Перейти к содержанию
Правила раздела

Вредоносное заражение с task.vbs

vlanzzy

Автор vlanzzy
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

vlanzzy

vlanzzy

Опубликовано
Опубликовано (изменено)

CollectionLog-2024.12.19-19.35.zip

Произошло заражение вирусом, выполнял проверку через KVRT и смог удалить вирусы, но теперь запускается task.vbs

 

Изменено пользователем vlanzzy
thyrex

thyrex

Опубликовано
Опубликовано

Здравствуйте.


 

Цитата

MediaGet

VideoAdsBlocker

Кнопки сервисов Яндекса на панели задач

удалите через Панель управления - Программы и компоненты

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (ФайлВыполнить скрипт – вставить текст скрипта из окна Код) 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\Users\pipip\AppData\Local\Programs\fe9c5c5e8876\249f118441.msi','');
 QuarantineFile('C:\Users\pipip\Documents\task.vbs','');
 QuarantineFile('C:\Program Files (x86)\opwZtffbCbhKC\VILsuen.dll','');
 DeleteFile('C:\Program Files (x86)\opwZtffbCbhKC\VILsuen.dll','64');
 DeleteFile('C:\Users\pipip\Documents\task.vbs','64');
 DeleteSchedulerTask('ChromiumModeUpdate');
 DeleteSchedulerTask('bXErStfEzutFhpOGmyp2');
 DeleteFile('C:\Users\pipip\AppData\Local\Programs\fe9c5c5e8876\249f118441.msi','64');
 DeleteSchedulerTask('folkx-S-1-5-21-4231812674-3737644337-3407938771-1001');
 DeleteSchedulerTask('ICTorrentUpdaterV1_t1717331170902');
 DeleteSchedulerTask('ICTorrentUpdaterV2_t1717331172968');
 DeleteSchedulerTask('MediaGetProUpdaterV5_t1717331166812');
 DeleteSchedulerTask('MediaGetProUpdaterV6_t1717331168864');
 DeleteSchedulerTask('Meta\Messenger-SL-Helper-S-1-5-21-4231812674-3737644337-3407938771-1001');
 DeleteSchedulerTask('MicrosoftEdge');
 DeleteSchedulerTask('Windows');
 DeleteFile('C:\Users\pipip\mediaget2\mediaget.exe','32');
 DeleteFile('C:\Users\pipip\mediaget2\mediaget_crashpad_handler.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ 

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

  • Like (+1) 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • User-01001
      [РЕШЕНО] Заражение
      Автор User-01001
      Здравствуйте!
      Все по классике. сидел без антивируса несколько лет, полагаясь на себя. погода дрянь, хандра уныние и безысходность.
      Захотел развлечь себя игрушкой с торрента (цивой) вот развлек.)
      Уже на этапе запуска (до "установить" и тд) открылись врата в чистилище и оттуда полезло зло. simplewall долбил о куче рвущихся душ во всемирную паутину.
      Активное противодействие любым AV, отнятые права на папки, закрывание диспетчера задач при попытке приблизиться и тд.
      К слову был активен RDP местами валялись логи.
       Uac был выставлен на максимум - молчал. выдернул провод, бегло пробежался переименованной авз и артой вроде AVbr и kvrt  в безопасном режиме +live cd.
      KVRT кстати в т.ч. ругался на майнер и файловый вирус. еще до активной борьбы сетап с подарком запер в архив под пароль (если нужен)
      Нужна помощь добить бяку и восстановить что она там еще порушить успела
      CollectionLog-2025.05.03-10.34.zip
    • SnakeEyes
      Поиск вредоносного ПО
      Автор SnakeEyes
      Добрый день, столкнулся с такой проблемой, после перехода на новую версию KSC, стали часто появляться предупреждения  "Давно не выполнялся поиск вредоносного ПО". Спустя примерно неделю после полной проверки всей рабочей группы - часть зелёных компов становится оранжевой. Где настроить правило для появления предупреждений, например я хочу чтобы это сообщение появлялось через 3 месяца после последней проверки, как это сделать?
       
