Перейти к содержанию
Правила раздела
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Поймал вирус при распаковке архива

PoulVouker

Автор PoulVouker
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

PoulVouker

PoulVouker

Опубликовано
Опубликовано

Здравствуйте, поймал вирус. Открыл архив, что-то скачалось и рабочий стол заполонили амиго, вконтакте, однокласники и т.п. Касперский вроде что то вылечил, но я не уверен что это все. 

CollectionLog-2016.01.22-18.27.zip

thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\ZmexEa\JsOzviJfC5.bat','');
 QuarantineFile('C:\ProgramData\nEztDuU\qwrgipx0.bat','');
 DeleteFile('C:\ProgramData\nEztDuU\qwrgipx0.bat','32');
 DeleteFile('C:\ProgramData\ZmexEa\JsOzviJfC5.bat','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

move.gif

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

PoulVouker

PoulVouker

Опубликовано
  • Автор
Опубликовано

Вот, все сделано. 

 

KLAN-3643060180[/size]

Hello,[/size]

 

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.[/size]

 

JsOzviJfC5.bat,[/size]

qwrgipx0.bat[/size]

 

A set of unknown files has been received. They will be sent to the Virus Lab.[/size]

 

Best Regards, Kaspersky Lab[/size]

 

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700  [/size]http://www.kaspersky.com [/size]http://www.viruslist.com"[/size]

 

 

------------------------------[/size]------------------------------[/size]--------------------[/size]

Sent: 1/22/2016 1:23:56 PM[/size]

To: [/size]newvirus@kaspersky.com

Subject: c:\quarantine.zip[/size]

 

Сообщение от модератора "Mark D. Pearlstone"
Адрес почты пользователя удалён.

ClearLNK-22.01.2016_21-29.log

CollectionLog-2016.01.22-21.33.zip

thyrex

thyrex

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


 

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.
thyrex

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKU\S-1-5-21-832917887-3123553090-670968996-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://services.eshield.com/general/newhometab.php?hometab=home&partner=11433&guid={94029E58-B3F5-4BA0-AC21-254ABBEBC623}&i=
SearchScopes: HKU\S-1-5-21-832917887-3123553090-670968996-1000 -> {F5E5CCA9-DFFB-4872-A53E-ED0CA1B85730} URL = hxxp://search.eshield.com/serp?guid={94029E58-B3F5-4BA0-AC21-254ABBEBC623}&action=default_search&k={searchTerms}
Toolbar: HKU\S-1-5-21-832917887-3123553090-670968996-1000 -> No Name - {EF2301CD-B0E8-436C-817A-F41BB2158A25} -  No File
FF Extension: The Safe Surfing - C:\Users\Pavel\AppData\Roaming\Mozilla\Firefox\Profiles\pfpxa593.default\extensions\{3B4DE07A-DE43-4DBC-873F-05835FF67DCE} [2015-12-31] [not signed]
OPR Extension: (The Safe Surfing) - C:\Users\Pavel\AppData\Roaming\Opera Software\Opera Stable\Extensions\kcknbenjnkkjknphmnidanjifbgphjke [2015-12-31]
2016-01-22 17:16 - 2016-01-22 17:16 - 00000000 ____D C:\Users\Все пользователи\UpService
2016-01-22 17:16 - 2016-01-22 17:16 - 00000000 ____D C:\ProgramData\UpService
2016-01-22 17:15 - 2016-01-22 21:15 - 00000000 ____D C:\Users\Все пользователи\ZmexEa
2016-01-22 17:15 - 2016-01-22 21:15 - 00000000 ____D C:\Users\Все пользователи\nEztDuU
2016-01-22 17:15 - 2016-01-22 21:15 - 00000000 ____D C:\ProgramData\ZmexEa
2016-01-22 17:15 - 2016-01-22 21:15 - 00000000 ____D C:\ProgramData\nEztDuU
2016-01-22 17:15 - 2016-01-22 17:15 - 00000000 ____D C:\Users\Все пользователи\tTaetd
2016-01-22 17:15 - 2016-01-22 17:15 - 00000000 ____D C:\ProgramData\tTaetd
2015-12-31 14:24 - 2015-12-31 14:24 - 00000000 ____D C:\Users\Pavel\AppData\Local\Kometa
2015-12-31 14:24 - 2015-12-31 14:24 - 00000000 ____D C:\Users\Pavel\AppData\Local\Crossbrowse
2015-12-19 14:01 - 2015-12-19 14:09 - 00000000 ____D C:\Program Files (x86)\UCBrowser
2015-12-19 14:01 - 2015-12-19 14:07 - 00232104 _____ C:\Windows\system32\Drivers\DMProtectEx64.sys
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.
PoulVouker

PoulVouker

Опубликовано
  • Автор
Опубликовано

Что с проблемой?

