Перейти к содержанию

Подхватил вирус crypted000007

mikepost
 Share

Рекомендуемые сообщения

Sandor Мудрец

Sandor

Опубликовано
Опубликовано (изменено)

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('c:\program files\gmsd_ru_005010163', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files\gmsd_ru_005010164', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files\gmsd_ru_005010165', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files\gmsd_ru_005010167', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files\gmsd_ru_005010168', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files\gmsd_ru_005010169', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\programdata\timetasks', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1211196\133341901.exe', '');
 QuarantineFile('C:\WINDOWS\system32\GroupPolicy\Machine\Registry.pol', '');
 QuarantineFile('C:\Program Files\gmsd_ru_005010163\gmsd_ru_005010163.exe', '');
 QuarantineFile('C:\Program Files\gmsd_ru_005010164\gmsd_ru_005010164.exe', '');
 QuarantineFile('C:\Program Files\gmsd_ru_005010165\gmsd_ru_005010165.exe', '');
 QuarantineFile('C:\Program Files\gmsd_ru_005010167\gmsd_ru_005010167.exe', '');
 QuarantineFile('C:\Program Files\gmsd_ru_005010168\gmsd_ru_005010168.exe', '');
 QuarantineFile('C:\Program Files\gmsd_ru_005010169\gmsd_ru_005010169.exe', '');
 QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe', '');
 QuarantineFile('C:\RECYCLER\barcode.exe', '');
 QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\windows\winsys.exe', '');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-897fewj\xetcwow.exe', '');
 QuarantineFile('C:\Program Files\Zaxar\ZaxarGameBrowser.exe', '');
 QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe', '');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1211196\133341901.exe', '32');
 DeleteFile('C:\WINDOWS\system32\GroupPolicy\Machine\Registry.pol', '32');
 DeleteFile('C:\Program Files\gmsd_ru_005010163\gmsd_ru_005010163.exe', '32');
 DeleteFile('C:\Program Files\gmsd_ru_005010164\gmsd_ru_005010164.exe', '32');
 DeleteFile('C:\Program Files\gmsd_ru_005010165\gmsd_ru_005010165.exe', '32');
 DeleteFile('C:\Program Files\gmsd_ru_005010167\gmsd_ru_005010167.exe', '32');
 DeleteFile('C:\Program Files\gmsd_ru_005010168\gmsd_ru_005010168.exe', '32');
 DeleteFile('C:\Program Files\gmsd_ru_005010169\gmsd_ru_005010169.exe', '32');
 DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe', '32');
 DeleteFile('C:\RECYCLER\barcode.exe', '32');
 DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\windows\winsys.exe', '32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-897fewj\xetcwow.exe', '32');
 DeleteFile('C:\Program Files\Zaxar\ZaxarGameBrowser.exe', '32');
 DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe', '32');
 DeleteFileMask('c:\program files\gmsd_ru_005010163', '*', true);
 DeleteFileMask('c:\program files\gmsd_ru_005010164', '*', true);
 DeleteFileMask('c:\program files\gmsd_ru_005010165', '*', true);
 DeleteFileMask('c:\program files\gmsd_ru_005010167', '*', true);
 DeleteFileMask('c:\program files\gmsd_ru_005010168', '*', true);
 DeleteFileMask('c:\program files\gmsd_ru_005010169', '*', true);
 DeleteFileMask('c:\programdata\timetasks', '*', true);
 DeleteFileMask('c:\program files\zaxar', '*', true);
 DeleteDirectory('c:\program files\gmsd_ru_005010163');
 DeleteDirectory('c:\program files\gmsd_ru_005010164');
 DeleteDirectory('c:\program files\gmsd_ru_005010165');
 DeleteDirectory('c:\program files\gmsd_ru_005010167');
 DeleteDirectory('c:\program files\gmsd_ru_005010168');
 DeleteDirectory('c:\program files\gmsd_ru_005010169');
 DeleteDirectory('c:\programdata\timetasks');
 DeleteDirectory('c:\program files\zaxar');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\1233331901','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe System Incorporated','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\C','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_005010163','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_005010164','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_005010165','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_005010167','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_005010168','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_005010169','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Timestasks','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Firewall Management','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Update Service','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\xetcwow','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarGameBrowser','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(4);
RebootWindows(true);
end.
Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве. Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты
mikepost Новичок

mikepost

Опубликовано
  • Автор
Опубликовано

[KLAN-6482191640]

