Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Замена почти любого скаченного файла архивом

Koshka_Mry
 Поделиться

Рекомендуемые сообщения

Koshka_Mry

Koshka_Mry

Опубликовано
Опубликовано

Здравствуйте, мой пк заразился вирусом описанным в этих темах: https://forum.kasperskyclub.ru/index.php?showtopic=57618, https://forum.kasperskyclub.ru/index.php?showtopic=57602.

 

Строгое предупреждение от модератора Mark D. Pearlstone
Внимательно читайте правила раздела! Евгений Касперский не помогает вылечиться от вирусов и не оказывает помощь по продуктам.

CollectionLog-2017.11.12-16.32.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

CurrencyConvertor

MediaGet

PlusHD_1.02mV09.08

Кнопка "Яндекс" на панели задач

удалите через Установку программ

 

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Игорь\appdata\roaming\svchost.exe','');
 QuarantineFile('C:\Users\Игорь\appdata\roaming\cppredistx86.exe','');
 QuarantineFile('C:\Program Files\rempl\remsh.exe','');
 QuarantineFile('C:\Users\D395~1\AppData\Roaming\curl\curl_7_54.exe','');
 QuarantineFile('C:\Users\Игорь\AppData\Roaming\CurrencyConvertor\ml.py','');
 DeleteService('webviewerprocontroller');
 DeleteService('UbarCalloutDriver');
 TerminateProcessByName('c:\users\Игорь\appdata\roaming\currencyconvertor\python\pythonw.exe');
 QuarantineFile('c:\users\Игорь\appdata\roaming\currencyconvertor\python\pythonw.exe','');
 DeleteFile('c:\users\Игорь\appdata\roaming\currencyconvertor\python\pythonw.exe','32');
 DeleteFile('C:\Users\Игорь\AppData\Roaming\CurrencyConvertor\python\unicodedata.pyd','32');
 DeleteFile('C:\Users\Игорь\AppData\Roaming\CurrencyConvertor\python\_ssl.pyd','32');
 DeleteFile('C:\Users\Игорь\AppData\Roaming\CurrencyConvertor\python\_ctypes.pyd','32');
 DeleteFile('C:\WINDOWS\system32\drivers\webviewprocontroller.sys','32');
 DeleteFile('C:\Users\D395~1\AppData\Roaming\SETUPS~1\ml.py','32');
 DeleteFile('C:\Users\D395~1\AppData\Roaming\SETUPS~1\python\pythonw.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','setupsk_upd');
 DeleteFile('C:\Users\Игорь\AppData\Roaming\CurrencyConvertor\ml.py','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CurrencyConvertor');
 DeleteFile('C:\WINDOWS\system32\Tasks\curl','64');
 DeleteFile('C:\Users\D395~1\AppData\Roaming\curl\curl_7_54.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\curls','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\CurrencyConvertor','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\CurrencyConvertor2','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\rempl\shell','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\rempl\shell-unlock','64');
 DeleteFile('C:\Program Files\rempl\remsh.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\Phoenix Browser Updater','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Plugin Follow','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Sentry.7ASLP3Q4N23EBA7KZRND2RDC4A.logon','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Sentry.7ASLP3Q4N23EBA7KZRND2RDC4A.restart','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\setupsk_upd','64');
 DeleteFile('C:\Users\Игорь\appdata\roaming\cppredistx86.exe','32');
 DeleteFile('C:\Users\Игорь\appdata\roaming\svchost.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip при помощи формы над первым сообщением темы или (если размер архива превышает 16 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!

