Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Начали сами устанавливаться подозрительные программы

Groznyi313

Автор Groznyi313
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Groznyi313 Постоялец

Groznyi313

Опубликовано
Опубликовано

Здравствуйте, в общем такая проблема, лазил по просторам интернета и попал на подозрительный сайт ну и разумеется сразу закрыл страничку но успел скачать какой то файл, сразу полез удалять но не тут то было у меня уже куча всяких программ установилось такие как (Амиго, Опера, ВКонтакте и Одноклассники и всякие программы Mail) . В общем все это удалил почистил программкой CCleaner и перезагрузил компьютер, как только компьютер загрузился начали опять вылезать установщики и устанавливаться программы антивирусник орет а толку от него ноль и файл не могу найти откуда все это добро устанавливаться. 

 

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Admin\AppData\Roaming\ATI\Ctfhost\ctfhost.exe','');
 QuarantineFile('C:\Users\Admin\AppData\Roaming\ASPackage\ASPackage.exe','');
 TerminateProcessByName('c:\programdata\tmp0x0x\protectwindowsmanager.exe');
 TerminateProcessByName('c:\users\admin\appdata\local\gmsd_ru_005010197\upgmsd_ru_005010197.exe');
 TerminateProcessByName('c:\program files (x86)\03000200-1451919194-0500-0006-000700080009\vnspb785.tmp');
 QuarantineFile('c:\program files (x86)\03000200-1451919194-0500-0006-000700080009\vnspb785.tmp','');
 QuarantineFile('c:\users\admin\appdata\local\gmsd_ru_005010197\upgmsd_ru_005010197.exe','');
 QuarantineFile('c:\programdata\tmp0x0x\protectwindowsmanager.exe','');
 TerminateProcessByName('c:\program files (x86)\03000200-1451347827-0500-0006-000700080009\knsecf7a.tmp');
 TerminateProcessByName('c:\program files (x86)\03000200-1451919194-0500-0006-000700080009\knsfd025.tmpfs');
 QuarantineFile('c:\program files (x86)\03000200-1451919194-0500-0006-000700080009\knsfd025.tmpfs','');
 QuarantineFile('c:\program files (x86)\03000200-1451347827-0500-0006-000700080009\knsecf7a.tmp','');
 TerminateProcessByName('c:\program files (x86)\gmsd_ru_005010197\gmsd_ru_005010197.exe');
 QuarantineFile('c:\program files (x86)\gmsd_ru_005010197\gmsd_ru_005010197.exe','');
 TerminateProcessByName('c:\users\admin\appdata\local\amigo\application\44.4.2403.3\amigo_cr.exe');
 DeleteFile('c:\users\admin\appdata\local\amigo\application\44.4.2403.3\amigo_cr.exe','32');
 DeleteFile('c:\program files (x86)\gmsd_ru_005010197\gmsd_ru_005010197.exe','32');
 DeleteFile('c:\program files (x86)\03000200-1451347827-0500-0006-000700080009\knsecf7a.tmp','32');
 DeleteFile('c:\program files (x86)\03000200-1451919194-0500-0006-000700080009\knsfd025.tmpfs','32');
 DeleteFile('c:\programdata\tmp0x0x\protectwindowsmanager.exe','32');
 DeleteFile('c:\users\admin\appdata\local\gmsd_ru_005010197\upgmsd_ru_005010197.exe','32');
 DeleteFile('c:\program files (x86)\03000200-1451919194-0500-0006-000700080009\vnspb785.tmp','32');
 DeleteFile('C:\Users\Admin\AppData\Local\MediaGet2\mediaget.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MediaGet2');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','Update');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','upgmsd_ru_005010197.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_005010197');
 DeleteFile('C:\Users\Admin\AppData\Roaming\ASPackage\ASPackage.exe','32');
 DeleteFile('C:\Users\Admin\AppData\Roaming\ATI\Ctfhost\ctfhost.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\CTF Host','64');
 DeleteFile('C:\Users\Admin\appdata\roaming\aspackage\uninstall.exe','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

 

move.gif

 

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты
Groznyi313 Постоялец

Groznyi313

Опубликовано
  • Автор
Опубликовано

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

ctfhost.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.aar

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

ASPackage.exe - not-a-virus:AdWare.Win32.Vopak.aujz
vnspb785.tmp - not-a-virus:AdWare.Win32.Vopak.auka
gmsd_ru_005010197.exe - not-a-virus:AdWare.Win32.Eorezo.beay

Это файлы от рекламной системы. Детектирование файлов будет добавлено в следующее обновление баз.

upgmsd_ru_005010197.exe,
protectwindowsmanager.exe,
knsfd025.tmpfs,
knsecf7a.tmp

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию

 

 

 [KLAN-3550980842]

ClearLNK-04.01.2016_22-11.log

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


 

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • safety
      Статистика обращений на форум по шифровальщикам с начала 2022 года
      Автор safety
      Статистика обращений на форум по шифровальщикам с начала 2022 года на 15 декабря 2024 года.
       
      15 наиболее активных типов шифровальщика по итогам каждого года.
       

       
      15 наиболее активных шифровальщиков с начала 2022 года по 15 декабря 2024 года
       

    • KL FC Bot
      Что такое киберустойчивость и с чего начать ее внедрение
      Автор KL FC Bot
      Атаки на информационную инфраструктуру компаний (в первую очередь с использованием ransomware) и прочие киберинциденты все чаще можно найти на вершине хит-парада рисков для непрерывности бизнеса. Но главное, они прочно захватывают внимание советов директоров — менеджмент перестал задавать вопрос «могут ли нас атаковать» и перешел к обсуждению вопроса «что мы будем делать, если нас атакуют». В результате многие компании пытаются выработать киберустойчивость.
      Всемирный экономический форум (WEF) определяет киберустойчивость как способность организации минимизировать влияние существенных киберинцидентов на ее основные бизнес-цели и задачи. Американский NIST уточняет: киберустойчивость — способность предвидеть, выдерживать, восстанавливаться и адаптироваться к неблагоприятным условиям, атакам или компрометациям ИТ-систем.
      Все согласны, что киберустойчивость нужна современной компании, но практическая реализация стратегии киберустойчивости сталкивается с многочисленными трудностями. По результатам опроса 3100 руководителей ИТ и ИБ, проведенного компанией Cohesity, 98% компаний декларируют, что должны восстанавливаться после кибератаки в течение 24 часов, но реально восстановить работу в этот срок могут лишь 2%. А 80% бизнесов на восстановление потребуется от четырех дней до трех недель.
      Семь основ киберустойчивости
      В своем «компасе киберустойчивости» консультанты WEF выделяют следующие компоненты стратегии:
      Leadership (лидерство): интеграция киберустойчивости в стратегические цели компании; отправка политических сигналов командам о важности киберустойчивости; принятие высокоуровневого решения о том, насколько компания терпима к основным киберрискам; наделение полномочиями тех, кто будет разрабатывать, а при плохом сценарии и воплощать сценарии быстрого реагирования. Governance, risk & compliance (управление, риски и соответствие): определение профиля рисков; назначение явных владельцев конкретных рисков и определение ответственности в случае их наступления; планирование и внедрение мер снижения и смягчения рисков; соблюдение регуляторных требований. People and culture (люди и культура): развитие киберкомпетенций; повышение осведомленности в сфере ИБ с учетом круга обязанностей каждого сотрудника; наем сотрудников с нужным набором ИБ-навыков; создание безопасной среды для всех сотрудников, в которой они смелее сообщают об инцидентах и ошибках. Business processes (бизнес-процессы): распределение ИТ-сервисов по уровням их важности для непрерывного ведения бизнеса; подготовка к наихудшим сценариям и внедрение адаптивности. Сюда входит детальная проработка того, как будут работать критически важные процессы при масштабных ИТ-сбоях. Technical systems (технические системы) — для каждой системы вырабатываются и регулярно пересматриваются меры по улучшению ее защиты. Такие, например, как использование максимально безопасных настроек (hardnening), подготовка запасных мощностей (redundancy), микросегментация сети, многофакторная аутентификация (MFA), создание защищенных от удаления резервных копий данных, внедрение управления журналами. Порядок внедрения защитных мер и выделяемые для этого ресурсы должны соответствовать важности системы.
      Чтобы своевременно и эффективно реагировать на угрозы, следует обязательно внедрять системы, сочетающие детальный мониторинг инфраструктуры с полуавтоматическим реагированием: XDR, комбинация SIEM и SOAR и подобные. Crisis management (кризисное управление): формирование команд реагирования; совершенствование планов восстановления; определение, кто будет принимать решения в кризисной ситуации; подготовка запасных технических средств (например, каналов общения, если корпоративная почта и мессенджеры недоступны); разработка стратегий внешней коммуникации. Ecosystem engagement (взаимодействие в экосистеме): сотрудничество с партнерами по цепочке поставок, регулирующими органами и конкурентами для повышения общей устойчивости.  
      View the full article
    • Snak3EyeS92
      Подозрительная сетевая активность
      Автор Snak3EyeS92
      Некоторое время назад стал наблюдать исходящее сетевое соединение от проводника на мониторе сетевой активности Kaspersky Internet Security. Раньше подобного не замечал. Появляется оно после перезагрузки системы. Проверял внешние IP, на которые идет соединение в Virus Total. Выдавалось вот такое: AS 8075 MICROSOFT-CORP-MSN-AS-BLOCK. К одному из этих IP были комментарии "Malware" и "Bot". Естественно возникли подозрения на вирус или взлом. Проверял компьютер как KIS, так и другими антивирусами, отправлял логи в поддержку Касперского и в соседний форум по помощи с удалением вирусов. В итоге почистил систему от мусора, а подозрений на заражение не было обнаружено. Но проблема остается. Посоветовали обратиться сюда. Остались опасения, что это может быть или глубоко спрятавшийся вирус/шпион/малварь/бот, или следы взлома. Хочу обновиться до Windows 10 с полным удалением данных старой системы, но сперва хочется понять что это вообще за соединение, и чем вызвано такое поведение проводника, если это не вирус. Ну и убедиться, что могу безопасно сохранить некоторые нужные данные на внешние носители или хотя бы в облако перед обновлением системы.
      Ссылка на предыдущую тему:
       
    • KL FC Bot
      57 подозрительных расширений Chrome с миллионами установок | Блог Касперского
      Автор KL FC Bot
      В официальном магазине Chrome Web Store исследователи кибербезопасности обнаружили 57 подозрительных расширений более чем с 6 000 000 пользователей. Эти плагины привлекли внимание исследователей из-за того, что разрешения, которые они запрашивают, не соответствуют заявленным функциям.
      К тому же эти расширения скрыты от индексирования — они не отображаются в результатах поиска в Chrome Web Store и их не находят поисковые системы. Для установки такого плагина необходимо иметь прямую ссылку на него в магазине Chrome. В нашем посте расскажем подробно, почему расширения могут быть опасным инструментом в руках киберпреступников, в чем состоит угроза непосредственно от недавно обнаруженных подозрительных плагинов и как не стать жертвой их создателей.
      Чем опасны расширения и как удобство ставит под угрозу безопасность
      Мы уже не раз рассказывали о том, почему к установке браузерных расширений не стоит относиться легкомысленно. Плагины для браузеров часто помогают пользователям ускорить рутинные задачи — например, перевод информации на посещаемых сайтах или же проверку грамотности написанного текста. Однако за сэкономленные минуты нередко приходится платить собственной приватностью и безопасностью.
      Дело в том, что для эффективной работы расширениям, как правило, необходимо иметь широкий доступ ко всему, что делает пользователь в браузере. Например, даже «Google Переводчик» для своей работы просит доступ к «Просмотру и изменению данных на всех сайтах» — то есть он может не только наблюдать за всем, что делает пользователь в Интернете, но и изменять любую отображаемую на странице информацию. Например, в случае переводчика, подставлять переведенный текст вместо оригинального. А теперь представьте, что может сделать вредоносное расширение с таким уровнем доступа!
      Проблема еще и в том, что большинство пользователей не особенно задумывается о потенциальной опасности плагинов. Если исполняемых файлов из непроверенных источников многие уже привыкли опасаться, то от браузерных расширений, да к тому же загруженных из официального магазина, обычно никто не ждет подвоха.
       
      View the full article
    • MiStr
      Результаты участников программы «Амбассадоры бренда Kaspersky»
      Автор MiStr
      Результаты участников программы:
       
      2018 год
       
      2019 год
       
      2020 год
       
      2021 год

      2022 год

      2023 год

      2024 год

      2025 год
×
×
  • Создать...