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
unins000.exe
unins000_0.exe
unins000_1.exe
unins000_2.exe
unins000_3.exe
Registry.pol

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Qray
      После активации системы кмс активатором подхватил майнера
      От Qray
      Здравствуйте, недавно слетела активация виндовс 10 и я как обычно скачал кмс активатор с того же сайта, с которого скачивал и до этого. Система активировалась, все хорошо. Сегодня заметил, что компьютер в простое сильно шумит. А именно куллер видеокарты. Зашел в диспетчер задач - загрузка цп и гп обычная, но температура гп около 67 градусов. (ранее при активации системы кмсом такого не наблюдалось) Далее начали провялятся другие интересные симптомы: При попытке поиска информации об удалении вируса тупо закрывается эдж, также через некоторое время закрывается диспетчер задач и почти сразу начинается нагрев. Поискав информацию в интернете на другом пк наткнулся на эту тему, прочитал порядок оформления запроса о помощи делаю все по инструкции (пытаюсь по крайней мере) Скачал автологгер, запустил процесс, получил нужный файл. Но при этом перезагрузка системы не происходила (система 64 бит виндовс 10) 
      Приклепляю файлы из автолггера и FRST. Помогите пожалуйста 🥺
      CollectionLog-2024.12.29-14.21.zip Addition.txt FRST.txt
    • Vlad05
      Засыпали вирусы
      От Vlad05
      Через Yandex-почту получил 29 мая письмо. Появились первые трояны, через два дня Avast перстал справляться, установил Касперского, но и он все вылечить не может. Помогите, с уважением, Владимир.
      virusinfo_syscheck.zip
      virusinfo_syscure.zip
      hijackthis.rar
    • San4s2034
      Вирус-майнер
      От San4s2034
      Недавно скачал Game of Thrones Genesis с torrent-game.net. Касперски указал, что сайту можно доверять и он проверен. По итогу через время заметил, что в valorant фпс стал заблоченным на 75 и поднимается вверх только если я двигаю мышкой или нажимаю что-то на клавиатуре. Очевидно, что словил майнер. Запустил быструю и полную проверку, результата не дало. Попробовал через защитник windows 11. Заметил, что прогресс доходит до ~70% и потом просто зависает. Запустился через безопасный режим, зашёл в защитник и вылезла ошибка(скриншот). Проверил реестр и групповые политики, ничего нет, все чисто. 

    • San4s2034
      Вирус-майнер
      От San4s2034
      Недавно скачал Game of Thrones Genesis с torrent-game.net. Касперски указал, что сайту можно доверять и он проверен. По итогу через время заметил, что в valorant фпс стал заблоченным на 75 и поднимается вверх только если я двигаю мышкой или нажимаю что-то на клавиатуре. Очевидно, что словил майнер. Запустил быструю и полную проверку, результата не дало. Попробовал через защитник windows 11. Заметил, что прогресс доходит до ~70% и потом просто зависает. Запустился через безопасный режим, зашёл в защитник и вылезла ошибка(скриншот). Проверил реестр и групповые политики, ничего нет, все чисто. 

    • fertune
      Вирус dialer.exe
      От fertune
      Когда открываешь диспетчер задач то сначала ЦП грузит на 100% а потом на 10% я посмотрел через dr.web cureit и увидел то что это майнер dialer.exe, смотрел в интернете как пофиксить но никакие способы не помогли(может быть я что то делал неправильно)
      можете помочь с проблемой? Еще я пробовал его фиксить удаляя его но он опять появлялся и грузил ЦП на все 100%.
       
×
×
  • Создать...