 

Пофиксите в HiJack из папки Autologger

O9-32 - Extra button: TSearch - HKLM\..\{03AE1B7B-A9E7-4D5A-9D34-89999C31B659} - (no file)
O17 - HKLM\System\CSS\Services\Tcpip\..\{307969ed-5312-4493-9593-f5fcebe231ee}: NameServer = 178.132.6.57
O17 - HKLM\System\CSS\Services\Tcpip\..\{307969ed-5312-4493-9593-f5fcebe231ee}: NameServer = 193.238.153.54
O17 - HKLM\System\CSS\Services\Tcpip\..\{307969ed-5312-4493-9593-f5fcebe231ee}: NameServer = 46.101.28.31
O17 - HKLM\System\CSS\Services\Tcpip\..\{307969ed-5312-4493-9593-f5fcebe231ee}: NameServer = 52.56.51.39
O17 - HKLM\System\CSS\Services\Tcpip\..\{307969ed-5312-4493-9593-f5fcebe231ee}: NameServer = 82.202.226.203
O17 - HKLM\System\CSS\Services\Tcpip\..\{3ac6a0f9-466b-42d7-916e-bb6b61cd3b94}: NameServer = 178.132.6.57
O17 - HKLM\System\CSS\Services\Tcpip\..\{3ac6a0f9-466b-42d7-916e-bb6b61cd3b94}: NameServer = 193.238.153.54
O17 - HKLM\System\CSS\Services\Tcpip\..\{3ac6a0f9-466b-42d7-916e-bb6b61cd3b94}: NameServer = 46.101.28.31
O17 - HKLM\System\CSS\Services\Tcpip\..\{3ac6a0f9-466b-42d7-916e-bb6b61cd3b94}: NameServer = 52.56.51.39
O17 - HKLM\System\CSS\Services\Tcpip\..\{3ac6a0f9-466b-42d7-916e-bb6b61cd3b94}: NameServer = 82.202.226.203
O17 - HKLM\System\CSS\Services\Tcpip\..\{b0e4f46f-9ea0-4dc6-9b79-5282871a6833}: NameServer = 178.132.6.57
O17 - HKLM\System\CSS\Services\Tcpip\..\{b0e4f46f-9ea0-4dc6-9b79-5282871a6833}: NameServer = 193.238.153.54
O17 - HKLM\System\CSS\Services\Tcpip\..\{b0e4f46f-9ea0-4dc6-9b79-5282871a6833}: NameServer = 46.101.28.31
O17 - HKLM\System\CSS\Services\Tcpip\..\{b0e4f46f-9ea0-4dc6-9b79-5282871a6833}: NameServer = 52.56.51.39
O17 - HKLM\System\CSS\Services\Tcpip\..\{b0e4f46f-9ea0-4dc6-9b79-5282871a6833}: NameServer = 82.202.226.203
O17 - HKLM\System\CSS\Services\Tcpip\..\{c1be6172-82d9-4cdc-b972-4044e15bc2bf}: NameServer = 178.132.6.57
O17 - HKLM\System\CSS\Services\Tcpip\..\{c1be6172-82d9-4cdc-b972-4044e15bc2bf}: NameServer = 192.168.0.1
O17 - HKLM\System\CSS\Services\Tcpip\..\{c1be6172-82d9-4cdc-b972-4044e15bc2bf}: NameServer = 193.238.153.54
O17 - HKLM\System\CSS\Services\Tcpip\..\{c1be6172-82d9-4cdc-b972-4044e15bc2bf}: NameServer = 46.101.28.31
O17 - HKLM\System\CSS\Services\Tcpip\..\{c1be6172-82d9-4cdc-b972-4044e15bc2bf}: NameServer = 52.56.51.39
O17 - HKLM\System\CSS\Services\Tcpip\..\{c1be6172-82d9-4cdc-b972-4044e15bc2bf}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{307969ed-5312-4493-9593-f5fcebe231ee}: NameServer = 178.132.6.57
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{307969ed-5312-4493-9593-f5fcebe231ee}: NameServer = 193.238.153.54
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{307969ed-5312-4493-9593-f5fcebe231ee}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{307969ed-5312-4493-9593-f5fcebe231ee}: NameServer = 52.56.51.39
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{307969ed-5312-4493-9593-f5fcebe231ee}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{3ac6a0f9-466b-42d7-916e-bb6b61cd3b94}: NameServer = 178.132.6.57
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{3ac6a0f9-466b-42d7-916e-bb6b61cd3b94}: NameServer = 193.238.153.54
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{3ac6a0f9-466b-42d7-916e-bb6b61cd3b94}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{3ac6a0f9-466b-42d7-916e-bb6b61cd3b94}: NameServer = 52.56.51.39
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{3ac6a0f9-466b-42d7-916e-bb6b61cd3b94}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{b0e4f46f-9ea0-4dc6-9b79-5282871a6833}: NameServer = 178.132.6.57
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{b0e4f46f-9ea0-4dc6-9b79-5282871a6833}: NameServer = 193.238.153.54
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{b0e4f46f-9ea0-4dc6-9b79-5282871a6833}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{b0e4f46f-9ea0-4dc6-9b79-5282871a6833}: NameServer = 52.56.51.39
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{b0e4f46f-9ea0-4dc6-9b79-5282871a6833}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{c1be6172-82d9-4cdc-b972-4044e15bc2bf}: NameServer = 178.132.6.57
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{c1be6172-82d9-4cdc-b972-4044e15bc2bf}: NameServer = 192.168.0.1
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{c1be6172-82d9-4cdc-b972-4044e15bc2bf}: NameServer = 193.238.153.54
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{c1be6172-82d9-4cdc-b972-4044e15bc2bf}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{c1be6172-82d9-4cdc-b972-4044e15bc2bf}: NameServer = 52.56.51.39
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{c1be6172-82d9-4cdc-b972-4044e15bc2bf}: NameServer = 82.202.226.203
Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.
Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Отвечать в теме лучше только после выполнения рекомендации полностью, а для благодарности есть соответствующая кнопка.

