Перейти к содержанию

Попался такой экземпляр


Рекомендуемые сообщения

Ошибки при старте системы, открываются ссылки, в том числе на youtube.Явные вирусники удалил через панель управления и просканировал каспером с очисткой.

Прикладываю логи

CollectionLog-2017.08.01-20.28.zip

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Илья\AppData\Local\SearchGo\searchgo.exe','');
 QuarantineFile('C:\Users\Илья\AppData\Local\FilterStart\FilterStart.exe','');
 QuarantineFile('C:\ProgramData\taskmer\taskmer.exe','');
 QuarantineFile('C:\Users\Илья\AppData\Roaming\Microsoft\msi.exe','');
 QuarantineFile('C:\Users\Илья\AppData\Local\fupdate\fupdate.exe','');
 QuarantineFile('C:\Users\Илья\AppData\Local\FileSystemDriver\FileSystemDriver.exe','');
 QuarantineFile('C:\Users\Илья\AppData\Roaming\curl\curl_7_54.exe','');
 QuarantineFile('C:\Users\Илья\AppData\Roaming\curl\curl.exe','');
 QuarantineFile('C:\Users\75BD~1\AppData\Roaming\aswast\app.py','');
 QuarantineFile('C:\Users\Илья\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\JRE Update.bat','');
 DeleteService('4F95F7E2EA7F8CF6');
 DeleteService('4F95E80801C0C0F6');
 DeleteService('4F95D6B2545823F6');
 DeleteService('4F95C45F60A6E5F6');
 DeleteService('4F95C45019F128F6');
 DeleteService('4F95BEE33531AEF6');
 DeleteService('4F959563E1A75376');
 DeleteService('4F95923EA6927F76');
 DeleteService('4F958E605DC81076');
 SetServiceStart('AppFrameHost', 4);
 SetServiceStart('SvcHost Service Host', 4);
 DeleteService('SvcHost Service Host');
 DeleteService('AppFrameHost');
 TerminateProcessByName('c:\programdata\framework\windows driver.exe');
 QuarantineFile('c:\programdata\framework\windows driver.exe','');
 TerminateProcessByName('C:\Windows\Microsoft\svchost.exe.exe');
 QuarantineFile('C:\Windows\Microsoft\svchost.exe.exe','');
 TerminateProcessByName('c:\windows\microsoft\svchost.exe');
 QuarantineFile('c:\windows\microsoft\svchost.exe','');
 QuarantineFile('c:\users\Илья\appdata\local\filesystemdriver\filesystemdriver.exe','');
 TerminateProcessByName('c:\programdata\windowssql\com surrogate.exe');
 QuarantineFile('c:\programdata\windowssql\com surrogate.exe','');
 TerminateProcessByName('C:\Windows\System32\AppFrameHost.exe');
 QuarantineFile('C:\Windows\System32\AppFrameHost.exe','');
 DeleteFile('C:\Windows\System32\AppFrameHost.exe','32');
 DeleteFile('c:\programdata\windowssql\com surrogate.exe','32');
 DeleteFile('c:\windows\microsoft\svchost.exe','32');
 DeleteFile('C:\Windows\Microsoft\svchost.exe.exe','32');
 DeleteFile('c:\programdata\framework\windows driver.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','oolmyvxyxo');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','JRE Update');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MediaGet2');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\efvwesjkbc','command');
 DeleteFile('C:\Users\Илья\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\JRE Update.bat','32');
 DeleteFile('C:\Windows\system32\Tasks\aswast2','64');
 DeleteFile('C:\Windows\system32\Tasks\curl','64');
 DeleteFile('C:\Users\75BD~1\AppData\Roaming\aswast\app.py','32');
 DeleteFile('C:\Users\Илья\AppData\Roaming\curl\curl.exe','32');
 DeleteFile('C:\Users\Илья\AppData\Roaming\curl\curl_7_54.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\curls','64');
 DeleteFile('C:\Windows\system32\Tasks\FileSystemDriver','64');
 DeleteFile('C:\Users\Илья\AppData\Local\FileSystemDriver\FileSystemDriver.exe','32');
 DeleteFile('C:\Users\Илья\AppData\Local\fupdate\fupdate.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\fupdate','64');
 DeleteFile('C:\Windows\system32\Tasks\MSI','64');
 DeleteFile('C:\Users\Илья\AppData\Roaming\Microsoft\msi.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Realtek','64');
 DeleteFile('C:\ProgramData\taskmer\taskmer.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\SearchGo Task','64');
 DeleteFile('C:\Windows\system32\Tasks\System Request Manager','64');
 DeleteFile('C:\Users\Илья\AppData\Local\FilterStart\FilterStart.exe','32');
 DeleteFile('C:\Users\Илья\AppData\Local\SearchGo\searchgo.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

