Перейти к содержанию

Рекомендуемые сообщения

Дети поймали какой то вирус блокирует работу всех браузеров и требует ввести номер телефона. Проверки различными антивирусами результата не принесли (Kaspesky Rescue Disc, Mbam, Kis)

 

при этом , что то блокирует активацию KIS (обновляется нормально правда установить версию с сайта не удалось, только с диска из коробки) , а Mbam не обновляется.

 

При запуске скрипта для записи лога IE и Chrome открылись в нормальном режиме, после того как скрипт отработал все вернулось назад.

 

Скрин этой пакости  7973035.jpg

 

Во вложении лог и вторым файлом вирус который был явно обнаружен по дате установки со скриптами.

 

Сообщение от модератора Mark D. Pearlstone
Второй файл удалён.
 

CollectionLog-2015.03.04-21.40.zip

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\1\AppData\Roaming\omiga-plus\UninstallManager.exe','');
DelBHO('{7CE987D5-11B3-44FC-9C3D-03069360D462}');
DelBHO('{1FE48F08-A2AC-44AC-A21C-0556D91C50DA}');
QuarantineFile('C:\Program Files (x86)\advPlugin\Toolbar32.dll','');
DeleteService('BDEnhanceBoost');
DeleteService('BDAntiExp');
DeleteService('bd0004');
DeleteService('bd0002');
DeleteService('bd0001');
SetServiceStart('BDMWrench_x64', 4);
DeleteService('BDMWrench_x64');
SetServiceStart('Update Service for advPlugin', 4);
DeleteService('Update Service for advPlugin');
TerminateProcessByName('c:\program files (x86)\advplugin\basement\extensionupdaterservice.exe');
QuarantineFile('c:\program files (x86)\advplugin\basement\extensionupdaterservice.exe','');
DeleteFile('c:\program files (x86)\advplugin\basement\extensionupdaterservice.exe','32');
DeleteFile('C:\windows\system32\DRIVERS\BDMWrench_x64.sys','32');
DeleteFile('C:\windows\system32\drivers\BDEnhanceBoost.sys','32');
DeleteFile('C:\windows\system32\DRIVERS\BDAntiExp.sys','32');
DeleteFile('C:\windows\system32\DRIVERS\bd0004.sys','32');
DeleteFile('C:\windows\system32\DRIVERS\bd0002.sys','32');
DeleteFile('C:\windows\system32\DRIVERS\bd0001.sys','32');
DeleteFile('C:\Program Files (x86)\advPlugin\Toolbar32.dll','32');
DeleteFile('C:\windows\system32\Tasks\LaunchSignup','64');
DeleteFile('C:\Users\1\AppData\Roaming\omiga-plus\UninstallManager.exe','32');
DeleteFile('C:\windows\system32\Tasks\{18E4FC9B-4B4D-4B12-9569-05C7084AACC5}','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите в HiJack



O17 - HKLM\System\CCS\Services\Tcpip\..\{1CCB3D1A-E75C-49C7-A074-D8448C348589}: NameServer = 108.61.170.121,8.8.4.4
O17 - HKLM\System\CS1\Services\Tcpip\..\{1CCB3D1A-E75C-49C7-A074-D8448C348589}: NameServer = 108.61.170.121,8.8.4.4
O17 - HKLM\System\CS2\Services\Tcpip\..\{1CCB3D1A-E75C-49C7-A074-D8448C348589}: NameServer = 108.61.170.121,8.8.4.4

Сделайте новые логи по правилам

Ссылка на комментарий
Поделиться на другие сайты

Hijack эти ветки не фиксит, проблема не устраняется.

 

Ps Из первого моего поста удалите второе вложение если оно уже не нужно.

