Перейти к содержанию
Правила раздела

Комплексное заражение вредоносным ПО

unname123

От unname123
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

unname123 Постоялец

unname123

Опубликовано
Опубликовано

Скачал файл с сайта, замаскированного под настоящий. Файл оказался исполняемой программой, установившей при запуске вирусы, шпионские программы, нежелательные программы оптимизаторы и т. д.

Установленный на тот момент в системе антивирус был устаревшим и пропустил данный файл. После запуска вредоносный файл удалился.

 

В результате:

-при запуске ОС выдается сообщение перед окном приветствия с неизвестным содержанием

-далее запускается .bat файл со скриптом для работы вредоносного ПО

-выводится сообщение о том, что не может быть найдена папка My Documents

-в диспетчере задач создаются вредоносные процессы (при завершении они создаются заново)

-ярлык Firefox содежат ссылку для перехода на рекламный сайт

-при попытке удалить нежелательное ПО оно переустанавливается после перезагрузки и т. д.

 

Провел проверку программой KVRT 2015. Она нашла вредоносное ПО и сообщила об его уничтожении, но после перезагрузки проблема осталась.

CollectionLog-2015.10.23-00.32.zip

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.

Распакуйте архив с утилитой в отдельную папку.

Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

 

move.gif

 

Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

Прикрепите этот отчет к своему следующему сообщению.

 


 

 

 



Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.

Прикрепите отчет к своему следующему сообщению.


 

Подробнее читайте в этом руководстве.

 

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.

Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.

Прикрепите отчет к своему следующему сообщению


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
unname123 Постоялец

unname123

Опубликовано
  • Автор
Опубликовано (изменено)

Сканирование завершилось вылетом из программы с ошибкой.

Логи FRST.

Addition.txt

FRST.txt

Изменено пользователем unname123
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 

 

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
File: C:\Documents and Settings\Alex\Local Settings\Application Data\Birds\birds365.exe
Folder: C:\Documents and Settings\Alex\Local Settings\Application Data\Birds
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
Toolbar: HKU\S-1-5-21-1547161642-630328440-1417001333-1003 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
CHR HKLM\...\Chrome\Extension: [bgbgnhmfbcifpkjofoojfplmfkmaiadn] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [bpgangmffjcofiknibcmfjionicohfgj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [nbifdkmdojgmpmopdebnjcobekgdoncn] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [nneajnkjbffgblleaoojgaacokifdkhm] - <no Path\update_url>
CHR HKLM\...\Chrome\Extension: [nonodemgnpfmmhbnkecpjjdkfmaifoni] - C:\Program Files\Adobe Flash Players 10.0\adobeflashplayer-sk.crx <not found>
2015-10-21 06:57 - 2015-10-21 21:32 - 00004648 _____ C:\WINDOWS\system32\Puofkyxma.ini
2015-10-21 06:57 - 2015-10-21 21:32 - 00002360 _____ C:\WINDOWS\system32\PuofkyxmaOff.ini
2015-10-21 06:56 - 2015-10-24 00:32 - 00000326 _____ C:\WINDOWS\Tasks\Mhlonz.job
2015-10-21 06:56 - 2015-10-21 06:56 - 00000000 ____D C:\Documents and Settings\LocalService\Local Settings\Application Data\{D2020D47-707D-4E26-B4D9-739C4F4C2E9A}
2015-10-21 06:56 - 2015-10-21 06:56 - 00000000 ____D C:\Documents and Settings\Alex\Local Settings\Tempfolder
2015-10-19 22:06 - 2015-10-21 22:05 - 00000178 _____ C:\Documents and Settings\All Users\Application Data\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
2015-10-19 22:06 - 2015-10-20 02:44 - 00000004 _____ C:\WINDOWS\system32\029B560A371F4E00AB32838EBC01B9E7
2015-10-19 21:54 - 2015-10-19 21:37 - 00000059 _____ C:\WINDOWS\system32\Drivers\etc\hp.bak
2015-10-19 21:38 - 2015-10-19 21:38 - 00000000 ____D C:\Documents and Settings\All Users\Application Data\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2015-10-19 21:37 - 2015-10-21 16:44 - 00000000 ____D C:\Documents and Settings\Alex\Application Data\Browsers
2015-10-19 21:37 - 2015-10-19 21:37 - 00000000 ____D C:\Documents and Settings\Alex\Application Data\SPI
2009-07-23 15:28 - 2009-07-23 15:28 - 0012927 ____C () C:\Documents and Settings\Alex\Local Settings\Application Data\nypu.vbs
2009-07-23 15:28 - 2009-07-23 15:28 - 0016988 ____C () C:\Documents and Settings\Alex\Local Settings\Application Data\wepa.dll
2009-07-23 15:28 - 2009-07-23 15:28 - 0016495 ____C () C:\Documents and Settings\Alex\Local Settings\Application Data\buby.dll
Task: C:\WINDOWS\Tasks\Mhlonz.job => C:\Program Files\groover211020150539\Zulcioyg.bat
StandardProfile\AuthorizedApplications: [C:\Documents and Settings\Alex\Local Settings\Application Data\Kometa\Application\kometa.exe] => Enabled:Kometa
StandardProfile\AuthorizedApplications: [C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe] => Enabled:Crossbrowse
EmptyTemp:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
 
 
Ссылка на комментарий
Поделиться на другие сайты
unname123 Постоялец

unname123

Опубликовано
  • Автор
Опубликовано (изменено)

После перезагрузки процесс birds365.exe остался в диспетчере задач.