Ссылка на комментарий
Поделиться на другие сайты

Ага

[KLAN-6599347391]

Thank you for contacting Kaspersky Lab

The files have been scanned in automatic mode.

No information about the specified files can be found in the antivirus databases:
app.py
AppFrameHost.exe

Riskware which may harm your computer was detected in the following files:
windows driver.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.hxao
svchost.exe.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.cwo

Malicious code has been detected in the following files:
svchost.exe - Trojan.Win32.SelfDel.fzzy
com surrogate.exe - Trojan.VBS.Agent.ajd

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.
	
This is an automatically generated message. Please do not reply to it.

Anti-Virus Lab, Kaspersky Lab HQ

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia
Tel./Fax: + 7 (495) 797 8700 
http://www.kaspersky.com http://www.viruslist.com"

CollectionLog-2017.08.01-21.00.zip

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • NotDev
      Автор NotDev
      Доброго времени суток. Помогите пожалуйста. Собственно, скачал с яндекса Notepad++, сайт индексировался выше, чем оригинальный сайт, не заметил этого. Просканировал с помощью ESET и KVRT. Вылечил файлы, отправил с помощью AVZ по данной форме файл Форма отправки карантина, а потом наткнулся на данную тему.
      [РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen Помогите удалить, пожалуйста - Помощь в удалении вирусов - Kaspersky Club | Клуб «Лаборатории Касперского»

      файлы точно такие же, директории тоже и происходит точно такая же ситуация.
      Сам "установочный файл" отправил на any.run, результат можете посмотреть тут
      https://app.any.run/tasks/6cc9f3a2-26a3-4175-a5e9-157595baa225

      1) AutoLogger - логи с него.
      2) Farbar Recovery Scan Tool - так же лог с него.

      Шаг с AVZ был пропущен, так как я уже выполнил скрипт и отправил на форму.
      CollectionLog-2025.07.06-21.02.zip FRST.zip
    • Albina
      Автор Albina
      Добрый день. Словили шифровальщик. Помогите восстановить файлы. Бэкапов не делали((
      Анализ системы при помощи Farbar сделали. Архив с файлами прилагаем.
      С надеждой, Альбина
      Shortcut_23-04-2025 17.30.07.txt Logs.zip
    • Зядик Леонид
      Автор Зядик Леонид
      Во время игры ЦП сильно нагрузился, зайдя в диспечер задач было 100% и упало до манимальных. Скачивал антивирусы по типу Dr.Web после удаления он снова возвращался и нагружал ЦП, даже я нашел папку с ним и решил удалить саму папку, но ничего не изменилось, майнер востановился обратно. Помогите пожалуйста решить проблему
    • keinsdow
      Автор keinsdow
      Хотел конвертировать PNG
      Перешёл на сайт hotpng.com
      Попал на фейк каптчу и инструкцию:
      удалено
      После этого выполнил восстановление через восстановления Windows
      Теперь не могу точно сказать, осталсяCollectionLog-2025.02.01-19.34.zip какой либо вирус или какие либо данные были украдены
    • Даниил342432
      Автор Даниил342432
      FRST.txtAddition.txt После подключения к компьютеру по RDP на компьютер попал вирус под названием NESHTA. И зашифровал почти все файлы в тип файла KASPER. Попытались удалить при помощи программы(avg_remover_neshta), но ничего не получилось.
      Дальше воспользовавшись этой ссылкой(https://forum.kasperskyclub.ru/topic/65731-pravila-oformlenija-zaprosa-o-pomoshhi/) решили написать вам.
      Virus.rar
×
×
  • Создать...