Перейти к содержанию
Правила раздела
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Вредоносное заражение с task.vbs

vlanzzy

Автор vlanzzy
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

vlanzzy Новичок

vlanzzy

Опубликовано
Опубликовано (изменено)

CollectionLog-2024.12.19-19.35.zip

Произошло заражение вирусом, выполнял проверку через KVRT и смог удалить вирусы, но теперь запускается task.vbs

 

Изменено пользователем vlanzzy
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Здравствуйте.


 

Цитата

MediaGet

VideoAdsBlocker

Кнопки сервисов Яндекса на панели задач

удалите через Панель управления - Программы и компоненты

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (ФайлВыполнить скрипт – вставить текст скрипта из окна Код) 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\Users\pipip\AppData\Local\Programs\fe9c5c5e8876\249f118441.msi','');
 QuarantineFile('C:\Users\pipip\Documents\task.vbs','');
 QuarantineFile('C:\Program Files (x86)\opwZtffbCbhKC\VILsuen.dll','');
 DeleteFile('C:\Program Files (x86)\opwZtffbCbhKC\VILsuen.dll','64');
 DeleteFile('C:\Users\pipip\Documents\task.vbs','64');
 DeleteSchedulerTask('ChromiumModeUpdate');
 DeleteSchedulerTask('bXErStfEzutFhpOGmyp2');
 DeleteFile('C:\Users\pipip\AppData\Local\Programs\fe9c5c5e8876\249f118441.msi','64');
 DeleteSchedulerTask('folkx-S-1-5-21-4231812674-3737644337-3407938771-1001');
 DeleteSchedulerTask('ICTorrentUpdaterV1_t1717331170902');
 DeleteSchedulerTask('ICTorrentUpdaterV2_t1717331172968');
 DeleteSchedulerTask('MediaGetProUpdaterV5_t1717331166812');
 DeleteSchedulerTask('MediaGetProUpdaterV6_t1717331168864');
 DeleteSchedulerTask('Meta\Messenger-SL-Helper-S-1-5-21-4231812674-3737644337-3407938771-1001');
 DeleteSchedulerTask('MicrosoftEdge');
 DeleteSchedulerTask('Windows');
 DeleteFile('C:\Users\pipip\mediaget2\mediaget.exe','32');
 DeleteFile('C:\Users\pipip\mediaget2\mediaget_crashpad_handler.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ 

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Мала
      Не могу понять, что за вредоносное ПО
      Автор Мала
      После установки пиратского ПО (google sketch up) нанятым «помощником» сначала скорость интернета просела до двух мегабит в секунду на пару дней. Сканирование компа kaspersky internet security угроз не обнаружило. 
      Через еще пару дней нечто заблокировало браузер и возможность скачивания. Интернет был, но страницы гугл хлома не загружались. Клик по диагностике сети выдавал «удаленное устройство или ресурс не принимает подключение». При этом десктопный востап обновлялся. Но посланную через него антивир утилиту скачать не удавалось.
      Следом поступил звонок с номера «из Молдовы», который я брать не стала. и поняла, что видимо щас «сотрудники фсб» будут взламывать мои госуслуги. Похоже, что это было нечто, что скачало с компа все данные и логины пароли. 
      Нанятый лечитель вирусов с youdo удаленно помог снять странные установленные каким-то патчем ограничения с браузера и почистил шесть каких-то вирусов разными утилитами.
      В финале я в безопасном режиме еще раз проверила утилитой cureit др веба. И он нашел один какой-то файл и удалил. 
       
      4 дня всё поработало бесперебойно. Сегодня снова появился симптом про браузер. То есть нечто управляющее браузером все еще сидит на компе.  Пирасткое ПО правда так и осталось не снесённым. Но есть ощущение что снос ПО не поможет и надо что-то хитрее предпринять. 
       
      Да, впн стоял и исправно без странных симптомов работал более полутора лет без обновлений. Приложения hiddify, сервер от papervpn. 

