Перейти к содержанию
Правила раздела
Конкурс по разработке Telegram-бота Kaspersky Club

Амиго и другие рекламные вирусы.

SiegMaks

Автор SiegMaks
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

SiegMaks Новичок

SiegMaks

Опубликовано
Опубликовано

Была запущена программа другим пользователем, вследствие чего был установлен "Амиго" и различные рекламные вирусы и программы на компьютер и в браузер. Логи прикреплены.

CollectionLog-2016.03.06-17.31.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\system32\hfpapi.dll','');
 QuarantineFile('C:\Windows\syswow64\hfpapi.dll','');
 QuarantineFile('C:\Users\Ром-Вик\appdata\roaming\aspackage\aspackage.exe','');
 QuarantineFile('C:\Program Files\contentprotector\conprotsetup.exe','');
 QuarantineFile('C:\Users\Ром-Вик\appdata\roaming\aspackage\uninstall.exe','');
 QuarantineFile('C:\Program Files\pcdapp\starthelp.exe','');
 QuarantineFile('C:\Users\Ром-Вик\AppData\Local\13120\a22350.exe','');
 QuarantineFile('C:\ProgramData\EvfpgSGovw\OTrBAwz5.bat','');
 QuarantineFile('C:\ProgramData\ofAlygZc\pnYRNnoj0.bat','');
 QuarantineFile('C:\Users\Ром-Вик\AppData\Roaming\ImageCropResize\ImageEd\ImageEd.exe','');
 QuarantineFile('C:\Users\Ром-Вик\AppData\Local\SaveYouTime\stub.exe','');
 QuarantineFile('C:\Users\Ром-Вик\AppData\Local\SaveYouTime\config.json','');
 QuarantineFile('C:\Windows\system32\drivers\ContentProtectorDrv.sys','');
 SetServiceStart('ContentProtectorDrv', 4);
 DeleteService('ContentProtectorDrv');
 SetServiceStart('ContentProtector', 4);
 SetServiceStart('ContentProtectorUpdate', 4);
 SetServiceStart('HSystem', 4);
 SetServiceStart('WdMan', 4);
 DeleteService('WdMan');
 DeleteService('HSystem');
 DeleteService('ContentProtectorUpdate');
 DeleteService('ContentProtector');
 TerminateProcessByName('c:\programdata\9wdm9\wdman.exe');
 QuarantineFile('c:\programdata\9wdm9\wdman.exe','');
 TerminateProcessByName('c:\program files (x86)\cleanbrowser\app\bin\nw.exe');
 QuarantineFile('c:\program files (x86)\cleanbrowser\app\bin\nw.exe','');
 TerminateProcessByName('C:\Program Files\ContentProtector\ContentProtector.exe');
 TerminateProcessByName('C:\Program Files\ContentProtector\ContentProtectorUpdate.exe');
 QuarantineFile('C:\Program Files\ContentProtector\ContentProtectorUpdate.exe','');
 QuarantineFile('C:\Program Files\ContentProtector\ContentProtector.exe','');
 TerminateProcessByName('c:\users\Ром-Вик\appdata\local\amigo\application\44.4.2403.3\amigo_cr.exe');
 TerminateProcessByName('c:\users\Ром-Вик\appdata\local\amigo\application\amigo.exe');
 TerminateProcessByName('c:\program files (x86)\hpdef\03jnah.exe');
 QuarantineFile('c:\program files (x86)\hpdef\03jnah.exe','');
 DeleteFile('c:\program files (x86)\hpdef\03jnah.exe','32');
 DeleteFile('c:\users\Ром-Вик\appdata\local\amigo\application\amigo.exe','32');
 DeleteFile('c:\users\Ром-Вик\appdata\local\amigo\application\44.4.2403.3\amigo_cr.exe','32');
 DeleteFile('C:\Program Files\ContentProtector\ContentProtector.exe','32');
 DeleteFile('C:\Program Files\ContentProtector\ContentProtectorUpdate.exe','32');
 DeleteFile('c:\program files (x86)\cleanbrowser\app\bin\nw.exe','32');
 DeleteFile('c:\programdata\9wdm9\wdman.exe','32');
 DeleteFile('C:\Windows\system32\drivers\ContentProtectorDrv.sys','32');
 DeleteFile('C:\Users\Ром-Вик\AppData\Local\SaveYouTime\config.json','32');
 DeleteFile('C:\Users\Ром-Вик\AppData\Local\SaveYouTime\stub.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SaveYouTime');
 DeleteFile('C:\ProgramData\ofAlygZc\pnYRNnoj0.bat','32');
 DeleteFile('C:\ProgramData\EvfpgSGovw\OTrBAwz5.bat','32');
 DeleteFile('C:\Users\Ром-Вик\AppData\Local\13120\a22350.exe','32');
 DeleteFile('C:\Windows\Tasks\AmiUpdXp.job','32');
 DeleteFile('C:\Windows\system32\Tasks\AmiUpdXp','64');
 DeleteFile('C:\Users\Ром-Вик\appdata\roaming\aspackage\uninstall.exe','32');
 DeleteFile('C:\Program Files\contentprotector\conprotsetup.exe','32');
 DeleteFile('C:\Users\Ром-Вик\appdata\roaming\aspackage\aspackage.exe','32');
 DeleteFile('C:\Windows\syswow64\hfpapi.dll','32');
 DeleteFile('C:\Windows\system32\hfpapi.dll','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(9); 
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

move.gif

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты
SiegMaks Новичок

SiegMaks

Опубликовано
  • Автор
Опубликовано

Выполнил все как сказали.

