Замена почти любого скаченного файла архивом

12 ноября, 2017

Здравствуйте, мой пк заразился вирусом описанным в этих темах: https://forum.kasperskyclub.ru/index.php?showtopic=57618, https://forum.kasperskyclub.ru/index.php?showtopic=57602.

Строгое предупреждение от модератора Mark D. Pearlstone

Внимательно читайте правила раздела! Евгений Касперский не помогает вылечиться от вирусов и не оказывает помощь по продуктам.

CollectionLog-2017.11.12-16.32.zip

12 ноября, 2017

CurrencyConvertor

MediaGet

PlusHD_1.02mV09.08

Кнопка "Яндекс" на панели задач

удалите через Установку программ

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Игорь\appdata\roaming\svchost.exe','');
 QuarantineFile('C:\Users\Игорь\appdata\roaming\cppredistx86.exe','');
 QuarantineFile('C:\Program Files\rempl\remsh.exe','');
 QuarantineFile('C:\Users\D395~1\AppData\Roaming\curl\curl_7_54.exe','');
 QuarantineFile('C:\Users\Игорь\AppData\Roaming\CurrencyConvertor\ml.py','');
 DeleteService('webviewerprocontroller');
 DeleteService('UbarCalloutDriver');
 TerminateProcessByName('c:\users\Игорь\appdata\roaming\currencyconvertor\python\pythonw.exe');
 QuarantineFile('c:\users\Игорь\appdata\roaming\currencyconvertor\python\pythonw.exe','');
 DeleteFile('c:\users\Игорь\appdata\roaming\currencyconvertor\python\pythonw.exe','32');
 DeleteFile('C:\Users\Игорь\AppData\Roaming\CurrencyConvertor\python\unicodedata.pyd','32');
 DeleteFile('C:\Users\Игорь\AppData\Roaming\CurrencyConvertor\python\_ssl.pyd','32');
 DeleteFile('C:\Users\Игорь\AppData\Roaming\CurrencyConvertor\python\_ctypes.pyd','32');
 DeleteFile('C:\WINDOWS\system32\drivers\webviewprocontroller.sys','32');
 DeleteFile('C:\Users\D395~1\AppData\Roaming\SETUPS~1\ml.py','32');
 DeleteFile('C:\Users\D395~1\AppData\Roaming\SETUPS~1\python\pythonw.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','setupsk_upd');
 DeleteFile('C:\Users\Игорь\AppData\Roaming\CurrencyConvertor\ml.py','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CurrencyConvertor');
 DeleteFile('C:\WINDOWS\system32\Tasks\curl','64');
 DeleteFile('C:\Users\D395~1\AppData\Roaming\curl\curl_7_54.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\curls','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\CurrencyConvertor','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\CurrencyConvertor2','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\rempl\shell','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\rempl\shell-unlock','64');
 DeleteFile('C:\Program Files\rempl\remsh.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\Phoenix Browser Updater','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Plugin Follow','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Sentry.7ASLP3Q4N23EBA7KZRND2RDC4A.logon','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Sentry.7ASLP3Q4N23EBA7KZRND2RDC4A.restart','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\setupsk_upd','64');
 DeleteFile('C:\Users\Игорь\appdata\roaming\cppredistx86.exe','32');
 DeleteFile('C:\Users\Игорь\appdata\roaming\svchost.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip при помощи формы над первым сообщением темы или (если размер архива превышает 16 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!