 

Ждем новые логи после выполнения скрипта и фикса.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Sapfira
      Замена Pocket
      Автор Sapfira
      В связи с тем, что сервис закладок Pocket закрывается, нужно найти хорошую альтернативу.
      Важно, чтобы по дизайну и функционалу аналог был похож на "Покет", чтобы было браузерное расширение, при нажатии на которое, страница автоматически сохраняется (так же как в Покете) и возможность импортировать туда все закладки из Покета. И чтобы был бесплатным.
       
      Из самого подходящего нашла сервис Raindrop.io, но оказалось, что расширение не работает в Яндекс Браузере (при нажатии на расширение, просит войти, хотя вход уже выполнен). Потом попробовала Evernote, но он не понравился, там совсем всё по-другому.
       
      Ещё нашла Hoarder, по виду подходящий, но похоже платный.
       
      В общем, не понятно, куда теперь переходить. 
       
       
    • Анди25
      Замена сертификата на сервере ksc
      Автор Анди25
      День добрый,
       
      Сменился сервер и имя, из бэкап восстановил, но все сертификаты естественно указывают на прежний.
      Подскажите как сертификат сменить непосредственно на Kaspersky Security Center (не для работы мобильных клиентов и web, они легко меняются через mmc)
       
      Нашел описание по утилите klsetsrvcert, но чего-то не хватает, не проходит создание.
      "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center\klsetsrvcert.exe" -t C -i C:\0\klserver.cer -p testpass -o NoCA
    • Alexxxxx
      У меня РАТ файл
      Автор Alexxxxx
      Я установил РАТ файл случайно 
      По ту сторону вируса со мной связался человек он говорит что у меня установлен dropper и bootkit вместе с rat вирусом он пытался получить доступ к аккаунтам , у некоторых я поменял пароль и отключил интернет кабель, что мне делать
    • Serhio0606
      Проверка файла
      Автор Serhio0606
      Здравствуйте, хотел скачать игру, но «Касперский» посчитал, что в файле-установщике есть вирус ( UDS:DangerousObject.Multi.Generic ). Я почитал про это в интернете и узнал, что он не всегда бывает вирусом, и чтобы проверить, можно отправить файл на форум, где специалисты вручную проверят его на наличие вирусов. Помогите, пожалуйста!
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь".
       
      Строгое предупреждение от модератора Mark D. Pearlstone На форуме запрещено размещать вредоносные и потенциально вредоносные файлы и ссылки на них.
       
    • SatanicPanzer
      Файлы зашифрованы с расширением Encrypted
      Автор SatanicPanzer
      Скорее всего проник через почту на сервер небольшой фирмы, файлы и логи прикрепляю
      FRST.txt 1.zip
×
×
  • Создать...