 

Ответ от newvirus@kaspersky.com

[KLAN-3905789047]
Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

mail_ru_attachments.htm

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"


Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed. 

mail_ru_attachments.htm

An unknown file has been received. It will be sent to the Virus Lab.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"


--------------------------------------------------------------------------------
From: 
Sent: 3/7/2016 8:56:08 AM
To: newvirus@kaspersky.com
Subject: Quarantine

Логи прикреплены

ClearLNK-06.03.2016_20-58.log

CollectionLog-2016.03.06-21.08.zip

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • serj_serj
      Вирус или вредоносное ПО повредило все файлы MS Office (docx, xlsx и возможно другие)
      Автор serj_serj
      Добрый день!
      Столкнулся с каким-то вредоносным ПО скорее всего, которое повредило все мои файлы с расширением .docx и .xlsx. При попытке открытия файлов MS Office выдаёт сообщение "приложением word в документе обнаружено содержимое которое не удалось прочитать ошибка. Доверяете ли вы источнику? " Если я нажимаю "Да" - файлы не открываются, выводится сообщение об ошибке открытия либо то, что файл повреждён.

      Сканировал Kaspersky Virus Removal Tool, обнаружены:
      1. MEM:Trojan.Win32.SEPEH.gen
      System Memory
      Троянская программа
      2. HEUR:HackTool.Win32.KMSAuto.gen
      C:\Windows\AAct_Tools\AAct.exe

      Пока никаких действий не принимал. Каких-либо действий по вымогательству (если это шифровальщик) не было.
      Логи прикрепляю.
      Получится ли восстановить данные из повреждённых файлов? 
      CollectionLog-2025.03.27-21.39.zip
      ещё для примера прикладываю архив с повреждёнными файлами
      повреждённые файлы.rar
    • Dava
      Вирус
      Автор Dava
      Поймал вирус с торрента который устанавливал мне адблок в эдж, вирус и его папки я нашел и удалил, позже удалил торрент, но теперь при открытии эджа у меня пишет "Microsoft edge неожиданно завершил работу, восстановить страницы?"
      Удалять куки и сбрасывать настройки к начальным и тыкать Repair я пробовал, это не помогло. Я предполагаю что где то еще остался вирусняк который лезет в эдж, но касперский его не видит
      Addition.txt FRST.txt
    • Abzz
      Вирус "updater.exe"
      Автор Abzz
      Здраствуйте, абсолютно аналогичная проблема, но не получается перейти по выделенной вами ссылке архива 
      "Скачайте архив по ссылке, распакуйте. Запустите каждый из файлов и подтвердите внесение информации в реестр."
      переносит нету файла для скачивания, помогите пожалуйста.
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
       
       
    • Nabludatel
      [РЕШЕНО] NET:MALWARE.URL Вирус
      Автор Nabludatel
      Здравствуйте, нашел через Dr.Web Cureit вирус который невозможно вылечить. 
      Все логи прилагаю.
      Addition.txt FRST.txt cureit.zip
    • KL FC Bot
      Защищаемся от атак в архивах ZIP, RAR, CAB, MSI, ISO и других | Блог Касперского
      Автор KL FC Bot
      Программы-архиваторы, упрощающие хранение и пересылку файлов, стали привычным инструментом не только для пользователей, но и для злоумышленников. Вредоносные архивы систематически находят как в целевых атаках, так и в инцидентах с шифровальщиками-вымогателями. Злоумышленники в основном применяют их для обхода средств защиты информации, обмана пользователей и, конечно, для извлечения украденных данных. А значит, ИБ- и ИТ- отделам следует уделять особое внимание тому, как архивы обрабатываются в ОС, бизнес-приложениях и защитных инструментах. Рассказываем, для чего злоумышленники могут использовать архивы.
      Доставка вредоносного ПО с обходом предупреждений Mark-of-the-Web
      Благодаря логическим особенностям и уязвимостям конкретных архиваторов, при распаковке под Windows у извлеченного файла иногда не устанавливаются атрибуты «загружен из Интернета» (Mark-of-the-Web, MOTW). Технически эти атрибуты сохраняются в альтернативном потоке данных (NTFS alternative data stream) Zone.Identifier. Если идентификатор указывает на внешний источник файла (ZoneID = 3, 4), то при попытке запуска исполняемого файла появляется предупреждение Windows, а Office автоматически открывает потенциально небезопасный документ в защищенном режиме.
      Эксплуатируя дефекты архиваторов, атакующие обходят этот слой защиты. Самой свежей уязвимостью, приводящей к инцидентам такого рода, стала CVE-2025-31334 в WinRAR, но этот случай не единичный: известны CVE-2025-0411 в 7-Zip, CVE-2024-8811 в WinZip и другие. Важно учитывать, что некоторые архиваторы вообще не поддерживают MOTW, устанавливают ее только для некоторых расширений файла либо только при определенных способах распаковки. Сводная таблица по поддержке MOTW архиваторами доступна на GitHub.
       
      View the full article
×
×
  • Создать...