вирус который меняет скачиваемые файлы из инета архивом

29 октября, 2017

Недавно заметил что при скачивание файлов из яндекс/гугл/mediafire ресурсов у меня скачивается архив

ссылку на вирустотал архива - https://www.virustotal.com/ru/file/a9984223567fed08497e571a6bb7d8873bdab363f7f232201934af3ca5861546/analysis/1508964673/

имя архива archive-12-b2e.zip в нем находится сам вирус в формате exe

http://rgho.st/7t2xfgJcLвот ссылку на лог файл, просто у меня почему то не получилось загрузить файл простым способом

Изменено 29 октября, 2017 пользователем Surenaka

29 октября, 2017

Порядок оформления запроса о помощи

29 октября, 2017

Порядок оформления запроса о помощи

у меня почему то не получается прикрепить лог-файл могу ли скинуть через какой нить файлообменник?

29 октября, 2017

@Surenaka, кнопку "Загрузить" после выбора файла нужно нажать.

29 октября, 2017

Недавно заметил что при скачивание файлов из яндекс/гугл/mediafire ресурсов у меня скачивается архив

ссылку на вирустотал архива - https://www.virustotal.com/ru/file/a9984223567fed08497e571a6bb7d8873bdab363f7f232201934af3ca5861546/analysis/1508964673/

имя архива archive-12-b2e.zip в нем находится сам вирус в формате exe

http://rgho.st/7t2xfgJcLвот ссылку на лог файл, просто у меня почему то не получилось загрузить файл простым способом

CollectionLog-2017.10.29-12.04.zip

29 октября, 2017

Выполните скрипт в AVZ

begin
ExecuteFile('schtasks.exe', '/delete /TN "shell-unlock" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "shell" /F', 0, 15000, true);
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Пофиксите в HiJack из папки Autologger

O17 - HKLM\System\CSS\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 178.132.6.57
O17 - HKLM\System\CSS\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 193.238.153.54
O17 - HKLM\System\CSS\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 35.177.46.238
O17 - HKLM\System\CSS\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 46.101.28.31
O17 - HKLM\System\CSS\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 178.132.6.57
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 193.238.153.54
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 35.177.46.238
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 82.202.226.203

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

29 октября, 2017

Выполните скрипт в AVZ

begin
ExecuteFile('schtasks.exe', '/delete /TN "shell-unlock" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "shell" /F', 0, 15000, true);
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Пофиксите в HiJack из папки Autologger

O17 - HKLM\System\CSS\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 178.132.6.57
O17 - HKLM\System\CSS\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 193.238.153.54
O17 - HKLM\System\CSS\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 35.177.46.238
O17 - HKLM\System\CSS\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 46.101.28.31
O17 - HKLM\System\CSS\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 178.132.6.57
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 193.238.153.54
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 35.177.46.238
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{62f0dd72-f39e-4fdb-a2c1-d0f8af50b5ae}: NameServer = 82.202.226.203

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

сделал все как написано, проблема осталось

извините, проблема прошла, огромное спасибо вам за вашу отзывчивость и за профессиональность, как я понял если вдруг вирус вернется повторить те же действие?

CollectionLog-2017.10.29-13.39.zip

29 октября, 2017

как я понял если вдруг вирус вернется повторить те же действие?

Причина может оказаться в другом. Потому лучше обращаться с новыми логами.

Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе.

Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
Процитируйте содержимое файла в своем следующем сообщении.

вирус который меняет скачиваемые файлы из инета архивом

Рекомендуемые сообщения

Surenaka

Mark D. Pearlstone

Surenaka

Mark D. Pearlstone

Surenaka

thyrex

Surenaka

thyrex

Пожалуйста, войдите, чтобы комментировать

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum