Перейти к содержанию
Правила раздела

Фишинговые сайты

kh_PUCCA

Автор kh_PUCCA
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

regist Корифей

regist

Опубликовано
Опубликовано

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\romenskybv\AppData\Local\FilterOptions\regCheck.vbs', '');
 QuarantineFile('C:\Users\romenskybv\AppData\Local\DateOption\regCheck.vbs', '');
 QuarantineFile('C:\Users\romenskybv\AppData\Local\FileSystemOptions\regCheck.vbs', '');
 QuarantineFile('C:\Users\romenskybv\AppData\Local\TestMenu\regCheck.vbs', '');
 QuarantineFile('C:\Users\romenskybv\AppData\Local\ImmediateHelp\regCheck.vbs', '');
 QuarantineFile('C:\Users\romenskybv\AppData\Local\LastNews\regCheck.vbs', '');
 QuarantineFile('C:\Users\romenskybv\AppData\Local\ValidateLife\regCheck.vbs', '');
 QuarantineFileF('C:\Users\romenskybv\AppData\Local\ValidateLife\', '*', true, '', 0, 0);
 QuarantineFile('C:\Users\romenskybv\AppData\Local\rightchose\regCheck.vbs', '');
 QuarantineFileF('C:\Users\romenskybv\AppData\Local\rightchose\', '*', true, '', 0, 0);
 QuarantineFileF('c:\users\romenskybv\appdata\local\syslog\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Users\romenskybv\AppData\Local\DateOption\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Users\romenskybv\AppData\Local\FileSystemOptions\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\romenskybv\AppData\Local\FilterOptions\regCheck.vbs', '32');
 DeleteFile('C:\Users\romenskybv\AppData\Local\DateOption\regCheck.vbs', '32');
 DeleteFile('C:\Users\romenskybv\AppData\Local\FileSystemOptions\regCheck.vbs', '32');
 DeleteFile('C:\Users\romenskybv\AppData\Local\TestMenu\regCheck.vbs', '32');
 QuarantineFile('C:\Users\romenskybv\Favorites\Links\Интернет.url', '');
 QuarantineFile('C:\Users\romenskybv\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '');
 QuarantineFile('C:\Users\romenskybv\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk', '');
 QuarantineFile('C:\Users\romenskybv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\regCheck.lnk', '');
 QuarantineFile('C:\Users\romenskybv\AppData\Local\rightchose\regCheck.vbs', '');
 DeleteFile('C:\Users\romenskybv\AppData\Local\rightchose\regCheck.vbs', '');
 DeleteFile('C:\Users\romenskybv\AppData\Local\ImmediateHelp\regCheck.vbs', '32');
 DeleteFile('C:\Users\romenskybv\AppData\Local\LastNews\regCheck.vbs', '32');
 DeleteFile('C:\Users\romenskybv\AppData\Local\ValidateLife\regCheck.vbs', '32');
 DeleteFile('C:\Users\romenskybv\AppData\Local\rightchose\regCheck.vbs', '32');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{4F3855AE-CD60-4DFE-B9EE-F45C3FE18280}" /F', 0, 15000, true);
 DeleteFileMask('C:\Users\romenskybv\AppData\Local\ValidateLife\', '*', true);
 DeleteFileMask('c:\users\romenskybv\appdata\local\syslog\', '*', true);
 DeleteFileMask('C:\Users\romenskybv\AppData\Local\rightchose\', '*', true);
 DeleteFileMask('C:\Users\romenskybv\AppData\Local\DateOption\', '*', true);
 DeleteFileMask('C:\Users\romenskybv\AppData\Local\FileSystemOptions\', '*', true);
 DeleteDirectory('C:\Users\romenskybv\AppData\Local\ValidateLife\');
 DeleteDirectory('c:\users\romenskybv\appdata\local\syslog\');
 DeleteDirectory('C:\Users\romenskybv\AppData\Local\rightchose\');
 DeleteDirectory('C:\Users\romenskybv\AppData\Local\DateOption\');
 DeleteDirectory('C:\Users\romenskybv\AppData\Local\FileSystemOptions\');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'FilterOptions');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'DateOption');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'FileSystemOptions');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'TestMenu');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'ImmediateHelp');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\aobeaveffr', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DateOption', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\FileSystemOptions', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\FilterOptions', 'command');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'LastNews');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'ValidateLife');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.
 

 

Скачайте актуальную версию Автологера и соберите логи ей.


 

 


опять фишинговые сайты, замучили.
и это неудительно, рекомендации которые вам дали в конце лечения вы так и не выполнили. Продолжите так и будете часто у нас лечиться ;)
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
kh_PUCCA Новичок

kh_PUCCA

Опубликовано
  • Автор
Опубликовано

[KLAN-6092818143]

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
regCheck.vbs
regCheck_0.vbs
regCheck_1.vbs
regCheck_2.vbs
regCheck_3.vbs
regCheck_4.vbs
regCheck_5.vbs
regCheck_6.vbs
Интернет.url
Вoйти в Интeрнeт.lnk
Вoйти в Интeрнeт_0.lnk
regCheck.lnk
bcqr00017.dat
bcqr00018.dat
bcqr00019.dat
bcqr00020.dat
bcqr00021.dat
bcqr00022.dat

В следующих файлах обнаружен вредоносный код, определяемый продуктами с включенной технологией KSN:
syslog.exe - UDS:DangerousObject.Multi.Generic

