Перейти к содержанию
Правила раздела

kb-ribaki and zodiac-games.info

Dokki4

Автор Dokki4
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Dokki4

Dokki4

Опубликовано
Опубликовано

Добрый день. При включении компьютера (win 10) автоматически открывается браузер с открытой вкладкой kb-ribaki.org, затем осуществляется переход на zodiac-games.info. В реестре и автозагрузках не было обнаружено ничего подозрительного. Проверял различными программами, постоянно что-то обнаруживается и удаляется, но проблема появляется снова при повторном  запуске компьютера.

CollectionLog-2016.08.14-11.09.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\user\AppData\Roaming\Steam\Reversed\steam.exe','');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','user');
 DeleteFile('C:\WINDOWS\system32\Tasks\user','64');
 DeleteFile('C:\Users\user\AppData\Roaming\Steam\Reversed\steam.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\Steam-S-1-8-22-9865GUI','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

 

Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты
Dokki4

Dokki4

Опубликовано
  • Автор
Опубликовано (изменено)

Про c:\quarantine.zip немного не понял , по какой ссылке нужно перейти. 

Проблема исчезла, вроде как.

CollectionLog-2016.08.14-12.40.zip

Изменено пользователем Dokki4
Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Не тот шаблон по карантину :lol:

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

+ Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKU\S-1-5-21-3489895560-1907215450-1179623909-1002\...\Run: [user] => explorer.exe hxxp://kb-ribaki.org <===== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
FF Plugin HKU\S-1-5-21-3489895560-1907215450-1179623909-1002: @tools.coowon.com/Coowon Update;version=3 -> C:\Users\user\AppData\Local\Coowon\Update\1.3.33.0\npCoowonUpdate3.dll [No File]
FF Plugin HKU\S-1-5-21-3489895560-1907215450-1179623909-1002: @tools.coowon.com/Coowon Update;version=9 -> C:\Users\user\AppData\Local\Coowon\Update\1.3.33.0\npCoowonUpdate3.dll [No File]
FF Plugin HKU\S-1-5-21-3489895560-1907215450-1179623909-1002: ubisoft.com/uplaypc -> C:\Games\The Settlers 7 - Paths to a Kingdom\Data\Base\_Dbg\Bin\Release\orbit\npuplaypc.dll [No File]
FF Plugin-x32: @t.garena.com/garenatalk -> C:\Games\Garena Plus\bbtalk\plugins\npPlugin\npGarenaTalkPlugin.dll [No File]
2016-06-02 18:31 - 2016-06-02 18:31 - 00000000 ____D C:\Users\Все пользователи\Gaijin
2016-06-02 18:31 - 2016-06-02 18:31 - 00000000 ____D C:\ProgramData\Gaijin
C:\Users\user\AppData\Local\Temp\libeay32.dll
C:\Users\user\AppData\Local\Temp\msvcr120.dll
C:\Users\user\AppData\Local\Temp\sqlite3.dll
Task: {1466835F-A73D-4C3E-9861-914CA47F0BA2} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {230D3283-6B18-4223-AABD-4FF8AAA1B17F} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {2ED6AF31-A156-4271-89FB-FE23303AACC4} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {3A34A154-5055-41C1-8643-7467686BDEC5} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {5267CFCE-83A4-4093-92BB-7DF8C2A82512} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {691BBCEA-38C5-423B-A996-EF6AB84D17A4} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {76BC8F72-8738-4FF1-A5CE-4DFCAB156C84} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {A0F52927-4C78-45C3-A048-8F36919E7DFC} - \Steam-S-1-8-22-9865GUI -> No File <==== ATTENTION
Task: {AB606BEB-A87A-403C-8A05-F1ECBFC51248} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {B91203C7-D8A8-46DE-BAEC-77B8AB7C56EA} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {C53C9211-AB03-4E07-B94F-44FF8E8946D6} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {CDCB6D1C-6C9C-42EE-8DD7-3376D11BB5CC} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {D9F724E9-F624-4DFF-B67D-5AD013267BCC} - \user -> No File <==== ATTENTION
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Пофиксите в HiJack (запускать утилиту от имени Администратора по правой кнопке мыши)

O4 - HKCU\..\Run: [user] explorer.exe http://kb-ribaki.org

Проверьте проблему после перезагрузки

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KADIK
      reboot and select proper boot device or insert boot media
      Автор KADIK
      Поймал вирус петя по своей ошибке. Петю обойти помогли, но теперь проблема с reboot. Просьба помочь. 
      материнская плата asus
       
    • aa3mandius
      All your files have been stolen and encrypted by C0MET
      Автор aa3mandius
      Добрый день!
      Поймали шифровальщика, формат расширения Gh9ILJq8R
      Никакой инфы нет. Сталкивался кто ?
    • AndrewDanilov
      GlobeImposter 2.0 cyber761@tuta.io and cyber@asia.com and cyber761@proton.me
      Автор AndrewDanilov
      Всем доброго дня.
      Столкнулись с проблемой зашифровки данных. 
      Вероятно проникли через RDP порт.
      По данным портала https://id-ransomware.malwarehunterteam.com/identify.php?case=e67359c2d3a82a25ca820bb8d43542fc05fdd5e8 это GlobeImposter 2.0
      Погуглив по форуму пишут что шансов мало ...
      Прикладываю:
      1) пример 3х файлов: docx & PDF & файл hta (Архив  Files - пароль virus)
      2) отчет сканирования по инструкции
      3) снимок экрана о вымогательстве
       

      Files.rar FRST.txt
    • ksp_user
      Ransomware attack ( id[bMtMPqp].stop ) in my PC and Google drive
      Автор ksp_user
      Two months ago, suddenly, my Windows 11 PC refused me login. I tried several methods and everything failed and lead to fully format the PC. 
       
      Usually, I keep a copy of my notes in Google Drive so I did not worry much. 
       
      But I have noticed that my Google Drive also infected by a ransomware almost all the files there, renamed them to <filename>.<file extention>.id[bMtMPqp].stop and encrypted. 
       
      Since I couldn't log in to my PC , most probably ransomware encrypted the system files, I did not see any ransom notes or anything.
       
      Is it possible to identify the ransomware and decrypt the files in the Google Drive?
       
      Thanks.  
    • Pingvin_xD
      Блокировка репозитория linux после установки kes and klnagetn
      Автор Pingvin_xD
      Добрый день!
      После установки агента администрирования и самого kesl на АРМ с ОС ОСнова стали недоступны репозитории
      На соседней машине стоит такой же АРМ с такой же ОС но еще без kesl и агента, работа с перозиторием ОС проходит штатно.
      При попытке установить пакет с репы или обновить пакеты выходит ошибка
      Подскажите пожалуйста, как добавить репозитории ОС в исключения?
×
×
  • Создать...