Перейти к содержанию
Важная информация для бета-тестеров

вирус подменяет скачивания своим архивом

anton-ad
 Share

Рекомендуемые сообщения

anton-ad Новичок

anton-ad

Опубликовано
Опубликовано

Вирус вместо прикрепленных файлов при скачивании подменяет все своим архивом при работе в яндекс-почте и яндекс-диске. Запуск утилит KVRT, CureIt, adwcleaner ничего не дает. Возможно, появился после просмотра мультиков из инета - но точно не уверен. Работаю преимущественно в хроме, но в эксплорере та же ерунда.

 

CollectionLog-2017.11.08-00.10.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\system32\Ea3Host.exe', '');
 DeleteFile('C:\Users\fynjy\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk');
 DeleteFile('C:\Users\fynjy\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk');
 DeleteFile('C:\Users\fynjy\Favorites\Links\Интернет.url');
 DeleteFile('C:\Windows\system32\Ea3Host.exe', '32');
 DeleteService('Ea3Host');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\rcdumknlbo', 'command');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(21);
 ExecuteFile('ipconfig', '/flushdns', 0, 10000, true);
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Ссылка на комментарий
Поделиться на другие сайты
anton-ad Новичок

anton-ad

Опубликовано
  • Автор
Опубликовано

KLAN-7109210713

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.
В антивирусных базах информация по присланным вами файлам отсутствует:
quarantine.zip
Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.
Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.
Антивирусная Лаборатория, Kaspersky Lab HQ

 

////////////////////

Резюме - после выполненных операций проблема исчезла

Благодарю!


Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\system32\Ea3Host.exe', '');
 DeleteFile('C:\Users\fynjy\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk');
 DeleteFile('C:\Users\fynjy\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk');
 DeleteFile('C:\Users\fynjy\Favorites\Links\Интернет.url');
 DeleteFile('C:\Windows\system32\Ea3Host.exe', '32');
 DeleteService('Ea3Host');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\rcdumknlbo', 'command');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(21);
 ExecuteFile('ipconfig', '/flushdns', 0, 10000, true);
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.
Компьютер перезагрузится.



Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)



Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

 

Все выполнил по списку, проблема исчезла.

Благодарю.

KLAN-7109210713

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.
В антивирусных базах информация по присланным вами файлам отсутствует:
quarantine.zip
Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

CollectionLog-2017.11.08-22.30.zip

CollectionLog-2017.11.08-22.30.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Следы еще видны.

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
anton-ad Новичок

anton-ad

Опубликовано
  • Автор
Опубликовано (изменено)

Следы еще видны.

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

 

done

 

на одном из сайтов (не яндекс диск)  вирус пытался что-то подменить, а может и не вирус

сайт вот

http://www.mountain.ru/mkk/

при нажатии на любую новость пытался загрузить что-то необычное

AdwCleanerS39.txt

Изменено пользователем anton-ad
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

1.

  • Пожалуйста, запустите adwcleaner.exe
  • В меню File (Файл) - выберите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.
2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
anton-ad Новичок

anton-ad

Опубликовано
  • Автор
Опубликовано

1.

  • Пожалуйста, запустите adwcleaner.exe
  • В меню File (Файл) - выберите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.
2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

done

не хочет прикреплять...