      Я очень неопытный женщина-юзер. Помогите, пожалуйста, понять что можно сделать. 
       
    • Кристина1983
      По электронной почте прислали вредоносный файл
      Автор Кристина1983
      Здравствуйте! Вчера по электронной почте пришел вредоносный файл, якобы Накладная.pdf, но файл был не PDF, просто маскировался. Письмо из почты удалила, при попытке почистить папку удаленные, через несколько секунд это удаленное письмо в удаленных восстанавливалось (почтовый клиент Thunderbird). Касперским проверила лог прилагаю, но в почтовом клиенте опять в удаленных было это письмо. Снова запустила утилиту Касперского с полной проверкой. Было проведено лечение с перезагрузкой.
      Прошу проверить остались ли вредоносные следы в системе? 
       
      Логи Kaspersky Virus Removal Tool Reports.rar
      Логи AutoLogger, после того как отработал Kaspersky Virus Removal Tool
      CollectionLog-2025.02.06-15.12.zip
    • Kedri
      [РЕШЕНО] Заражение HEUR:Trojan.Win64.Reflo.pef и MEM:Trojan.Win32.SEPEH.gen
      Автор Kedri
      Добрый день.
       
      Kaspersky обнаружил HEUR:Trojan.Win64.Reflo.pef и MEM:Trojan.Win32.SEPEH.gen в ходе сканирования. При попытке излечить вылетает синий экран смерти, при попытке произвести полное или выборочное сканирование - резкое торможение, а затем почернение рабочего стола (пропадают панель управления, все значки и обои).
      CollectionLog-2025.01.21-12.48.zip
    • KL FC Bot
      Вредоносный код в поддельных репозиториях в Github | Блог Касперского
      Автор KL FC Bot
      Можете представить себе мир, в котором каждый раз, прежде чем куда-либо поехать, вам нужно придумывать колесо и собирать вручную велосипед? Мы — нет. Зачем что-то придумывать, если оно уже давно успешно существует? Точно такая же логика работает и в программировании: разработчикам ежедневно приходится сталкиваться с типовыми задачами и вместо придумывания колес и велосипедов собственного производства (которые могут быть еще и некачественными), они просто берут уже готовый велосипед код из открытого репозитория в Github.
      Доступно такое решение абсолютно для всех, в том числе и для злоумышленников, которые используют бесплатный шикарный самый лучший в мире открытый код в качестве приманки. Подтверждений этому тезису много и вот свежайшее: наши эксперты обнаружили активную вредоносную кампанию GitVenom, направленную на пользователей GitHub.
      Что такое GitVenom
      Так мы назвали вредоносную кампанию, в ходе которой неизвестными были созданы более 200 репозиториев, содержащие фейковые проекты с вредоносным кодом: боты для Telegram, инструменты для взлома игры Valorant, автоматизации действий в Instagram и управления кошельками Bitcoin. На первый взгляд все репозитории выглядят легитимно, особенно выделяется хорошо оформленный файл-гайд по работе с кодом README.MD с подробными инструкциями на нескольких языках мира.
      Злоумышленники использовали искусственный интеллект для написания подробнейших инструкций на разных языках
       
      View the full article
    • Maxim228
      [РЕШЕНО] Powershell и Yandex Browser пытаются запустить переход по вредоносной ссылке
      Автор Maxim228
      Проблема в следующем: Powershell иногда запускается и сразу закрывается, после чего антивирус публикует уведомление, что был заблокирован переход по ссылке. 
      Много раз запускал проверку на вирусы, никакие угрозы найти не удалось.
      Тест сообщения антивируса:
      Помогите устранить проблему пожалуйста(когда писал это сообщение появилось еще 2 уведомления о блокировке).
      Дополнение: когда я писал это сообщение касперский жаловался на переход по ссылке, но уже через браузер.
       
      отчет.txt
×
×
  • Создать...