    • Dwight
      Возможное заражение компьютера
      Автор Dwight
      Думаю заразил Пк вирусами, так-как при банальном открытии браузера вентиляторы начинают активно набирать обороты, а работать в программах для монтажа стало просто невозможно, но все проблемы меня покидают после открытия диспетчера задач
       
      CollectionLog-2024.10.24-13.20.zip
    • РусланKотов
      Последствия заражения майнером
      Автор РусланKотов
      Добрый день, словил майнер около месяца назад, из за того что активировал систему windows с помощью KMS Auto, ошибку свою осознал уже когда было поздно. Стала грузиться видеокарта, не мог открыть ни один сайт антивируса и установить его соответственно, не открывались сайты,  на которых могли оказать помощь. Удалил майнер с помощью утилиты и на мою вторую ошибку - я забыл её название. Она обнаружила майнер и удалила его, после удаления я смог пользоваться браузером, диспетчер задач перестал закрываться, а игры тормозить. После этого я переустановил систему, использовав уже купленный официально ключ. А так же обновил биос материнской платы ибо боялся что вирус мог остаться в ней. Но сейчас наблюдаю то, что интернет на компьютере переодически сам отключается и пропадает доступ, помогает только перезагрузка роутера(Пользуюсь Wi-Fi), а так же иногда при открытии диспетчера задач сбрасывается частота процессора. Видеокарта в простое греется вплоть до 50 градусов, хотя она не нагружается мной ничем, как и сам компьютер. Как можно убедиться, что вируса больше нет и переживать не о чем? Так же купил лицензию Касперский премиум на год и проверил неоднократно полной проверкой новую установленную систему. Ничего помимо моей воли не закрывается и вроде бы работает как надо, антивирус не находит ничего подозрительного. Но после того как сходил с ума и не знал как удалить этот вирус - остался осадок можно сказать и до сих пор переживаю, а что если этот майнер мог влезть в память материнской платы и от туда каждый раз при установке новой ОС влезать... 
    • Asya
      Возможное заражение трояном
      Автор Asya
      Здравствуйте, уважаемые консультанты. Появилась необходимость обратиться к вам за советом. Очень надеюсь на вашу помощь. 
      Ситуация следующая:
      На смартфон в телеге было скачано два файла epub (электронные книги) из чата по англо-китайским книжкам. После, через соцсети файлы переброшены на ноутбук. 
      27.09 - скачана первая книга. Проверка Kaspersky Security Cloud дала добро, и файл был открыт. 
      20.10 - скачана вторая книга. Проверка Касперского - окей, но ещё закидываю файл на Virustotal - и вот тут обнаруживается единственное (1/64) срабатывание у китайского Kingsoft - пишет что в файле HTA trojan. Сразу удаляю файл и перепроверяю первую книгу - результат такой же, Kingsoft ругается, остальные антивирусы молчат.
      Другие файлы, из того же чата, скачанные ранее - все целиком чистые, реакт есть только на те два файла.     
      Я бы подумала на ложное срабатывание, но вдруг вспомнила, что:
      15.10 - на мой номер телефона пришло смс с кодом верификации от китайского Wechat (которым не пользуюсь уже 10 лет) и который, естественно, не запрашивала. 
      Плюсом последние несколько дней на одну из почт (моего основного гугл-аккаунта) сыпется нервирующий иностранный спам (раньше такого не было). 

      Ноутбук проверяла своим Kaspersky Security Cloud, KVRT, Dr.Web Cureit - в них всё чисто, ничего не обнаруживается. 
       
      И теперь сомневаюсь, то ли это просто совпадение, то ли мне попался какой-то хитрый китайский вирус, который ещё никто из антивирусов не видит. И где его теперь искать: на компьютере или на смартфоне (и вот с последним я вообще не знаю, что делать)? Не очень хочется думать, что какие-то китайцы таскают мои данные. 
      Буду очень благодарна, если сможете помочь и подсказать, есть ли следы вирусной активности. Заранее спасибо за уделённое время. 
      CollectionLog-2024.11.02-23.04.zip
×
×
  • Создать...