Addition.txt

Shortcut.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-3629084662-2458740839-1107269572-1000\...\MountPoints2: I - I:\_AUTORUN\AUTORUN.EXE
HKU\S-1-5-21-3629084662-2458740839-1107269572-1000\...\MountPoints2: {3978a79a-267f-11e7-9b38-10c37b6e876a} - I:\_AUTORUN\AUTORUN.EXE
HKU\S-1-5-21-3629084662-2458740839-1107269572-1000\...\MountPoints2: {6d2180ad-21ec-11e7-ad35-10c37b6e876a} - I:\_AUTORUN\AUTORUN.EXE
HKU\S-1-5-21-3629084662-2458740839-1107269572-1000\...\MountPoints2: {6d2180af-21ec-11e7-ad35-10c37b6e876a} - I:\_AUTORUN\AUTORUN.EXE
HKU\S-1-5-21-3629084662-2458740839-1107269572-1000\...\MountPoints2: {6d2180b1-21ec-11e7-ad35-10c37b6e876a} - I:\Menu.exe
GroupPolicy: Restriction <==== ATTENTION
GroupPolicy\User: Restriction <==== ATTENTION
SearchScopes: HKU\S-1-5-21-3629084662-2458740839-1107269572-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7BC8E4D9BF-5BFB-45BB-B958-C806E6087972%7D&gp=832418
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=811013
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\fynjy\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2017-11-04]
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\fynjy\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru.xpi [2017-11-04]
FF Extension: (Поиск@Mail.Ru) - C:\Users\fynjy\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru.xpi [2017-11-04]
FF Extension: (Пульт) - C:\Users\fynjy\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7}.xpi [2017-11-04]
CHR HomePage: Default -> inline.go.mail.ru
CHR DefaultSearchURL: Default -> hxxps://inline.go.mail.ru/search?inline_comp=dse&q={searchTerms}&fr=chxtn12.0.23
CHR DefaultSearchKeyword: Default -> inline.go.mail.ru
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
2017-11-04 16:43 - 2017-11-04 16:46 - 000000000 ____D C:\Users\fynjy\AppData\Roaming\CurrencyConvertor
2017-11-04 16:42 - 2017-11-04 16:42 - 000000000 ____D C:\Users\fynjy\AppData\Roaming\curl
2017-11-04 16:41 - 2017-09-24 19:26 - 000000000 ____D C:\Users\fynjy\AppData\Local\yc
AlternateDataStreams: C:\ProgramData:iSpring Solutions [128]
AlternateDataStreams: C:\Users\All Users:iSpring Solutions [128]
AlternateDataStreams: C:\Users\Все пользователи:iSpring Solutions [128]
AlternateDataStreams: C:\ProgramData\Application Data:iSpring Solutions [128]
AlternateDataStreams: C:\Users\fynjy\Application Data:iSpring Solutions [128]
AlternateDataStreams: C:\Users\fynjy\AppData\Roaming:iSpring Solutions [128]
AlternateDataStreams: C:\Users\Все пользователи\Application Data:iSpring Solutions [128]
MSCONFIG\startupreg: rcdumknlbo => explorer "http://granena.ru/?utm_source=uoua03n&utm_content=e739009bccd5f1e6d71a91bff5994529&utm_term=5FC434BF9187E10BB1552043F60D8CB9&utm_d=20170924"
MSCONFIG\startupreg: ycAutoLaunch_330E11F49D8D7C211D484D85126818F8 => "C:\Users\fynjy\AppData\Local\yc\Application\yc.exe" /prefetch:5
FirewallRules: [{5083E9EF-82E9-420C-862D-DBDC67063EDA}] => (Allow) C:\Program Files\UBar\ubar.exe
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
  • 1 month later...
anton-ad Новичок

anton-ad

Опубликовано
  • Автор
Опубликовано

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
  • /////////////////
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

Уф. Срочно пришлось уехать на пару месяцев...

Скрипт выполнил, файл загрузил.

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Alexey ML
      [РЕШЕНО] Майнер после скачивания утилиты "Zapret"
      От Alexey ML
      1. Проведите проверку ПК, воспользовавшись одним из следующих продуктов:
      Kaspersky Virus Removal Tool - Проводил (Ничего не нашел) Dr.Web CureIt! - Проводил (Нашел файлы, но все эти файлы были от программы IObit Uninstaller, удалил все найденные файлы и удалил саму программу, но программа стояла у меня давно, проблем не было)

      2. Скачайте актуальную версию автоматического сборщика логов - все сделал по инструкции.