CollectionLog-2015.03.04-23.16.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Ссылка на комментарий
Поделиться на другие сайты

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
     
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
    FF Plugin-x32: @microsoft.com/GENUINE -> disabled No File
    CHR HKLM\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho [Not Found]
    CHR HKLM-x32\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho [Not Found]
    CHR HKLM-x32\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] - https://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - https://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - https://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [odkmedfomghphdnmmemhkpoanggcfbbe] - https://clients2.google.com/service/update2/crx
    R1 BDMWrench_x64; C:\Windows\System32\DRIVERS\BDMWrench_x64.sys [130888 2015-01-19] (Baidu)
    S2 BDSafeBrowser; C:\Windows\System32\DRIVERS\BDSafeBrowser.sys [48968 2014-10-20] (Baidu)
    S1 bd0001; system32\DRIVERS\bd0001.sys [X]
    S1 bd0002; system32\DRIVERS\bd0002.sys [X]
    2015-03-03 22:17 - 2015-03-03 22:17 - 00000000 __SHD () C:\Users\Admin\AppData\Local\EmieUserList
    2015-03-03 22:17 - 2015-03-03 22:17 - 00000000 __SHD () C:\Users\Admin\AppData\Local\EmieSiteList
    2015-03-03 22:17 - 2015-03-03 22:17 - 00000000 __SHD () C:\Users\Admin\AppData\Local\EmieBrowserModeList
    2015-03-05 08:13 - 2014-11-22 21:50 - 00000000 ____D () C:\Program Files (x86)\advPlugin
    2015-02-20 16:11 - 2014-11-24 11:55 - 00000000 ____D () C:\Users\1\AppData\Roaming\advPlugin
    2015-02-20 14:33 - 2014-12-06 00:50 - 00000000 ____D () C:\Users\1\AppData\Roaming\eTranslator
    2015-02-20 14:32 - 2014-09-25 21:50 - 00000000 ____D () C:\Users\1\AppData\Local\storegid
    2015-02-20 14:31 - 2014-12-06 00:50 - 00000000 ____D () C:\Users\1\AppData\Local\Kometa
    2015-02-20 14:31 - 2014-09-25 21:51 - 00000000 ____D () C:\Program Files (x86)\test
    2015-02-20 14:23 - 2014-09-25 21:51 - 00000000 ____D () C:\Users\Все пользователи\Baidu
    2015-02-20 14:23 - 2014-09-25 21:51 - 00000000 ____D () C:\ProgramData\Baidu
    2015-02-20 15:56 - 2014-02-23 17:07 - 00000000 ____D () C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MyPC Backup
    C:\Users\1\Launcher.exe
    C:\ProgramData\help.bat
    C:\Users\Все пользователи\help.bat
    2014-05-08 22:06 - 2014-05-08 22:06 - 0005062 _____ () C:\ProgramData\uxxadbmu.rlu
    Task: {830101DB-0D65-40F4-B038-63F6775B0433} - \{18E4FC9B-4B4D-4B12-9569-05C7084AACC5} No Task File <==== ATTENTION
    Task: {9C0C4040-961E-4D51-8676-061F9D920425} - \PennyBee No Task File <==== ATTENTION
    Task: {E16155FF-CFFF-4BDF-97A6-77BA2BFCE7AE} - \LaunchSignup No Task File <==== ATTENTION
    Reboot:
    
  • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ при наличии доступа в интернет:

 


var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

 

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Ссылка на комментарий
Поделиться на другие сайты

Зашел сегодня под пользователем , которым дети пользуются ( до этого админом входил)

 

и создалось впечатление, что не всё вылечилось. Проверьте пожалуйста лог еще раз.

CollectionLog-2015.03.12-22.49.zip

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • DAV
      Автор DAV
      в пятницу лег сервер: зашифрованы все системные файлы и вся база 1С. Также файлы на зеркальном диске, а бэкапы на другом диске почему-то оказались повреждены (копировались каждый вечер).
      в закодированном файле текст в таких иероглифах: "... ৸믻䀹ᑞஞ樱惒孌ڨ쎩델꥛睟괎䦝捰㨿秡﹈贆Ŵ䣍㥶﬍ຌ̒螐꯵ॶㅈ鹧ӷ፮箈ꥦ 樟倣폃웘붾셳炼..."
      один из файлов 1С теперь с таким названием: 1Cv8.lgf.id-DEB1FBBC.[James2020m@aol.com].MUST.id[DEB1FBBC-3259].[restore1_helper@gmx.de].
       
