Перейти к содержанию
Правила раздела

Несколько вирусов.

zkk777

От zkk777
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

zkk777 Новичок

zkk777

Опубликовано
Опубликовано

Поймал несколько вирусов на одном файлообменнике, он предлагает скачать желаемый вами файл, после этого вы открываете файл (exe) и он предлагает вам скачать его, и снизу чекбоксы на всякие маил апдейторы. После того как я скачал желаемый мною файл компьютер просто стал кишать вирусами, я заметил шифратор (aes256) и реклама в браузере никак не смог убрать ни с авастом ни с касперским, пробовал подключится на прямую без модема все равно реклама.

CollectionLog-2014.10.07-22.43.zip

Ссылка на комментарий
Поделиться на другие сайты
  • Ответов 34
  • Created
  • Последний ответ

Top Posters In This Topic

  • zkk777

    17

  • thyrex

    10

  • mike 1

    5

  • Roman_Five

    3

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

thyrex
thyrex

Увы. Если когда-то новые ключи появятся, они будут добавлены в утилиту.

Roman_Five
Roman_Five

пересоздайте вручную ярлык Оперы C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk

mike 1
mike 1

На счет шифратора уже все сказал Тирекс в 16 сообщении.   Что с рекламой?

thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files (x86)\Show-Password\Show_Password.exe','');
QuarantineFile('C:\Users\Альберт\AppData\Roaming\runWIN\update.exe','');
QuarantineFile('C:\Users\Альберт\AppData\Roaming\runWIN\Update.exe','');
QuarantineFile('C:\Users\Альберт\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','');
QuarantineFile('C:\Users\Альберт\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','');
QuarantineFileF('C:\Users\Альберт\AppData\Roaming\runWIN', '*.*', true,'', 0, 0, '', '');
QuarantineFileF('C:\Users\Альберт\AppData\Roaming\Mail.RU NewGamesT', '*.*', true,'', 0, 0, '', '');
DeleteFile('C:\Program Files\Internet Explorer\iexplore.exe.bat','32');
DeleteFile('C:\Users\Альберт\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','32');
DeleteFile('C:\Users\Альберт\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32');
DeleteFile('C:\Users\Альберт\AppData\Roaming\runWIN\Update.exe','32');
DeleteFile('C:\Users\Альберт\AppData\Roaming\runWIN\update.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NewLoadSystemWIN32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LoaderSystemWIN');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RuningWIN32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Encrypt');
DeleteFile('C:\WINDOWS\Tasks\PC Optimizer Pro64 startups.job','64');
DeleteFileMask('C:\Users\Альберт\AppData\Roaming\Mail.RU NewGamesT', '*', true);
DeleteDirectory('C:\Users\Альберт\AppData\Roaming\Mail.RU NewGamesT');
DeleteFileMask('C:\Users\Альберт\AppData\Roaming\Microsoft DB', '*', true);
DeleteDirectory('C:\Users\Альберт\AppData\Roaming\Microsoft DB');
DeleteFileMask('C:\Users\Альберт\AppData\Roaming\GemWare', '*', true);
DeleteDirectory('C:\Users\Альберт\AppData\Roaming\GemWare');
DeleteFileMask('C:\Users\Альберт\AppData\Roaming\Browsers', '*', true);
DeleteDirectory('C:\Users\Альберт\AppData\Roaming\Browsers');
DeleteFileMask('C:\Users\Альберт\AppData\Roaming\ICL', '*', true);
DeleteDirectory('C:\Users\Альберт\AppData\Roaming\ICL');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Новые логи где?

 

+

  1. Скачайте SITLog и сохраните архив с утилитой на Рабочем столе
  2. Распакуйте архив с утилитой в отдельную папку
Запустите sitlog.exe

Обратите внимание
, что утилиты необходимо запускать от имени Администратора. По умолчанию в
Windows XP
так и есть. В
Windows Vista
и
Windows 7
администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
Запуск от имени Администратора
, при необходимости укажите пароль администратора и нажмите
Да

В главном окне программы выберите проверку за последние три месяца и нажмите "Старт"
По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt
Прикрепите эти отчеты в вашей теме.

Ссылка на комментарий
Поделиться на другие сайты
zkk777 Новичок

zkk777

Опубликовано
  • Автор
Опубликовано

 

Новые логи где?

 

+

  • Скачайте SITLog и сохраните архив с утилитой на Рабочем столе

     

     
  • Распакуйте архив с утилитой в отдельную папку
  • Запустите sitlog.exe

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

  • В главном окне программы выберите проверку за последние три месяца и нажмите "Старт"
  • По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt
  • Прикрепите эти отчеты в вашей теме.

