Перейти к содержанию
Правила раздела

kb-ribaki and zodiac-games.info

Dokki4

От Dokki4
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Dokki4 Новичок

Dokki4

Опубликовано
Опубликовано

Добрый день. При включении компьютера (win 10) автоматически открывается браузер с открытой вкладкой kb-ribaki.org, затем осуществляется переход на zodiac-games.info. В реестре и автозагрузках не было обнаружено ничего подозрительного. Проверял различными программами, постоянно что-то обнаруживается и удаляется, но проблема появляется снова при повторном  запуске компьютера.

CollectionLog-2016.08.14-11.09.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\user\AppData\Roaming\Steam\Reversed\steam.exe','');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','user');
 DeleteFile('C:\WINDOWS\system32\Tasks\user','64');
 DeleteFile('C:\Users\user\AppData\Roaming\Steam\Reversed\steam.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\Steam-S-1-8-22-9865GUI','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

 

Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты
Dokki4 Новичок

Dokki4

Опубликовано
  • Автор
Опубликовано (изменено)

Про c:\quarantine.zip немного не понял , по какой ссылке нужно перейти. 

Проблема исчезла, вроде как.

CollectionLog-2016.08.14-12.40.zip

Изменено пользователем Dokki4
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Не тот шаблон по карантину :lol:

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

+ Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKU\S-1-5-21-3489895560-1907215450-1179623909-1002\...\Run: [user] => explorer.exe hxxp://kb-ribaki.org <===== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
FF Plugin HKU\S-1-5-21-3489895560-1907215450-1179623909-1002: @tools.coowon.com/Coowon Update;version=3 -> C:\Users\user\AppData\Local\Coowon\Update\1.3.33.0\npCoowonUpdate3.dll [No File]
FF Plugin HKU\S-1-5-21-3489895560-1907215450-1179623909-1002: @tools.coowon.com/Coowon Update;version=9 -> C:\Users\user\AppData\Local\Coowon\Update\1.3.33.0\npCoowonUpdate3.dll [No File]
FF Plugin HKU\S-1-5-21-3489895560-1907215450-1179623909-1002: ubisoft.com/uplaypc -> C:\Games\The Settlers 7 - Paths to a Kingdom\Data\Base\_Dbg\Bin\Release\orbit\npuplaypc.dll [No File]
FF Plugin-x32: @t.garena.com/garenatalk -> C:\Games\Garena Plus\bbtalk\plugins\npPlugin\npGarenaTalkPlugin.dll [No File]
2016-06-02 18:31 - 2016-06-02 18:31 - 00000000 ____D C:\Users\Все пользователи\Gaijin
2016-06-02 18:31 - 2016-06-02 18:31 - 00000000 ____D C:\ProgramData\Gaijin
C:\Users\user\AppData\Local\Temp\libeay32.dll
C:\Users\user\AppData\Local\Temp\msvcr120.dll
C:\Users\user\AppData\Local\Temp\sqlite3.dll
Task: {1466835F-A73D-4C3E-9861-914CA47F0BA2} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {230D3283-6B18-4223-AABD-4FF8AAA1B17F} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {2ED6AF31-A156-4271-89FB-FE23303AACC4} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {3A34A154-5055-41C1-8643-7467686BDEC5} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {5267CFCE-83A4-4093-92BB-7DF8C2A82512} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {691BBCEA-38C5-423B-A996-EF6AB84D17A4} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {76BC8F72-8738-4FF1-A5CE-4DFCAB156C84} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {A0F52927-4C78-45C3-A048-8F36919E7DFC} - \Steam-S-1-8-22-9865GUI -> No File <==== ATTENTION
Task: {AB606BEB-A87A-403C-8A05-F1ECBFC51248} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {B91203C7-D8A8-46DE-BAEC-77B8AB7C56EA} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {C53C9211-AB03-4E07-B94F-44FF8E8946D6} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {CDCB6D1C-6C9C-42EE-8DD7-3376D11BB5CC} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {D9F724E9-F624-4DFF-B67D-5AD013267BCC} - \user -> No File <==== ATTENTION
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Пофиксите в HiJack (запускать утилиту от имени Администратора по правой кнопке мыши)

O4 - HKCU\..\Run: [user] explorer.exe http://kb-ribaki.org

Проверьте проблему после перезагрузки

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • ksp_user
      Ransomware attack ( id[bMtMPqp].stop ) in my PC and Google drive
      От ksp_user
      Two months ago, suddenly, my Windows 11 PC refused me login. I tried several methods and everything failed and lead to fully format the PC. 
       
      Usually, I keep a copy of my notes in Google Drive so I did not worry much. 
       
      But I have noticed that my Google Drive also infected by a ransomware almost all the files there, renamed them to <filename>.<file extention>.id[bMtMPqp].stop and encrypted. 
       
      Since I couldn't log in to my PC , most probably ransomware encrypted the system files, I did not see any ransom notes or anything.
       
      Is it possible to identify the ransomware and decrypt the files in the Google Drive?
       
      Thanks.  
    • МихаилЕ
      KSWS и Veeam Backup and Replication
      От МихаилЕ
      Добрый день!
      После установки KSWS на windows-серверы заметили рост объема ежедневных инкрементных бэкапов, которые делаются с помощью Veeam, в среднем на ~2-4Гб. 
      До KSWS использовался ESET и подобных проблем не было.
      Есть предположение, что изменения вызваны ежедневным обновлением антивирусной базы (каждые 12 ч). Размер C:\ProgramData\Kaspersky Lab в среднем 1,7 Гб. и учитывая, что обновление может успеть произойти дважды до ночного архивирования, сумма прироста подтверждается.
      Обычный объем архивируемых данных был 200-500 Мб.
      Возможно ли уменьшить объем изменяемых KSWS блоков данных на диске, чтобы уменьшить размер архивов?
      Возможно ли перенести размещение баз и temp из C:\ProgramData\Kaspersky Lab в другую папку?
    • ameri
      Restrictions on adding and removing Kaspersky licenses
      От ameri
      Hello and have a good time. My question is whether the Kaspersky license has restrictions to remove and add on one or several different devices. And how many licenses can we remove and add again?
    • aa3mandius
      All your files have been stolen and encrypted by C0MET
      От aa3mandius
      Добрый день!
      Поймали шифровальщика, формат расширения Gh9ILJq8R
      Никакой инфы нет. Сталкивался кто ?
    • AndrewDanilov
      GlobeImposter 2.0 cyber761@tuta.io and cyber@asia.com and cyber761@proton.me
      От AndrewDanilov
      Всем доброго дня.
      Столкнулись с проблемой зашифровки данных. 
      Вероятно проникли через RDP порт.
      По данным портала https://id-ransomware.malwarehunterteam.com/identify.php?case=e67359c2d3a82a25ca820bb8d43542fc05fdd5e8 это GlobeImposter 2.0
      Погуглив по форуму пишут что шансов мало ...
      Прикладываю:
      1) пример 3х файлов: docx & PDF & файл hta (Архив  Files - пароль virus)
      2) отчет сканирования по инструкции
      3) снимок экрана о вымогательстве
       

      Files.rar FRST.txt
×
×
  • Создать...