      кто знает, как вернуться к "родной" кодировке, подскажите, пожалуйста.
       
      P.S. "доброжелатели" в сопутствующем info письме указали адреса для контакта: restore1_helper@gmx.de или restore2_helper@mein.gmx.
    • norma.ekb
      Автор norma.ekb
      Добрый день.
      Открыли архив, полученный по почте и после этого все файлы на ПК  изменились на тип FONL. Прошу помочь с расшифровкой.
      Файл шифровальщик сохранен (из полученного архива). 
      Файлы для примера и сообщение вымогателей .rar FRST.rar
    • Antchernov
      Автор Antchernov
      Здравствуйте. Словили шифровальщик через RDP, файл шифровальщика удалось найти на рабочем столе учетки Администратора. Зашифровать успел не все, но важным документам и базам 1С досталось. Осложняется все тем, что админ приходящий и он в текущей ситуации стал "очень занят". Прошу помочь с лечением системы и по возможности с расшифровкой, т.к. неизвестно есть ли бэкапы. Систему не лечили никак, логи FRST, зашифрованные фалы и записку прилагаю. Есть нешифрованные версии некоторых файлов, если понадобятся. 
      Addition.txt FRST.txt Zersrv.zip
    • kazakova
      Автор kazakova
      Добрый день! Подверглись вирусной атаке, все необходимые файлы приложила, пароль на архив 123. Есть ли возможность восстановить файлы?
       
       
       
       
      логи.rarфайлы_зашифрованные.rarфайлы_шифровальщика.rar
    • composer1995
      Автор composer1995
      Добрый день!

      Столкнулся с вирусом CAAServices.exe. Изложу последовательно события и свои действия:

      1. Центр обновления Windows установил обновления (не знаю, связано ли это с дальнейшей проблемой)
      - Накопительное обновление для Windows 11 Version 24H2 для систем на базе процессоров x64, 2025 07 (KB5062553)
      - 2025-07 Накопительное обновление .NET Framework 3.5 и 4.8.1 для Windows 11, version 24H2 для x64-разрядных систем (KB5056579)

      2. После обновления комп перезагрузился и в простое на рабочем столе начал сильно шуметь. Я решил проверить диспетчер задач и заглянуть в автозагрузки. В этот момент комп уже остыл и вернулся к нормальному уровню шума. В списке автозагрузок обнаружил файл CAAServices.exe, расположение файла C:\ProgramData\CAAService

      3. Нагуглил, что это майнер, провёл проверку защитником Windows, обнаружил вирус:
      - Trojan:Win64/DisguisedXMRigMiner!rfn, затронутые элементы C:\ProgramData\CAAService\Microsoft Network Realtime lnspection Service.exe

      Далее, в исключениях обнаружил CAAServices.exe, убрал его из списка исключений. Вручную указал папку CAAService, и в ней он нашёл:
      - Trojan:Win32/Wacatac.H!ml, затронутые элементы C:\ProgramData\CAAService\CAAServices.exe

      Защитник удалил оба вируса. После рестарта компа в автозагрузках снова обнаружил этот CAAServices.exe. Повторил процедуру по поиску и удалению вируса, комп не перезагружал.

      4. Пришёл сюда на сайт, провёл проверку Kaspersky Virus Removal Tool, обнаружил два вируса (прикладываю скрин). После проверки данной утилитой и рестарта компа в автозагрузке майнер не появляется. В папке C:\ProgramData\CAAService исчез файл CAAServices.exe. Остались только файлы CAAServices.vdr и OpenCL.dll.

      5. Собрал логи с помощью AutoLogger, прикладываю архив.

      Скажите, пожалуйста, избавился ли я от майнера, или нужно предпринять ещё какие-то меры?

      CollectionLog-2025.07.10-12.42.zip
×
×
  • Создать...