 

SITLog.txt

SITLog_Info.txt

CollectionLog-2014.10.08-16.14.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Удалите

D:\Games\Outlast Whistleblower\OutlastLauncher.exe.bat

D:\Tor Browser\Start Tor Browser.exe.bat

D:\Program Files (x86)\Mozilla Firefox\firefox.exe.bat

 

 

Пересоздайте ярлыки

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
C:\Users\Public\Desktop\Mozilla Firefox.lnk

C:\Users\Альберт\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Outlast Whistleblower.lnk
C:\Users\Альберт\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk

C:\Users\Альберт\Desktop\Start Tor Browser.exe - Ярлык.lnk

C:\Users\Альберт\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk

Ссылка на комментарий
Поделиться на другие сайты
zkk777 Новичок

zkk777

Опубликовано
  • Автор
Опубликовано

 

Удалите

D:\Games\Outlast Whistleblower\OutlastLauncher.exe.bat

D:\Tor Browser\Start Tor Browser.exe.bat

D:\Program Files (x86)\Mozilla Firefox\firefox.exe.bat

 

 

Пересоздайте ярлыки

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk

C:\Users\Public\Desktop\Mozilla Firefox.lnk

C:\Users\Альберт\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Outlast Whistleblower.lnk

C:\Users\Альберт\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk

C:\Users\Альберт\Desktop\Start Tor Browser.exe - Ярлык.lnk

C:\Users\Альберт\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk

 

таких бат файлов я не обноружил только exe и кстати зачем это? после этого реклама исчезнет или расшифруются файлы?)

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

 

 


Ну я заметил только картинки, текстовики и док файлы, возможно и архивы еще
А Вы говорите только текстовики :)

 

Пароль один для всех зашифрованных файлов на Вашем компьютере. Если не смогло подобрать к выбранному Вами файлу, тогда увы

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • chernikovd
      Поймали шифровальщика на несколько серверов
      От chernikovd
      Добрый день!
      поймали шифровальщика.. утром сотрудники не смогли запустить 1с, позвонили мне я подключился к серверу и понял, что файлы зашифрованны, зашел в папку с базами основная база весит20Г и она не была зашифрована.. я удивился и начал ее копировать на другой комп оставалось минут 10 и сервер выключился. после того как приехал и включил сервер обнаружил зашифрованный файл и не зашифрованный я скопировал не зашифрованный и его логи и базу данных удалось подключить. Так же взломали комп с бэкапами и испортили файловую систему. очень хочется расшифровать все.. на самом деле зашифровано 3 сервера прислал инфу только по одному
       
      спасибо
      ЗашифрованыеФайлы.7z Addition.txt FRST.txt
    • civiero
      Вирус или нет?
      От civiero
      При просмотре видео на ютуб останавливается видео и появляется звуки костей, или слово amazing. Нужно ли волноваться по этому поводу? Антивирус ничего не выдает.
    • Gagik
      Поймал вирус
      От Gagik
      Поймал вирус не знаю из за чего и ни чем не определяется почти,вроде как dwm процесс называется,при открытии диспетчера задач,не отображается и нагрузка сразу спадает,в простое нагревает процессор до 90 градусов
    • lomosow
      NET:MALWARE.URL Вирус
      От lomosow
      Поймал вирусняк, открывает edge при заходе в систему, Dr.web его обнаруживает, но удалить его не может, пишет "ошибка лечения". называется NET:MALWARE.URL. UPD. веб перестал его обнаруживать, но проблема никуда не делась 
    • Mr. Denp
      Вирусы: HEUR:Trojan.Multi.GenBadur.genw и HEUR:Trojan.Script.Generic
      От Mr. Denp
      Добрый день!
       
      Уже как несколько месяцев сижу с пойманными вирусами. Первый появился: HEUR:Trojan.Multi.GenBadur.genw - Касперский пытается устранить, но безуспешно.
      Процесс лечения заканчивается следующей ошибкой:

       
      Происходит перезагрузка компьютера, затем очередная автоматическая проверка компьютера Касперским, и троян снова появляется с предложением удаления.
      И так по кругу. 
      Вирус находится в системной памяти.
       
      Второй - HEUR:Trojan.Script.Generic появился сравнительно недавно, после удаления Касперским, он также появляется заново.
       
      Большая просьба помочь решить проблему. Насколько это опасно? Можно ли что-то сделать?
      Склонялся к варианту переустановки винды, но потеря файлов и головная боль с повторной установкой всего напрягает.
       
      Винда официальная. Единственная причины возникновения, которая приходит на ум - это торрент.
       
      Заранее благодарен!
       
×
×
  • Создать...