gabbhack 0 Опубликовано 30 марта, 2017 Share Опубликовано 30 марта, 2017 Подхватил недавно интересный вирус. Этакий чат, в процессах обозначен под Internet Explorer, папка процесса системная, где и должен лежать оригинальный IE. При закрытии этого процесса он открывается заново, при выключении интернета завершает работу. В этом чате со мной общался интереснейший человек, он мог сделать с компом что угодно, что собственно и демонстрировал. Помимо IE было кучу других процессов, которые нагружали память и цп. В безопасном режиме их не наблюдаю, прикладываю лог. CollectionLog-2017.03.30-15.43.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 30 марта, 2017 Share Опубликовано 30 марта, 2017 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\nikita\AppData\Local\wupdate\wupdate.exe',''); QuarantineFile('C:\Users\nikita\AppData\Roaming\aswast\app.py',''); QuarantineFile('C:\Users\nikita\AppData\Local\Temp\RarSFX27\12.VBS',''); QuarantineFile('C:\Users\nikita\Documents\MSDCSC\msdcsc.exe',''); QuarantineFile('C:\Sandbox\nikita\Мухи на рабочем столе Fly on Desktop 1.4.exe',''); QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe',''); QuarantineFile('C:\Users\nikita\AppData\Roaming\aswast\python\pythonw.exe',''); QuarantineFile('C:\Users\nikita\AppData\Roaming\aswast\ml.py',''); DeleteService('UbarPolicyProvider'); QuarantineFile('C:\Program Files\UBar\UbarService.exe',''); DeleteService('AdobeFlashPlayerHash'); QuarantineFile('C:\Users\nikita\AppData\Roaming\myinstall\HS_Svc.exe',''); QuarantineFile('C:\Program Files (x86)\Ultimate-Discounter Browser\udservice.exe',''); QuarantineFile('C:\Program Files (x86)\filter2\2\CppWindowsService.exe',''); DeleteService('CppWindowsService'); DeleteService('Coupons Browser Update Service'); DeleteFile('C:\Program Files (x86)\filter2\2\CppWindowsService.exe','32'); DeleteFile('C:\Program Files (x86)\Ultimate-Discounter Browser\udservice.exe','32'); DeleteFile('C:\Users\nikita\AppData\Roaming\myinstall\HS_Svc.exe','32'); DeleteFile('C:\Program Files\UBar\UbarService.exe','32'); DeleteFile('C:\Users\nikita\AppData\Roaming\aswast\ml.py','32'); DeleteFile('C:\Users\nikita\AppData\Roaming\aswast\python\pythonw.exe','32'); DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Zaxar'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','aswast'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xoxmqubgdi'); DeleteFile('C:\Users\nikita\Documents\MSDCSC\msdcsc.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MicroUpdate'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','FlyOnDesktopPro'); DeleteFile('C:\Users\nikita\AppData\Local\Temp\RarSFX27\12.VBS','32'); DeleteFile('C:\WINDOWS\system32\Tasks\aswast','64'); DeleteFile('C:\Users\nikita\AppData\Roaming\aswast\app.py','32'); DeleteFile('C:\WINDOWS\system32\Tasks\aswast2','64'); DeleteFile('C:\WINDOWS\system32\Tasks\wupdate','64'); DeleteFile('C:\Users\nikita\AppData\Local\wupdate\wupdate.exe','32'); DeleteFile('E:\autorun.inf','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger Цитата Ссылка на сообщение Поделиться на другие сайты
gabbhack 0 Опубликовано 30 марта, 2017 Автор Share Опубликовано 30 марта, 2017 Когда во время сканирования запускается IE, пишется текст "уеуеуеуеуеуеуеуе....", это нормально? Отправил архив, ответа так и не поступило CollectionLog-2017.03.30-19.31.zip 1 Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 30 марта, 2017 Share Опубликовано 30 марта, 2017 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.