Вроде как все убралось.. Спасибо. 

Sandor

Sandor

Опубликовано
Опубликовано

В завершение:

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
PoulVouker

PoulVouker

Опубликовано
  • Автор
Опубликовано

 

В завершение:

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Сделано. 

SecurityCheck.txt

Sandor

Sandor

Опубликовано
Опубликовано
------------------------------- [ Windows ] -------------------------------

Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^


--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.20 (32-разрядная) v.5.20.0 Внимание! Скачать обновления

--------------------------------- [ IM ] ----------------------------------

Skype™ 7.14 v.7.14.106 Внимание! Скачать обновления

^Необязательное обновление.^

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.4.5.41372 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 71 v.8.0.710.15 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u72-windows-i586.exe)^


------------------------------- [ Browser ] -------------------------------

Mozilla Firefox 43.0.3 (x86 ru) v.43.0.3 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Firefox!^

 

 



Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sxhwre
      Очень сильно просел интернет, маленькая скорость загрузки, предполагаю что у меня вирус
      Автор sxhwre
      CollectionLog-2026.06.06-23.09.zip
      забыл более подробно написать о проблеме, как бы стыдно щас не было но это началось после того как я скачал игру с интернета
    • Zhenya__
      Ноутбук на 10-15 секунд, раз в 3-4 минуты глючит. На постоянной основе немного глючит
      Автор Zhenya__
      WinDef пожаловался на это Trojan:Win32/Malgent!MSR. Я решил обратиться за помощью сюда и узнать как его удалить, нашёл инструкцию по тому как обращаться, скачал программу и проверил ноутбук. Трояна он не нашёл, но нашёл что то другое, и когда я нажал на удалить всё зависло минут на 5 и ноут выключился. После всего этого ноут тупит, прогу не могу найти, а инструкция пропала. Про троян - WinDef его удалял, но он снова появлялся. Каюсь, хотел скачать чит на роблокс, это и есть Xeno(качал с официального сайта)

    • Altair Studio
      Компьютер жестко виснет и пропадает инет, как будто агент ИИ работает
      Автор Altair Studio
      Добрый день.
      Месяца 2 борюсь с явным умышленным проникновением ко мпен в локальную сеть и ПК. То интернет пропадет то какие то непонятные траблы с учетными записями да много всего не упомнишь, операционку менял раза 4 как будто в сам биос перепрошили программу или я не знаю как. 
      CollectionLog-2026.06.03-06.46.zip
    • Golem555
      Компьютер начал сильно загружаться
      Автор Golem555
      Компьютер опять начал сильно загружаться, просматривал на что уходит мощность и афигел
      CollectionLog-2026.06.01-20.25.zip
    • Инс
      Вирус перемещает случайные файлы в TMP, а потом удаляет
      Автор Инс
      Суть:
      - вирусняк переносит случайные файлы, надёрганные отовсюду кластерами, в папку Тmp(папка временных файлов винды из настроек переменных сред), а оттуда уже удаляет через какое-то время(~минута), прям в реалтайме
      - в автозагрузке пусто
      - планировщик заданий чистый(единственно задачи винды не песочил)
      - в системных службах тоже ничего подозрительного
      - диспетчер задач ничего опасного не показывает
      - двеб и касперский ничего не находят, касперский вообще никак не реагирует на то что прям при нём файлы куда-то перемещаются и удаляются
      - вирус запускается сам по себе непонятно от чего, но 100% запуск если включить поиск по диску, например "дата создания ‎25.‎05.‎2026"
      - при этом в первую очередь удаляет игры, папки мод и сохранки (бедный Зомбоид, который я последний раз запускал лет 5 назад, раздербанил почти в 0)
      Что это вообще такое?
       
      Вин7, установлена лет 10 как, всякое было, но чтоб вот так - первый раз. Я подобное видел только на ХП, думал что на Вин7 нельзя просто вот взять и поудалять чё хошь, без желания пользователя.
      Пока что заблокировал удаление тем что убрал запись в папке Tmp, вирус стучится туда(видно про монитору ресурсов диспетчера), но не может удалить файлы.
      Прежде чем заметил не знаю сколько всего удалило вирусом, но точно на моих глазах он удалил на 3гб, прежде чем я окончательно сообразил что происходит, заметил вообще потому что он удалил несколько ярлыков с рабочего стола и я пошёл искать что это такое.
      CollectionLog-2026.05.25-14.44.zip
×
×
  • Создать...