Пофиксите в HiJack из папки Autologger

O9-32 - Extra button: TSearch - HKLM\..\{03AE1B7B-A9E7-4D5A-9D34-89999C31B659} - (no file)
O17 - HKLM\System\CSS\Services\Tcpip\..\{307969ed-5312-4493-9593-f5fcebe231ee}: NameServer = 178.132.6.57
O17 - HKLM\System\CSS\Services\Tcpip\..\{307969ed-5312-4493-9593-f5fcebe231ee}: NameServer = 193.238.153.54
O17 - HKLM\System\CSS\Services\Tcpip\..\{307969ed-5312-4493-9593-f5fcebe231ee}: NameServer = 46.101.28.31
O17 - HKLM\System\CSS\Services\Tcpip\..\{307969ed-5312-4493-9593-f5fcebe231ee}: NameServer = 52.56.51.39
O17 - HKLM\System\CSS\Services\Tcpip\..\{307969ed-5312-4493-9593-f5fcebe231ee}: NameServer = 82.202.226.203
O17 - HKLM\System\CSS\Services\Tcpip\..\{3ac6a0f9-466b-42d7-916e-bb6b61cd3b94}: NameServer = 178.132.6.57
O17 - HKLM\System\CSS\Services\Tcpip\..\{3ac6a0f9-466b-42d7-916e-bb6b61cd3b94}: NameServer = 193.238.153.54
O17 - HKLM\System\CSS\Services\Tcpip\..\{3ac6a0f9-466b-42d7-916e-bb6b61cd3b94}: NameServer = 46.101.28.31
O17 - HKLM\System\CSS\Services\Tcpip\..\{3ac6a0f9-466b-42d7-916e-bb6b61cd3b94}: NameServer = 52.56.51.39
O17 - HKLM\System\CSS\Services\Tcpip\..\{3ac6a0f9-466b-42d7-916e-bb6b61cd3b94}: NameServer = 82.202.226.203
O17 - HKLM\System\CSS\Services\Tcpip\..\{b0e4f46f-9ea0-4dc6-9b79-5282871a6833}: NameServer = 178.132.6.57
O17 - HKLM\System\CSS\Services\Tcpip\..\{b0e4f46f-9ea0-4dc6-9b79-5282871a6833}: NameServer = 193.238.153.54
O17 - HKLM\System\CSS\Services\Tcpip\..\{b0e4f46f-9ea0-4dc6-9b79-5282871a6833}: NameServer = 46.101.28.31
O17 - HKLM\System\CSS\Services\Tcpip\..\{b0e4f46f-9ea0-4dc6-9b79-5282871a6833}: NameServer = 52.56.51.39
O17 - HKLM\System\CSS\Services\Tcpip\..\{b0e4f46f-9ea0-4dc6-9b79-5282871a6833}: NameServer = 82.202.226.203
O17 - HKLM\System\CSS\Services\Tcpip\..\{c1be6172-82d9-4cdc-b972-4044e15bc2bf}: NameServer = 178.132.6.57
O17 - HKLM\System\CSS\Services\Tcpip\..\{c1be6172-82d9-4cdc-b972-4044e15bc2bf}: NameServer = 192.168.0.1
O17 - HKLM\System\CSS\Services\Tcpip\..\{c1be6172-82d9-4cdc-b972-4044e15bc2bf}: NameServer = 193.238.153.54
O17 - HKLM\System\CSS\Services\Tcpip\..\{c1be6172-82d9-4cdc-b972-4044e15bc2bf}: NameServer = 46.101.28.31
O17 - HKLM\System\CSS\Services\Tcpip\..\{c1be6172-82d9-4cdc-b972-4044e15bc2bf}: NameServer = 52.56.51.39
O17 - HKLM\System\CSS\Services\Tcpip\..\{c1be6172-82d9-4cdc-b972-4044e15bc2bf}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{307969ed-5312-4493-9593-f5fcebe231ee}: NameServer = 178.132.6.57
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{307969ed-5312-4493-9593-f5fcebe231ee}: NameServer = 193.238.153.54
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{307969ed-5312-4493-9593-f5fcebe231ee}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{307969ed-5312-4493-9593-f5fcebe231ee}: NameServer = 52.56.51.39
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{307969ed-5312-4493-9593-f5fcebe231ee}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{3ac6a0f9-466b-42d7-916e-bb6b61cd3b94}: NameServer = 178.132.6.57
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{3ac6a0f9-466b-42d7-916e-bb6b61cd3b94}: NameServer = 193.238.153.54
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{3ac6a0f9-466b-42d7-916e-bb6b61cd3b94}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{3ac6a0f9-466b-42d7-916e-bb6b61cd3b94}: NameServer = 52.56.51.39
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{3ac6a0f9-466b-42d7-916e-bb6b61cd3b94}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{b0e4f46f-9ea0-4dc6-9b79-5282871a6833}: NameServer = 178.132.6.57
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{b0e4f46f-9ea0-4dc6-9b79-5282871a6833}: NameServer = 193.238.153.54
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{b0e4f46f-9ea0-4dc6-9b79-5282871a6833}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{b0e4f46f-9ea0-4dc6-9b79-5282871a6833}: NameServer = 52.56.51.39
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{b0e4f46f-9ea0-4dc6-9b79-5282871a6833}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{c1be6172-82d9-4cdc-b972-4044e15bc2bf}: NameServer = 178.132.6.57
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{c1be6172-82d9-4cdc-b972-4044e15bc2bf}: NameServer = 192.168.0.1
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{c1be6172-82d9-4cdc-b972-4044e15bc2bf}: NameServer = 193.238.153.54
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{c1be6172-82d9-4cdc-b972-4044e15bc2bf}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{c1be6172-82d9-4cdc-b972-4044e15bc2bf}: NameServer = 52.56.51.39
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{c1be6172-82d9-4cdc-b972-4044e15bc2bf}: NameServer = 82.202.226.203

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

12 ноября, 2017

Спасибо

12 ноября, 2017

Отвечать в теме лучше только после выполнения рекомендации полностью, а для благодарности есть соответствующая кнопка.

Ждем новые логи после выполнения скрипта и фикса.

Замена почти любого скаченного файла архивом

Рекомендуемые сообщения

Koshka_Mry

thyrex

Koshka_Mry

thyrex

Пожалуйста, войдите, чтобы комментировать

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum