Перейти к содержанию
Правила раздела

Поймал вирус при распаковке архива

PoulVouker

От PoulVouker
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

PoulVouker Новичок

PoulVouker

Опубликовано
Опубликовано

Здравствуйте, поймал вирус. Открыл архив, что-то скачалось и рабочий стол заполонили амиго, вконтакте, однокласники и т.п. Касперский вроде что то вылечил, но я не уверен что это все. 

CollectionLog-2016.01.22-18.27.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\ZmexEa\JsOzviJfC5.bat','');
 QuarantineFile('C:\ProgramData\nEztDuU\qwrgipx0.bat','');
 DeleteFile('C:\ProgramData\nEztDuU\qwrgipx0.bat','32');
 DeleteFile('C:\ProgramData\ZmexEa\JsOzviJfC5.bat','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

move.gif

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты
PoulVouker Новичок

PoulVouker

Опубликовано
  • Автор
Опубликовано

Вот, все сделано. 

 

KLAN-3643060180[/size]

Hello,[/size]

 

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.[/size]

 

JsOzviJfC5.bat,[/size]

qwrgipx0.bat[/size]

 

A set of unknown files has been received. They will be sent to the Virus Lab.[/size]

 

Best Regards, Kaspersky Lab[/size]

 

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700  [/size]http://www.kaspersky.com [/size]http://www.viruslist.com"[/size]

 

 

------------------------------[/size]------------------------------[/size]--------------------[/size]

Sent: 1/22/2016 1:23:56 PM[/size]

To: [/size]newvirus@kaspersky.com

Subject: c:\quarantine.zip[/size]

 

Сообщение от модератора "Mark D. Pearlstone"
Адрес почты пользователя удалён.

ClearLNK-22.01.2016_21-29.log

CollectionLog-2016.01.22-21.33.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


 

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKU\S-1-5-21-832917887-3123553090-670968996-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://services.eshield.com/general/newhometab.php?hometab=home&partner=11433&guid={94029E58-B3F5-4BA0-AC21-254ABBEBC623}&i=
SearchScopes: HKU\S-1-5-21-832917887-3123553090-670968996-1000 -> {F5E5CCA9-DFFB-4872-A53E-ED0CA1B85730} URL = hxxp://search.eshield.com/serp?guid={94029E58-B3F5-4BA0-AC21-254ABBEBC623}&action=default_search&k={searchTerms}
Toolbar: HKU\S-1-5-21-832917887-3123553090-670968996-1000 -> No Name - {EF2301CD-B0E8-436C-817A-F41BB2158A25} -  No File
FF Extension: The Safe Surfing - C:\Users\Pavel\AppData\Roaming\Mozilla\Firefox\Profiles\pfpxa593.default\extensions\{3B4DE07A-DE43-4DBC-873F-05835FF67DCE} [2015-12-31] [not signed]
OPR Extension: (The Safe Surfing) - C:\Users\Pavel\AppData\Roaming\Opera Software\Opera Stable\Extensions\kcknbenjnkkjknphmnidanjifbgphjke [2015-12-31]
2016-01-22 17:16 - 2016-01-22 17:16 - 00000000 ____D C:\Users\Все пользователи\UpService
2016-01-22 17:16 - 2016-01-22 17:16 - 00000000 ____D C:\ProgramData\UpService
2016-01-22 17:15 - 2016-01-22 21:15 - 00000000 ____D C:\Users\Все пользователи\ZmexEa
2016-01-22 17:15 - 2016-01-22 21:15 - 00000000 ____D C:\Users\Все пользователи\nEztDuU
2016-01-22 17:15 - 2016-01-22 21:15 - 00000000 ____D C:\ProgramData\ZmexEa
2016-01-22 17:15 - 2016-01-22 21:15 - 00000000 ____D C:\ProgramData\nEztDuU
2016-01-22 17:15 - 2016-01-22 17:15 - 00000000 ____D C:\Users\Все пользователи\tTaetd
2016-01-22 17:15 - 2016-01-22 17:15 - 00000000 ____D C:\ProgramData\tTaetd
2015-12-31 14:24 - 2015-12-31 14:24 - 00000000 ____D C:\Users\Pavel\AppData\Local\Kometa
2015-12-31 14:24 - 2015-12-31 14:24 - 00000000 ____D C:\Users\Pavel\AppData\Local\Crossbrowse
2015-12-19 14:01 - 2015-12-19 14:09 - 00000000 ____D C:\Program Files (x86)\UCBrowser
2015-12-19 14:01 - 2015-12-19 14:07 - 00232104 _____ C:\Windows\system32\Drivers\DMProtectEx64.sys
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

В завершение:

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты
PoulVouker Новичок

PoulVouker

Опубликовано
  • Автор
Опубликовано

 

В завершение:

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Сделано. 

SecurityCheck.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
------------------------------- [ Windows ] -------------------------------

Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^


--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.20 (32-разрядная) v.5.20.0 Внимание! Скачать обновления

--------------------------------- [ IM ] ----------------------------------

Skype™ 7.14 v.7.14.106 Внимание! Скачать обновления

^Необязательное обновление.^

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.4.5.41372 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 71 v.8.0.710.15 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u72-windows-i586.exe)^


------------------------------- [ Browser ] -------------------------------

Mozilla Firefox 43.0.3 (x86 ru) v.43.0.3 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Firefox!^

 

 



Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Evgen001
      Поймал вирусы, переименовались службы
      От Evgen001
      Здравствуйте! С месяц назад качал ворд и поймал вирусы, через касперского вроде как удалил все, сегодня решил обновить виндовс, зашел, а службы все переименованы. UsoSvc_bkp, wuauserv_bkp стали вот в таком формате. Прикрепляю логи
      CollectionLog-2025.01.08-01.01.zip
    • Gagik
      Поймал вирус
      От Gagik
      Поймал вирус не знаю из за чего и ни чем не определяется почти,вроде как dwm процесс называется,при открытии диспетчера задач,не отображается и нагрузка сразу спадает,в простое нагревает процессор до 90 градусов
    • Pavel Morozov
      Поймал вирус шифратор Black Bit
      От Pavel Morozov
      На протяжении некоторого времени, мой компьютер находился во включенном состоянии. Ранее я баловался с удаленным доступом к компьютеру через удаленный рабочий стол. Сегодня вывел компьютер из спящего режима и увидел на рабочем столе изображение с надписью "BLACK BIT и т.д", изображение с полным текстом в архиве, также я написал сообщение на указанный почтовый адрес изображение с ответом также есть в архиве. По инструкции в архив были добавлены зашифрованные файлы и их оригиналы, а также файлы которые создал вирус, это два файла "Cpriv.BlackBit", "Cpriv2.BlackBit", "info.hta" и "Restore-My-Files.txt". Также в инструкции было написан про "Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool" данная программа не запускается от слова совсем не в обычном режиме не в режиме администратора.
      файлы.rar
    • r_skripnikov
      Поймал вирус майнер RealtekHD\taskhost.exe (taskhostw.exe)
      От r_skripnikov
      Словил вирусняк не понятно с какого конретно установленного софта. Ясно знаю что словил вчера. Всё по стандарту — диспетчер закрывается, антивирус любой который пытался скачать не качается (закрывается браузер). В безопасном режиме всех файлов которые находил Dr.Web Cureit нет. Пробовал зачищать вручную с помощью CMD, всё возвращается. В автозагрузке процесс RealtekHD который хранится в ProgramData и два файла которые друг друга поднимают taskhost.exe и taskhostw.exe. У самого не получилось — прошу помощи
    • Ммм
      Поймал вирус майнер RealtekHD\taskhost.exe (taskhostw.exe)
      От Ммм
      Блин бро помоги я захожу а меня сразу выкидывает из проги
      Блин бро помоги я захожу а меня сразу выкидывает из проги
       
      Сообщение от модератора thyrex Перенесено из темы
×
×
  • Создать...