Вредоносное заражение с task.vbs

[vlanzzy]

CollectionLog-2024.12.19-19.35.zip

Произошло заражение вирусом, выполнял проверку через KVRT и смог удалить вирусы, но теперь запускается task.vbs

 

Изменено 19 декабря, 2024 пользователем vlanzzy

[thyrex]

Здравствуйте.

 

Цитата

MediaGet

VideoAdsBlocker

Кнопки сервисов Яндекса на панели задач

удалите через Панель управления - Программы и компоненты

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\Users\pipip\AppData\Local\Programs\fe9c5c5e8876\249f118441.msi','');
 QuarantineFile('C:\Users\pipip\Documents\task.vbs','');
 QuarantineFile('C:\Program Files (x86)\opwZtffbCbhKC\VILsuen.dll','');
 DeleteFile('C:\Program Files (x86)\opwZtffbCbhKC\VILsuen.dll','64');
 DeleteFile('C:\Users\pipip\Documents\task.vbs','64');
 DeleteSchedulerTask('ChromiumModeUpdate');
 DeleteSchedulerTask('bXErStfEzutFhpOGmyp2');
 DeleteFile('C:\Users\pipip\AppData\Local\Programs\fe9c5c5e8876\249f118441.msi','64');
 DeleteSchedulerTask('folkx-S-1-5-21-4231812674-3737644337-3407938771-1001');
 DeleteSchedulerTask('ICTorrentUpdaterV1_t1717331170902');
 DeleteSchedulerTask('ICTorrentUpdaterV2_t1717331172968');
 DeleteSchedulerTask('MediaGetProUpdaterV5_t1717331166812');
 DeleteSchedulerTask('MediaGetProUpdaterV6_t1717331168864');
 DeleteSchedulerTask('Meta\Messenger-SL-Helper-S-1-5-21-4231812674-3737644337-3407938771-1001');
 DeleteSchedulerTask('MicrosoftEdge');
 DeleteSchedulerTask('Windows');
 DeleteFile('C:\Users\pipip\mediaget2\mediaget.exe','32');
 DeleteFile('C:\Users\pipip\mediaget2\mediaget_crashpad_handler.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.