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • setwolk
      Блокировка сайтов
      Автор setwolk
      Доброго времени суток.
      Поискал тут, тем много у всех свои проблемы, но такой темы не нашел...
      Подскажите как заблокировать конкретный сайт побывал уже здесь https://support.kaspersky.ru/kes-for-windows/12.9/128056 попробовал все, всё равно сайты открываются.
      Как правильно написать чтобы сайт точно залочился.
      Взял на примере ya.ru и dzen.ru
      Правило в самом верху, замки закрыты...
    • Андрей2029
      Касперский+Опера - не могу зайти ни на один сайт с Cloudflare
      Автор Андрей2029
      Здравствуйте, товарищи. Проблема следующая. Поставил впервые за много десятков лет Оперу вместо Хрома. Последнюю версию, разумеется. Особо не ковырялся в настройках, стал пользоваться. И заметил, что не могу попасть ни на один сайт с Cloudflare - проверка на человека просто постоянно обновляется, не пуская на страницу. Например, вот Aescripts:

       
      Разумеется, я испробовал все возможные решения, что были в сети, будучи уверенным, что проблема либо в самой Опере (её настройках, которые я не менял), либо в VPN (которого у меня нет и в Опере он не включен), DNS и прочем. Все проверил, посмотрел, попереключал и ничего не помогает. При этом Edge на те же сайты пускает без вопросов. Пошёл было писать багрепорт в техподдержку Оперы, пока не додумался отключить Kaspersky Plus. И, о чудо, Cloudflare сразу же запустил на проблемный сайт. Включил Касперского, тыкнулся на другой сайт - опять тя же проблема. 
       
      Подскажите, куда смотреть, что копать, и почему проблема именно с Оперой? Хром псотавил назад - опять проблемы нет. Чем Опера так провинилась? Какие настройки посмотреть в Каспере, чтобы решить проблему?
    • Ig0r
      Индексация сайта в поисковиках
      Автор Ig0r
      Уже 112 страниц проиндексировал. Я его привел.
    • KL FC Bot
      Как DollyWay заражает сайты WordPress в 2025 году
      Автор KL FC Bot
      Система управления контентом WordPress используется на 43,5% сайтов в Интернете, поэтому нет ничего удивительного в том, что злоумышленники постоянно ищут способы атаки на нее. В марте этого года исследователи кибербезопасности хостинговой компании GoDaddy описали продолжающуюся с 2016 года операцию, в рамках которой за последние 8 лет было скомпрометировано более 20 000 веб-сайтов на WordPress по всему миру.
      Операция получила название DollyWay World Domination из-за строки кода, найденной в нескольких вариантах вредоносного ПО, — define (‘DOLLY_WAY’, ‘World Domination’). В рамках DollyWay злоумышленники внедряют на сайты вредоносные скрипты с разнообразной функциональностью. Основная цель злоумышленников — перенаправление трафика посетителей легитимных сайтов на посторонние страницы. По состоянию на февраль 2025 года эксперты фиксировали более 10 тысяч зараженных WordPress-сайтов по всему миру.
      Для компрометации сайтов злоумышленники используют уязвимости в плагинах и темах WordPress. Через них на сайт сначала внедряется
      нейтральный скрипт, не привлекающий внимание систем безопасности, выполняющих статический анализ HTML-кода. А он, в свою очередь, подгружает более опасные скрипты, которые служат для профилирования жертвы, общения с командными серверами и непосредственно перенаправления посетителей зараженных сайтов. Более подробное техническое описание работы этих скриптов можно почитать в оригинальном исследовании.
      Как преступники монетизируют свою схему
      Ссылки редиректа, которые формирует DollyWay, содержат партнерский идентификатор. Это очень похоже на реферальные программы, которые часто используют, например, блогеры при рекламе тех или иных продуктов или сервисов. С помощью таких идентификаторов сайты определяют, откуда к ним попали пользователи, и обычно отчисляют блогерам процент за покупки тех посетителей, которые пришли через их ссылки. Операция DollyWay World Domination монетизируется очень похожим образом, используя партнерские программы VexTrio и Lospollos.
      VexTrio называют Uber в мире киберпреступности. Этот ресурс предположительно активен как минимум с 2017 года, а его основная роль состоит в посредничестве при распространении мошеннического контента, шпионского и вредоносного ПО, порнографии и так далее. Именно VexTrio непосредственно занимается перенаправлением трафика, который приходит от DollyWay, на мошеннические сайты.
       
      View the full article
    • Ivan A.
      Вход на сайты через авторизацию ЕСИА
      Автор Ivan A.
      Всем привет. Вопрос по входу на сторонние сайты через госуслуги (ЕСИА).
      Если в браузере сначала зайти на госуслуги, а в соседней вкладке зайти на сайт в котором предусмотрена авторизация через ЕСИА (например ФНС) - то нажав на соответствующий пункт 
      меню мы автоматически авторизуемся на сайте без ввода Логина и пароля.
      Вопрос в следующем: может ли фишинговы ресурс с поддельной авторизацией через ЕСИА получить верификацию.
      т.е.:
      Зашел на Госуслуги > Зашел на сайт ФНС нажал авторизацию ЕСИА > вход выполнен - вывод Подлинный сайт ФНС Зашел на Госуслуги > Зашел на сайт МФО нажал авторизацию ЕСИА > сайт просит ввести Логин и пароль - вывод фишинговый сайт МФО  
       
×
×
  • Создать...