Вредоносное заражение с task.vbs

3 часа назад

CollectionLog-2024.12.19-19.35.zip

Произошло заражение вирусом, выполнял проверку через KVRT и смог удалить вирусы, но теперь запускается task.vbs

Изменено 3 часа назад пользователем vlanzzy

12 минут назад

Здравствуйте.

Цитата

MediaGet

VideoAdsBlocker

Кнопки сервисов Яндекса на панели задач

удалите через Панель управления - Программы и компоненты

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\Users\pipip\AppData\Local\Programs\fe9c5c5e8876\249f118441.msi','');
 QuarantineFile('C:\Users\pipip\Documents\task.vbs','');
 QuarantineFile('C:\Program Files (x86)\opwZtffbCbhKC\VILsuen.dll','');
 DeleteFile('C:\Program Files (x86)\opwZtffbCbhKC\VILsuen.dll','64');
 DeleteFile('C:\Users\pipip\Documents\task.vbs','64');
 DeleteSchedulerTask('ChromiumModeUpdate');
 DeleteSchedulerTask('bXErStfEzutFhpOGmyp2');
 DeleteFile('C:\Users\pipip\AppData\Local\Programs\fe9c5c5e8876\249f118441.msi','64');
 DeleteSchedulerTask('folkx-S-1-5-21-4231812674-3737644337-3407938771-1001');
 DeleteSchedulerTask('ICTorrentUpdaterV1_t1717331170902');
 DeleteSchedulerTask('ICTorrentUpdaterV2_t1717331172968');
 DeleteSchedulerTask('MediaGetProUpdaterV5_t1717331166812');
 DeleteSchedulerTask('MediaGetProUpdaterV6_t1717331168864');
 DeleteSchedulerTask('Meta\Messenger-SL-Helper-S-1-5-21-4231812674-3737644337-3407938771-1001');
 DeleteSchedulerTask('MicrosoftEdge');
 DeleteSchedulerTask('Windows');
 DeleteFile('C:\Users\pipip\mediaget2\mediaget.exe','32');
 DeleteFile('C:\Users\pipip\mediaget2\mediaget_crashpad_handler.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Вредоносное заражение с task.vbs

Рекомендуемые сообщения

vlanzzy

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum