Перейти к содержанию
Правила раздела

Поймал вирус при распаковке архива

PoulVouker

Автор PoulVouker
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

PoulVouker

PoulVouker

Опубликовано
Опубликовано

Здравствуйте, поймал вирус. Открыл архив, что-то скачалось и рабочий стол заполонили амиго, вконтакте, однокласники и т.п. Касперский вроде что то вылечил, но я не уверен что это все. 

CollectionLog-2016.01.22-18.27.zip

thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\ZmexEa\JsOzviJfC5.bat','');
 QuarantineFile('C:\ProgramData\nEztDuU\qwrgipx0.bat','');
 DeleteFile('C:\ProgramData\nEztDuU\qwrgipx0.bat','32');
 DeleteFile('C:\ProgramData\ZmexEa\JsOzviJfC5.bat','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

move.gif

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

PoulVouker

PoulVouker

Опубликовано
  • Автор
Опубликовано

Вот, все сделано. 

 

KLAN-3643060180[/size]

Hello,[/size]

 

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.[/size]

 

JsOzviJfC5.bat,[/size]

qwrgipx0.bat[/size]

 

A set of unknown files has been received. They will be sent to the Virus Lab.[/size]

 

Best Regards, Kaspersky Lab[/size]

 

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700  [/size]http://www.kaspersky.com [/size]http://www.viruslist.com"[/size]

 

 

------------------------------[/size]------------------------------[/size]--------------------[/size]

Sent: 1/22/2016 1:23:56 PM[/size]

To: [/size]newvirus@kaspersky.com

Subject: c:\quarantine.zip[/size]

 

Сообщение от модератора "Mark D. Pearlstone"
Адрес почты пользователя удалён.

ClearLNK-22.01.2016_21-29.log

CollectionLog-2016.01.22-21.33.zip

thyrex

thyrex

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


 

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.
thyrex

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKU\S-1-5-21-832917887-3123553090-670968996-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://services.eshield.com/general/newhometab.php?hometab=home&partner=11433&guid={94029E58-B3F5-4BA0-AC21-254ABBEBC623}&i=
SearchScopes: HKU\S-1-5-21-832917887-3123553090-670968996-1000 -> {F5E5CCA9-DFFB-4872-A53E-ED0CA1B85730} URL = hxxp://search.eshield.com/serp?guid={94029E58-B3F5-4BA0-AC21-254ABBEBC623}&action=default_search&k={searchTerms}
Toolbar: HKU\S-1-5-21-832917887-3123553090-670968996-1000 -> No Name - {EF2301CD-B0E8-436C-817A-F41BB2158A25} -  No File
FF Extension: The Safe Surfing - C:\Users\Pavel\AppData\Roaming\Mozilla\Firefox\Profiles\pfpxa593.default\extensions\{3B4DE07A-DE43-4DBC-873F-05835FF67DCE} [2015-12-31] [not signed]
OPR Extension: (The Safe Surfing) - C:\Users\Pavel\AppData\Roaming\Opera Software\Opera Stable\Extensions\kcknbenjnkkjknphmnidanjifbgphjke [2015-12-31]
2016-01-22 17:16 - 2016-01-22 17:16 - 00000000 ____D C:\Users\Все пользователи\UpService
2016-01-22 17:16 - 2016-01-22 17:16 - 00000000 ____D C:\ProgramData\UpService
2016-01-22 17:15 - 2016-01-22 21:15 - 00000000 ____D C:\Users\Все пользователи\ZmexEa
2016-01-22 17:15 - 2016-01-22 21:15 - 00000000 ____D C:\Users\Все пользователи\nEztDuU
2016-01-22 17:15 - 2016-01-22 21:15 - 00000000 ____D C:\ProgramData\ZmexEa
2016-01-22 17:15 - 2016-01-22 21:15 - 00000000 ____D C:\ProgramData\nEztDuU
2016-01-22 17:15 - 2016-01-22 17:15 - 00000000 ____D C:\Users\Все пользователи\tTaetd
2016-01-22 17:15 - 2016-01-22 17:15 - 00000000 ____D C:\ProgramData\tTaetd
2015-12-31 14:24 - 2015-12-31 14:24 - 00000000 ____D C:\Users\Pavel\AppData\Local\Kometa
2015-12-31 14:24 - 2015-12-31 14:24 - 00000000 ____D C:\Users\Pavel\AppData\Local\Crossbrowse
2015-12-19 14:01 - 2015-12-19 14:09 - 00000000 ____D C:\Program Files (x86)\UCBrowser
2015-12-19 14:01 - 2015-12-19 14:07 - 00232104 _____ C:\Windows\system32\Drivers\DMProtectEx64.sys
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.
PoulVouker

PoulVouker

Опубликовано
  • Автор
Опубликовано

Что с проблемой?

