вирус который меняет скачиваемые файлы из инета архивом

[Surenaka]

Недавно заметил что при скачивание файлов из яндекс/гугл/mediafire ресурсов у меня скачивается архив 

ссылку на вирустотал архива - https://www.virustotal.com/ru/file/a9984223567fed08497e571a6bb7d8873bdab363f7f232201934af3ca5861546/analysis/1508964673/

имя архива archive-12-b2e.zip в нем находится сам вирус в формате exe

http://rgho.st/7t2xfgJcLвот ссылку на лог файл, просто у меня почему то не получилось загрузить файл простым способом

Изменено 29 октября, 2017 пользователем Surenaka

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Surenaka]

Порядок оформления запроса о помощи

у меня почему то не получается прикрепить лог-файл могу ли скинуть через какой нить файлообменник?

[Mark D. Pearlstone]

@Surenaka, кнопку "Загрузить" после выбора файла нужно нажать.

[Surenaka]

Недавно заметил что при скачивание файлов из яндекс/гугл/mediafire ресурсов у меня скачивается архив 

ссылку на вирустотал архива - https://www.virustotal.com/ru/file/a9984223567fed08497e571a6bb7d8873bdab363f7f232201934af3ca5861546/analysis/1508964673/

имя архива archive-12-b2e.zip в нем находится сам вирус в формате exe

http://rgho.st/7t2xfgJcLвот ссылку на лог файл, просто у меня почему то не получилось загрузить файл простым способом

CollectionLog-2017.10.29-12.04.zip

[thyrex]

Выполните скрипт в AVZ

begin
ExecuteFile('schtasks.exe', '/delete /TN "shell-unlock" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "shell" /F', 0, 15000, true);
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Пофиксите в HiJack из папки Autologger

O17 - HKLM\System\CSS\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 178.132.6.57
O17 - HKLM\System\CSS\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 193.238.153.54
O17 - HKLM\System\CSS\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 35.177.46.238
O17 - HKLM\System\CSS\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 46.101.28.31
O17 - HKLM\System\CSS\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 178.132.6.57
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 193.238.153.54
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 35.177.46.238
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 82.202.226.203

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[Surenaka]

Выполните скрипт в AVZ

begin
ExecuteFile('schtasks.exe', '/delete /TN "shell-unlock" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "shell" /F', 0, 15000, true);
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Пофиксите в HiJack из папки Autologger

O17 - HKLM\System\CSS\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 178.132.6.57
O17 - HKLM\System\CSS\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 193.238.153.54
O17 - HKLM\System\CSS\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 35.177.46.238
O17 - HKLM\System\CSS\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 46.101.28.31
O17 - HKLM\System\CSS\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 178.132.6.57
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 193.238.153.54
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 35.177.46.238
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 82.202.226.203

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

 

сделал все как написано, проблема осталось

 

извините, проблема прошла, огромное спасибо вам за вашу отзывчивость и за профессиональность, как я понял если вдруг вирус вернется повторить те же действие?

CollectionLog-2017.10.29-13.39.zip

[thyrex]

как я понял если вдруг вирус вернется повторить те же действие?

Причина может оказаться в другом. Потому лучше обращаться с новыми логами.

 

Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.