Фишинговые сайты

11 апреля, 2017

Добрый день, опять фишинговые сайты, замучили.

CollectionLog-2017.04.10-16.41.zip

11 апреля, 2017

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\romenskybv\AppData\Local\FilterOptions\regCheck.vbs', '');
 QuarantineFile('C:\Users\romenskybv\AppData\Local\DateOption\regCheck.vbs', '');
 QuarantineFile('C:\Users\romenskybv\AppData\Local\FileSystemOptions\regCheck.vbs', '');
 QuarantineFile('C:\Users\romenskybv\AppData\Local\TestMenu\regCheck.vbs', '');
 QuarantineFile('C:\Users\romenskybv\AppData\Local\ImmediateHelp\regCheck.vbs', '');
 QuarantineFile('C:\Users\romenskybv\AppData\Local\LastNews\regCheck.vbs', '');
 QuarantineFile('C:\Users\romenskybv\AppData\Local\ValidateLife\regCheck.vbs', '');
 QuarantineFileF('C:\Users\romenskybv\AppData\Local\ValidateLife\', '*', true, '', 0, 0);
 QuarantineFile('C:\Users\romenskybv\AppData\Local\rightchose\regCheck.vbs', '');
 QuarantineFileF('C:\Users\romenskybv\AppData\Local\rightchose\', '*', true, '', 0, 0);
 QuarantineFileF('c:\users\romenskybv\appdata\local\syslog\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Users\romenskybv\AppData\Local\DateOption\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Users\romenskybv\AppData\Local\FileSystemOptions\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\romenskybv\AppData\Local\FilterOptions\regCheck.vbs', '32');
 DeleteFile('C:\Users\romenskybv\AppData\Local\DateOption\regCheck.vbs', '32');
 DeleteFile('C:\Users\romenskybv\AppData\Local\FileSystemOptions\regCheck.vbs', '32');
 DeleteFile('C:\Users\romenskybv\AppData\Local\TestMenu\regCheck.vbs', '32');
 QuarantineFile('C:\Users\romenskybv\Favorites\Links\Интернет.url', '');
 QuarantineFile('C:\Users\romenskybv\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '');
 QuarantineFile('C:\Users\romenskybv\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk', '');
 QuarantineFile('C:\Users\romenskybv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\regCheck.lnk', '');
 QuarantineFile('C:\Users\romenskybv\AppData\Local\rightchose\regCheck.vbs', '');
 DeleteFile('C:\Users\romenskybv\AppData\Local\rightchose\regCheck.vbs', '');
 DeleteFile('C:\Users\romenskybv\AppData\Local\ImmediateHelp\regCheck.vbs', '32');
 DeleteFile('C:\Users\romenskybv\AppData\Local\LastNews\regCheck.vbs', '32');
 DeleteFile('C:\Users\romenskybv\AppData\Local\ValidateLife\regCheck.vbs', '32');
 DeleteFile('C:\Users\romenskybv\AppData\Local\rightchose\regCheck.vbs', '32');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{4F3855AE-CD60-4DFE-B9EE-F45C3FE18280}" /F', 0, 15000, true);
 DeleteFileMask('C:\Users\romenskybv\AppData\Local\ValidateLife\', '*', true);
 DeleteFileMask('c:\users\romenskybv\appdata\local\syslog\', '*', true);
 DeleteFileMask('C:\Users\romenskybv\AppData\Local\rightchose\', '*', true);
 DeleteFileMask('C:\Users\romenskybv\AppData\Local\DateOption\', '*', true);
 DeleteFileMask('C:\Users\romenskybv\AppData\Local\FileSystemOptions\', '*', true);
 DeleteDirectory('C:\Users\romenskybv\AppData\Local\ValidateLife\');
 DeleteDirectory('c:\users\romenskybv\appdata\local\syslog\');
 DeleteDirectory('C:\Users\romenskybv\AppData\Local\rightchose\');
 DeleteDirectory('C:\Users\romenskybv\AppData\Local\DateOption\');
 DeleteDirectory('C:\Users\romenskybv\AppData\Local\FileSystemOptions\');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'FilterOptions');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'DateOption');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'FileSystemOptions');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'TestMenu');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'ImmediateHelp');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\aobeaveffr', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DateOption', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\FileSystemOptions', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\FilterOptions', 'command');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'LastNews');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'ValidateLife');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

- Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

Скачайте актуальную версию Автологера и соберите логи ей.

опять фишинговые сайты, замучили.

и это неудительно, рекомендации которые вам дали в конце лечения вы так и не выполнили. Продолжите так и будете часто у нас лечиться

12 апреля, 2017

[KLAN-6092818143]

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
regCheck.vbs
regCheck_0.vbs
regCheck_1.vbs
regCheck_2.vbs
regCheck_3.vbs
regCheck_4.vbs
regCheck_5.vbs
regCheck_6.vbs
Интернет.url
Вoйти в Интeрнeт.lnk
Вoйти в Интeрнeт_0.lnk
regCheck.lnk
bcqr00017.dat
bcqr00018.dat
bcqr00019.dat
bcqr00020.dat
bcqr00021.dat
bcqr00022.dat

В следующих файлах обнаружен вредоносный код, определяемый продуктами с включенной технологией KSN:
syslog.exe - UDS:DangerousObject.Multi.Generic

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

12 апреля, 2017

где всё остальное?

Фишинговые сайты

Рекомендуемые сообщения

kh_PUCCA

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

kh_PUCCA

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum