Неведома зараза

13 сентября, 2016

Доброго всем дня.

Знакомый где-то зацепил заразу, прописывается в автозагрузку и в планировщик заданий. Антивирусом не определяется. Периодически пытается скачать файл ссылка удалена что блокируется антивирусом. Папки с исполняемыми файлами прилагаю. На компьютере задания отключил, из автозагрузки удалил, в браузера расширения почистил.

Строгое предупреждение от модератора Mark D. Pearlstone

Не отправляйте вредоносные, потенциально вредоносные файлы и ссылки на них на форум.

13 сентября, 2016

Порядок оформления запроса о помощи

13 сентября, 2016

Кратко - неведомое чудо запускается в интерпретаторе python и как дополнение к бразеру на JavaScript. Дополнения есть для разных антивирусов. Антивирус видит только запрещенную ссылку и блокирует попытки скачать доп. модули которые ему знакомы. Надеюсь после отправки в лабораторию, будет определяться Антивирусом.

13 сентября, 2016

@nazarianin, вы правила собираетесь выполнять или поговорить пришли?

14 сентября, 2016

Некоторое время назад антивирус Касперского начал выдавать периодические сообщения, что заблокирована вредоносная ссылка. После разбирательств были найдены подозрительные папки в AppData\Roaming fltnsl и prof2you и файл flprx.exe. В реестре был прописан автозапуск launcher.exe из prof2you. Планировщике заданий были найдены два задания связанные с этими папками. Что было сделано: отключены задания связанные с этими папками. Из реестра автозапуска удалены записи связанные с этими папками. Подозрительные папки переименованы. Выполнена перезагрузка. Запущено полное сканирование антивирусом. На текущее момент сообщений от антивируса о подозрительной активности не выскакивало. Результат сборщика логов запущенного после всех манипуляций прилагаю.

CollectionLog-2016.09.14-08.14.zip

14 сентября, 2016

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\albert\AppData\Roaming\prof2you\updater\python\pythonw.exe','');
 ExecuteFile('schtasks.exe', '/delete /TN "prof2you" /F', 0, 15000, true);
 DeleteFile('C:\Users\albert\AppData\Roaming\prof2you\updater\python\pythonw.exe','32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Неведома зараза

Рекомендуемые сообщения

nazarianin

Mark D. Pearlstone

nazarianin

Mark D. Pearlstone

nazarianin

Sandor

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum