликовано 10 декабря, 2023 Share Опубликовано 10 декабря, 2023 (изменено) 6 minutes ago, Agatik said: И как можно посмотреть через антивирус последнюю работу над файлами? Если есть возможность, зайдите в журналы антивируса через интерефейс программы. Хотя длякорпоративной версии K7 возможно нет такого режима, только через централизованное управление. Quote Подскажите пожалуйста, где я могу взять этот файл? о каком файле говорите? если о tzt.exe, то поиск по нему в сети ничего не даст. В таком случае нужен будет образ автозапуска что еще раз проанализировать состояние системы. Изменено 10 декабря, 2023 пользователем safety Ссылка на сообщение Поделиться на другие сайты
Agatik 0 Опубликовано 10 декабря, 2023 Автор Share Опубликовано 10 декабря, 2023 При запуске файла, что Вы нам прислали, пункт "Запустить под текущим пользователем", выдает ошибку 225. Что делать? Возможно ли с Вами удаленное подключение? Антивирус Windows, при выборе данного пункта, находит вирус. Может, нужно отключить штатный антивирус? Ссылка на сообщение Поделиться на другие сайты
safety 123 Опубликовано 10 декабря, 2023 Share Опубликовано 10 декабря, 2023 (изменено) 11 minutes ago, Agatik said: Может, нужно отключить штатный антивирус? да, K7 может на него ругаться, временно отключите защиту или добавить каталог с uVS и start.exe в исключения. И дефендер лучше временно отключить. Изменено 10 декабря, 2023 пользователем safety Ссылка на сообщение Поделиться на другие сайты
Agatik 0 Опубликовано 10 декабря, 2023 Автор Share Опубликовано 10 декабря, 2023 WIN-59RIJM9KE3N_2023-12-10_15-08-28_v4.14.1.7z Ссылка на сообщение Поделиться на другие сайты
safety 123 Опубликовано 10 декабря, 2023 Share Опубликовано 10 декабря, 2023 (изменено) Выполните в uVS скрипт из буфера обмена. ЗАпускаем start,exe от имени Администратора (если не запущен) текущий пользователь, Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер. В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена" Система не будет перезагружена. ;uVS v4.14.1 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE zoo %SystemRoot%\SERVICEPROFILES\MSSQL$TRADESOFTSQL19\APPDATA\ROAMING\SICOBPO.EXE czoo Загрузите файл ZOO_дата_время.7z из папки с uVS на облачный диск, и дайте ссылку на скачивание в личные сообщения Изменено 10 декабря, 2023 пользователем safety Ссылка на сообщение Поделиться на другие сайты
Agatik 0 Опубликовано 10 декабря, 2023 Автор Share Опубликовано 10 декабря, 2023 А как сохранить данный файл, архивировать ZOO? Ссылка на сообщение Поделиться на другие сайты
safety 123 Опубликовано 10 декабря, 2023 Share Опубликовано 10 декабря, 2023 3 minutes ago, Agatik said: А как сохранить данный файл, архивировать ZOO? Скрипт автоматом сделает архив Ссылка на сообщение Поделиться на другие сайты
Agatik 0 Опубликовано 10 декабря, 2023 Автор Share Опубликовано 10 декабря, 2023 Отправил в личном сообщении. Ссылка на сообщение Поделиться на другие сайты
safety 123 Опубликовано 10 декабря, 2023 Share Опубликовано 10 декабря, 2023 1 час назад, Agatik сказал: Отправил в личном сообщении. https://www.virustotal.com/gui/file/2bdbdefbb71db72586bccdea78f44df12f3439878ad49b284b6c182e7f444df6?nocache=1 файл вредоносный. Выполните в uVS скрипт из буфера обмена. ЗАпускаем start,exe от имени Администратора (если не запущен) текущий пользователь, Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер. В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена" Система не будет перезагружена. ;uVS v4.14.1 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE zoo %SystemRoot%\SERVICEPROFILES\MSSQL$TRADESOFTSQL19\APPDATA\ROAMING\SICOBPO.EXE czoo ;---------command-block--------- delall %SystemRoot%\SERVICEPROFILES\MSSQL$TRADESOFTSQL19\APPDATA\ROAMING\SICOBPO.EXE apply QUIT без перезагрузки системы. ждем ответ специалистов по определению типа шифровальщика. ZOO (он с паролем virus) не удаляйте, возможно будет нужен еще для ТП. Так же проверьте политику: Active IPSec Policy [Local]: SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{ec2483bf-f911-4e5e-9c58-c9c93f9e872c} Админом создано или зловредом. Ссылка на сообщение Поделиться на другие сайты
Agatik 0 Опубликовано 10 декабря, 2023 Автор Share Опубликовано 10 декабря, 2023 Вы прикрепили ссылку выше, по ней можно перейти? Файл, который выполнен по скрипту выше, тоже Вам отправить в виде ссылки? Как я могу проверить политику файлов? Ссылка на сообщение Поделиться на другие сайты
safety 123 Опубликовано 10 декабря, 2023 Share Опубликовано 10 декабря, 2023 4 minutes ago, Agatik said: Вы прикрепили ссылку выше, по ней можно перейти? Файл, который выполнен по скрипту выше, тоже Вам отправить в виде ссылки? да, можно, это линк проверки файла. https://www.virustotal.com/gui/file/2bdbdefbb71db72586bccdea78f44df12f3439878ad49b284b6c182e7f444df6?nocache=1 файл мне уже не нужен, первым скриптом скопировал его и проверил на VT, второй скрипт его удалит. Политика если вредононосная напишите - скриптом удалю, или самостоятельно удалите. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти