Перейти к содержанию

Поймал вирус при распаковке архива


Рекомендуемые сообщения

Здравствуйте, поймал вирус. Открыл архив, что-то скачалось и рабочий стол заполонили амиго, вконтакте, однокласники и т.п. Касперский вроде что то вылечил, но я не уверен что это все. 

CollectionLog-2016.01.22-18.27.zip

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\ZmexEa\JsOzviJfC5.bat','');
 QuarantineFile('C:\ProgramData\nEztDuU\qwrgipx0.bat','');
 DeleteFile('C:\ProgramData\nEztDuU\qwrgipx0.bat','32');
 DeleteFile('C:\ProgramData\ZmexEa\JsOzviJfC5.bat','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

move.gif

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты

Вот, все сделано. 

 

KLAN-3643060180[/size]

Hello,[/size]

 

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.[/size]

 

JsOzviJfC5.bat,[/size]

qwrgipx0.bat[/size]

 

A set of unknown files has been received. They will be sent to the Virus Lab.[/size]

 

Best Regards, Kaspersky Lab[/size]

 

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700  [/size]http://www.kaspersky.com [/size]http://www.viruslist.com"[/size]

 

 

------------------------------[/size]------------------------------[/size]--------------------[/size]

Sent: 1/22/2016 1:23:56 PM[/size]

To: [/size]newvirus@kaspersky.com

Subject: c:\quarantine.zip[/size]

 

Сообщение от модератора "Mark D. Pearlstone"
Адрес почты пользователя удалён.

ClearLNK-22.01.2016_21-29.log

CollectionLog-2016.01.22-21.33.zip

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


 

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.
Ссылка на комментарий
Поделиться на другие сайты

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKU\S-1-5-21-832917887-3123553090-670968996-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://services.eshield.com/general/newhometab.php?hometab=home&partner=11433&guid={94029E58-B3F5-4BA0-AC21-254ABBEBC623}&i=
SearchScopes: HKU\S-1-5-21-832917887-3123553090-670968996-1000 -> {F5E5CCA9-DFFB-4872-A53E-ED0CA1B85730} URL = hxxp://search.eshield.com/serp?guid={94029E58-B3F5-4BA0-AC21-254ABBEBC623}&action=default_search&k={searchTerms}
Toolbar: HKU\S-1-5-21-832917887-3123553090-670968996-1000 -> No Name - {EF2301CD-B0E8-436C-817A-F41BB2158A25} -  No File
FF Extension: The Safe Surfing - C:\Users\Pavel\AppData\Roaming\Mozilla\Firefox\Profiles\pfpxa593.default\extensions\{3B4DE07A-DE43-4DBC-873F-05835FF67DCE} [2015-12-31] [not signed]
OPR Extension: (The Safe Surfing) - C:\Users\Pavel\AppData\Roaming\Opera Software\Opera Stable\Extensions\kcknbenjnkkjknphmnidanjifbgphjke [2015-12-31]
2016-01-22 17:16 - 2016-01-22 17:16 - 00000000 ____D C:\Users\Все пользователи\UpService
2016-01-22 17:16 - 2016-01-22 17:16 - 00000000 ____D C:\ProgramData\UpService
2016-01-22 17:15 - 2016-01-22 21:15 - 00000000 ____D C:\Users\Все пользователи\ZmexEa
2016-01-22 17:15 - 2016-01-22 21:15 - 00000000 ____D C:\Users\Все пользователи\nEztDuU
2016-01-22 17:15 - 2016-01-22 21:15 - 00000000 ____D C:\ProgramData\ZmexEa
2016-01-22 17:15 - 2016-01-22 21:15 - 00000000 ____D C:\ProgramData\nEztDuU
2016-01-22 17:15 - 2016-01-22 17:15 - 00000000 ____D C:\Users\Все пользователи\tTaetd
2016-01-22 17:15 - 2016-01-22 17:15 - 00000000 ____D C:\ProgramData\tTaetd
2015-12-31 14:24 - 2015-12-31 14:24 - 00000000 ____D C:\Users\Pavel\AppData\Local\Kometa
2015-12-31 14:24 - 2015-12-31 14:24 - 00000000 ____D C:\Users\Pavel\AppData\Local\Crossbrowse
2015-12-19 14:01 - 2015-12-19 14:09 - 00000000 ____D C:\Program Files (x86)\UCBrowser
2015-12-19 14:01 - 2015-12-19 14:07 - 00232104 _____ C:\Windows\system32\Drivers\DMProtectEx64.sys
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты

В завершение:

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты

 

В завершение:

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Сделано. 

SecurityCheck.txt

Ссылка на комментарий
Поделиться на другие сайты

------------------------------- [ Windows ] -------------------------------

Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^


--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.20 (32-разрядная) v.5.20.0 Внимание! Скачать обновления

--------------------------------- [ IM ] ----------------------------------

Skype™ 7.14 v.7.14.106 Внимание! Скачать обновления

^Необязательное обновление.^

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.4.5.41372 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 71 v.8.0.710.15 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u72-windows-i586.exe)^


------------------------------- [ Browser ] -------------------------------

Mozilla Firefox 43.0.3 (x86 ru) v.43.0.3 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Firefox!^

 

 



Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Vklass
      Автор Vklass
      Зашифровали сервер, пропала недельная работа, прощу помощи  логи FRST в архиве 
      Вирус 2.zip
    • alexlaev
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
    • Albert2025
      Автор Albert2025
      Добрый день.
      Подозреваю, что сегодня с флэшки случайно запустил вирус.
      Проверки файлов на флэшке через opentip.kaspersky.com выдает результаты HEUR:Trojan.Win64.Convagent.gen и Trojan.VBS.Starter.pl
      На компьютере при этом в Диспетчере задач есть какие-то неизвестные запущенные процессы.
      Но при этом проверка KVRT и DrWeb CureIt результатов не приносит, ничего не обнаруживается.
      Боюсь, что сидит какой-нибудь шифровальщик или троян, собирающий данные (пароли и т.д.).
        Прошу помочь разобраться, что делает этот вирус и как избавиться от него, во вложении архив с флэшки, пароль virus.
      Также в директории был еще файл *.dat, но он слишком большого размера, при помещении его в архив он превышает допустимый размер.
      P.S. Также приложил логи.
      rootdir1.rar
      CollectionLog-2025.05.20-11.45.zip
    • Ярослав1_1
      Автор Ярослав1_1
      CollectionLog-2025.07.16-13.18.zipВот лог, надеюсь чир сможете помочь
      Вирус удалил Центр обновления Windows, переименовал службу в wuauserv_bkp
       
      Похожая проблема 
      Вирус удалил Центр обновления Windows, переименовал службу в wuauserv_bkp
       
    • Константин174
      Автор Константин174
      Всем Привет проблема поймали вирус [nullhexxx@gmail.com].EAE6F491 есть варианты как избавиться ??????
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...