Вроде как все убралось.. Спасибо. 

Sandor

Sandor

Опубликовано
Опубликовано

В завершение:

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
PoulVouker

PoulVouker

Опубликовано
  • Автор
Опубликовано

 

В завершение:

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Сделано. 

SecurityCheck.txt

Sandor

Sandor

Опубликовано
Опубликовано
------------------------------- [ Windows ] -------------------------------

Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^


--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.20 (32-разрядная) v.5.20.0 Внимание! Скачать обновления

--------------------------------- [ IM ] ----------------------------------

Skype™ 7.14 v.7.14.106 Внимание! Скачать обновления

^Необязательное обновление.^

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.4.5.41372 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 71 v.8.0.710.15 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u72-windows-i586.exe)^


------------------------------- [ Browser ] -------------------------------

Mozilla Firefox 43.0.3 (x86 ru) v.43.0.3 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Firefox!^

 

 



Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • eturrno
      MEM:Trojan.Win32.SEPEH.gen нужна помощь в удалении данного трояна
      Автор eturrno
      была попытка удалить через KVRT(Kaspersky Virus Removal Tool), он троян не нашел. После с помощью uvs latest.zip сделала файл где по идеи должно показываться где он  находиться. хотелось бы чтобы помогли разобраться где зарылся троян и как его удалить, ниже прикреплю его LAPTOP-K5B6FI1P_2026-03-01_17-48-08_v5.0.4v x64.7z
      LAPTOP-K5B6FI1P_2026-03-01_17-48-08_v5.0.4v x64.7z 
      license.txt readme.txt
    • drxon004
      Нужна помощь удалить троян Trojan:Win32/Kepavll!rfn
      Автор drxon004
      Где-то подцепил троян Trojan:Win32/Kepavll!rfn. При запуске постоянно вылетает ошибка autoit C:\Programdata\ReaItekHD\taskhost.exe, еще это видимо какой-то скрипт, ибо он не дает заходить на сайты связанные с антивирусом, даже на этом форуме я сейчас пишу через другое устройство, прогнал через Microsoft defender, он его удалить не смог, в затронутых элементах: C:\Programdata\ReaItekHD\taskhost.exe, C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\SupportSystem->(UTF-16LE), C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck->(UTF-16LE), C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\SupportSystem, C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck, так же не дает запускать в безопасном режиме (закрывает окно, когда запускаю msconfig), даже и не знаю что делать, пробовал и cureit, он тоже не помог
    • Dmitryy120
      Как работает kvrt?
      Автор Dmitryy120
      Допустим я скачал какой то exe файл с какого то подозрительного сайта ( я не запускал его) , и хочу просканировать его на своем ноуте через утилиту KVRT перед запуском , и выбираю эту подозрительную программу, как KVRT ее просканирует , он запустит ее на моем ноутбуке, или как выполняется сканирование ? Просто предположу , допустим это какой то стилер или другое вредоносное ПО, kvrt во время проверки запускает эту программу на моем компьютере , она выполняет свою вредоносную функцию , ворует данные с компьютера или что то еще , kvrt еще обнаруживает и удаляет. По сути программа уже выполнила свод функцию и украла все данные. И может удаляться, это работает по такому сценарию, который я предположил или сканирование проходит по другому ?
    • Владхелп
      Подвисание и замедление ноута
      Автор Владхелп
      Во время работы в школе подключил "грязную флешку", на след день заметил сильный перегрев и замедление ноутбука
      CollectionLog-2026.02.14-22.35.zip
    • Leit
      Вирус майнер, самовосстанавливающийся архив
      Автор Leit
      После сканирование и удаления вирусов с помощью антивируса dr web cureit открывается самовосстанавливающийся архив и после перезагрузки вирусы появляются вновь, я понимаю что это вирус, но не могу понять где и как мне его удалить, помогите пожалуйста. В архиве лог с dr web cureit и логи с FRST, AV block remover даже в безопасном режиме не запускается, пишет отказано в доступе 
×
×
  • Создать...