Сейчас, случайно, в списке загрузок браузера обнаружил запись о неудачном скачивании того самого вредоносного файла. Там указано его название и сайт с которого он был загружен. Может ли пригодится как-нибудь данная информация?

Прикрепил новые логи FRST.

Fixlog.txt

Изменено пользователем unname123
Ссылка на комментарий
Поделиться на другие сайты
unname123 Постоялец

unname123

Опубликовано
  • Автор
Опубликовано

Да, удаляем. Процесс birds365.exe появился после заражения вредоносом.

Но это не единственная проблема.

По прежнему осталось окно с неизвестным содержанием и кнопкой OK при старте ОС перед окном приветствия. После нажатия на OK система запускается в обычном режиме.

Также есть подозрения, что кроме birds365.exe в диспетчере задач есть и другие лишние процессы. Например, непонятно от чего rundll32.exe.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Asya
      Возможное заражение трояном
      От Asya
      Здравствуйте, уважаемые консультанты. Появилась необходимость обратиться к вам за советом. Очень надеюсь на вашу помощь. 
      Ситуация следующая:
      На смартфон в телеге было скачано два файла epub (электронные книги) из чата по англо-китайским книжкам. После, через соцсети файлы переброшены на ноутбук. 
      27.09 - скачана первая книга. Проверка Kaspersky Security Cloud дала добро, и файл был открыт. 
      20.10 - скачана вторая книга. Проверка Касперского - окей, но ещё закидываю файл на Virustotal - и вот тут обнаруживается единственное (1/64) срабатывание у китайского Kingsoft - пишет что в файле HTA trojan. Сразу удаляю файл и перепроверяю первую книгу - результат такой же, Kingsoft ругается, остальные антивирусы молчат.
      Другие файлы, из того же чата, скачанные ранее - все целиком чистые, реакт есть только на те два файла.     
      Я бы подумала на ложное срабатывание, но вдруг вспомнила, что:
      15.10 - на мой номер телефона пришло смс с кодом верификации от китайского Wechat (которым не пользуюсь уже 10 лет) и который, естественно, не запрашивала. 
      Плюсом последние несколько дней на одну из почт (моего основного гугл-аккаунта) сыпется нервирующий иностранный спам (раньше такого не было). 

      Ноутбук проверяла своим Kaspersky Security Cloud, KVRT, Dr.Web Cureit - в них всё чисто, ничего не обнаруживается. 
       
      И теперь сомневаюсь, то ли это просто совпадение, то ли мне попался какой-то хитрый китайский вирус, который ещё никто из антивирусов не видит. И где его теперь искать: на компьютере или на смартфоне (и вот с последним я вообще не знаю, что делать)? Не очень хочется думать, что какие-то китайцы таскают мои данные. 
      Буду очень благодарна, если сможете помочь и подсказать, есть ли следы вирусной активности. Заранее спасибо за уделённое время. 
      CollectionLog-2024.11.02-23.04.zip
    • yare4kaa
      Вирусные заражения системы, торможения
      От yare4kaa
      Здравствуйте, был в рейсе и не чистил пк от вирусов, заразился много фигней, нужна помощь специалистов.
      Логи ниже CollectionLog-2024.11.25-18.32.zip
    • Dwight
      Возможное заражение компьютера
      От Dwight
      Думаю заразил Пк вирусами, так-как при банальном открытии браузера вентиляторы начинают активно набирать обороты, а работать в программах для монтажа стало просто невозможно, но все проблемы меня покидают после открытия диспетчера задач
       
      CollectionLog-2024.10.24-13.20.zip
    • Alexandr_XML
      [РЕШЕНО] Активное заражение Win64.SEPEH
      От Alexandr_XML
      Добрый день. Сегодня с утра запустил полную проверку системы и обнаружил Trojan.Win32.SEPEH.gen и никак не могу удалить. После попытки удаления выбрасывает в BSOD и система перезагружается. Судя по отчёту Касперского, этот вирус заразил более 84 программ.
      CollectionLog-2024.11.12-07.12.zip
    • Александр Лаптев
      [РЕШЕНО] Заражение трояном MEM:Trojan.Win32.SEPEH.gen
      От Александр Лаптев
      Добрый день ноутбук заразился трояном
      После попытки полечить с помощью kaspersky и последующей перезагрузкой троян появился снова

      Читал темы на форуме, сразу приложу отчетыAddition.txtFRST.txt
      сделанные с помощью программы Farbar Recovery Scan Tool
×
×
  • Создать...