      Сама суть проблемы: заметил сегодня (думаю, что проблема возникла вчера). При простое грузится процессор на 39-40% , вчера вечером скачивал утилиту "zapret" , но удалил её т.к. требуемого результата она не дала. Как только открываешь диспетчер задач, то нагрузка на процессор падает до нормы, в этот момент система ведет себя так же как и раньше, закрываешь - через секунд 10-15 опять нагрузка на процессор до 39-40% . Никаких других проблем замечено не было - интернет работает, все открывается. Восстановить систему на неделю назад не смог - просто бесконечный пункт "Восстановление системы восстанавливает реестр", точек восстановления раньше нет. 
      Проверял систему Dr.Web Curelt, KVRT, стандартным защитником Windows. 
        CollectionLog-2024.12.09-21.57.zip
    • DarkMeF
      Поймал майнер. Не могу своими силами устранить(
      От DarkMeF
      Добрый вечер. Словил майнер.

       
      по классике в общем. microsoftHost грузит. Но этот какой то жуткий. Вообще никуда не дает зайти. Даже system explorer блочит. можно увилеть разве что так
       

       
      Пожалуйста помогите)) 
      Логи прикрепил, надеюсь правильно
      CollectionLog-2025.01.04-23.11.zip
      Само собой пытался удалять, но он сразу восстает
    • KL FC Bot
      Утечка Gravy Analytics — как защитить свои данные геолокации | Блог Касперского
      От KL FC Bot
      Наши смартфоны и другие устройства ежедневно собирают и передают десяткам или даже сотням сторонних компаний кучу данных о нас, включая информацию о местоположении. Существует огромный рынок, на котором продают и покупают такую информацию (естественно, без ведома пользователей), тем самым создавая скрытые риски для нашей приватности.
      Недавний взлом одного из брокеров данных геолокации, Gravy Analytics, наглядно демонстрирует последствия такой практики. В этом материале разберем, как работают брокеры данных и к чему может привести утечка собранной ими информации. А также поговорим о том, что можно сделать для защиты данных о вашем местоположении.
      Кто такие брокеры данных геолокации
      Брокеры данных — это компании, которые собирают, обрабатывают и продают информацию о пользователях. Эту информацию они получают из мобильных приложений, сетей интернет-рекламы, систем онлайн-аналитики, от операторов связи, а также из массы других источников — от домашних умных устройств до автомобилей.
      В теории основным предназначением этих данных являются аналитика и таргетированная реклама. Однако на практике каких-то ограничений на использование информации не существует, а купить ее часто может любой желающий. Поэтому в реальности с пользовательскими данными может происходить все что угодно. Например, как выяснилось из прошлогоднего расследования, коммерческие дата-брокеры — напрямую или через фирмы-посредники — обслуживают даже спецслужбы некоторых стран.
      Брокеры данных собирают массу всевозможной информации о пользователях. Но одна из самых важных и чувствительных категорий — это данные об их местоположении. Причем геолокация настолько востребована, что помимо брокеров данных, так сказать, общего характера, существуют также узкопрофильные компании.
      Таким образом, брокеры данных геолокации — это организации, которые специализируются на сборе и продаже информации о местоположения пользователей. Одним из крупных игроков в этом сегменте рынка торговли данными как раз и является американская Gravy Analytics, которая в 2023 году слилась с норвежской Unacast.
       
      View the full article
    • Vlad05
      Засыпали вирусы
      От Vlad05
      Через Yandex-почту получил 29 мая письмо. Появились первые трояны, через два дня Avast перстал справляться, установил Касперского, но и он все вылечить не может. Помогите, с уважением, Владимир.
      virusinfo_syscheck.zip
      virusinfo_syscure.zip
      hijackthis.rar
    • San4s2034
      Вирус-майнер
      От San4s2034
      Недавно скачал Game of Thrones Genesis с torrent-game.net. Касперски указал, что сайту можно доверять и он проверен. По итогу через время заметил, что в valorant фпс стал заблоченным на 75 и поднимается вверх только если я двигаю мышкой или нажимаю что-то на клавиатуре. Очевидно, что словил майнер. Запустил быструю и полную проверку, результата не дало. Попробовал через защитник windows 11. Заметил, что прогресс доходит до ~70% и потом просто зависает. Запустился через безопасный режим, зашёл в защитник и вылезла ошибка(скриншот). Проверил реестр и групповые политики, ничего нет, все чисто. 

×
×
  • Создать...