Перейти к содержанию

Вирус меняет файлы при скачивании с почты

twn2twn
 Share

Рекомендуемые сообщения

twn2twn Новичок

twn2twn

Опубликовано
Опубликовано

Добрый день , аналогичная проблема с постами ниже: при скачивании файлов с почту , происходит замена на архив ,  в котором сидит exe-шный файл (scshost),   + раз в минуту при любом нажатии мышки  проиходит переход на страницы рекламных сайтов типо : вулкан , Форекс и тд и тп.

Произошло это все ,  после того как я установил ряд программ : 1с + кряк ,  в итоге проблема, при проверке  на вирусу , вылазиют трояны , удаляешь , но все остается.

 

Прикрепляю логи

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Пофиксите в HiJack из папки Autologger

O17 - HKLM\System\CSS\Services\Tcpip\..\{65908ea6-90eb-409a-8384-8dcaeeb4df8b}: NameServer = 35.177.46.238
O17 - HKLM\System\CSS\Services\Tcpip\..\{65908ea6-90eb-409a-8384-8dcaeeb4df8b}: NameServer = 46.101.28.31
O17 - HKLM\System\CSS\Services\Tcpip\..\{65908ea6-90eb-409a-8384-8dcaeeb4df8b}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{65908ea6-90eb-409a-8384-8dcaeeb4df8b}: NameServer = 192.168.1.1
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{65908ea6-90eb-409a-8384-8dcaeeb4df8b}: NameServer = 35.177.46.238
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{65908ea6-90eb-409a-8384-8dcaeeb4df8b}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{65908ea6-90eb-409a-8384-8dcaeeb4df8b}: NameServer = 82.202.226.203
Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты
twn2twn Новичок

twn2twn

Опубликовано
  • Автор
Опубликовано
SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]

WebSite: www.safezone.cc

DateLog: 12.11.2017 21:44:19

Path starting: C:\Users\Pc\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe

Log directory: C:\SecurityCheck\

IsAdmin: True

User: Pc

VersionXML: 4.73s-27.10.2017

___________________________________________________________________________

 

Windows 10(6.3.14393) (x64) CoreSingleLanguage Версия: 1607 Lang: Russian(0419)

Дата установки ОС: 13.10.2017 16:24:02

Статус лицензии: Windows®, CoreSingleLanguage edition Срок истечения многопользовательской активации: 58337 мин.

Режим загрузки: Normal

Браузер по умолчанию: Microsoft Edge (C:\Windows\system32\LaunchWinApp.exe)

Системный диск: C: ФС: [NTFS] Емкость: [111.3 Гб] Занято: [36.3 Гб] Свободно: [75 Гб]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.576.14393.0 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя включен

Запрос на повышение прав для администраторов отключен

^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

Автоматическое обновление отключено

Центр обновления Windows (wuauserv) - Служба остановлена

Центр обеспечения безопасности (wscsvc) - Служба работает

Удаленный реестр (RemoteRegistry) - Служба остановлена

Обнаружение SSDP (SSDPSRV) - Служба работает

Службы удаленных рабочих столов (TermService) - Служба остановлена

Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена

------------------------------- [ HotFix ] --------------------------------

HotFix KB4013429 Внимание! Скачать обновления

HotFix KB4019472 Внимание! Скачать обновления

HotFix KB4022715 Внимание! Скачать обновления

HotFix KB4025339 Внимание! Скачать обновления

HotFix KB4034658 Внимание! Скачать обновления

---------------------------- [ Antivirus_WMI ] ----------------------------

Avast Antivirus (включен и обновлен)

Windows Defender (выключен и обновлен)

--------------------------- [ FirewallWindows ] ---------------------------

Брандмауэр Windows (MpsSvc) - Служба работает

--------------------------- [ AntiSpyware_WMI ] ---------------------------

Windows Defender (выключен и обновлен)

Avast Antivirus (включен и обновлен)

---------------------- [ AntiVirusFirewallInstall ] -----------------------

Avast Free Antivirus v.17.7.2314

--------------------------- [ OtherUtilities ] ----------------------------

TeamViewer 12 v.12.0.83369

WinRAR 5.01 (32-разрядная) v.5.01.0 Внимание! Скачать обновления

OpenOffice 4.1.2 v.4.12.9782 Внимание! Скачать обновления

TeamViewer 12 (TeamViewer) - Служба работает

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 144 (64-bit) v.8.0.1440.1 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u152-windows-x64.exe)^

------------------------------- [ Browser ] -------------------------------

Google Chrome v.61.0.3163.100 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Google Chrome!^

--------------------------- [ RunningProcess ] ----------------------------

C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.61.0.3163.100

------------------ [ AntivirusFirewallProcessServices ] -------------------

Avast Antivirus (avast! Antivirus) - Служба работает

C:\Program Files\AVAST Software\Avast\AvastSvc.exe v.17.7.3660.0

aswbIDSAgent (aswbIDSAgent) - Служба остановлена

C:\Program Files\AVAST Software\Avast\avastui.exe v.17.7.3660.244

Служба Защитника Windows (WinDefend) - Служба остановлена

Служба проверки сети Защитника Windows (WdNisSvc) - Служба остановлена

---------------------------- [ UnwantedApps ] -----------------------------

SvcHost Service Host (SvcHost Service Host) - Служба остановлена

----------------------------- [ End of Log ] ------------------------------
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Alexey ML
      [РЕШЕНО] Майнер после скачивания утилиты "Zapret"
      От Alexey ML
      1. Проведите проверку ПК, воспользовавшись одним из следующих продуктов:
      Kaspersky Virus Removal Tool - Проводил (Ничего не нашел) Dr.Web CureIt! - Проводил (Нашел файлы, но все эти файлы были от программы IObit Uninstaller, удалил все найденные файлы и удалил саму программу, но программа стояла у меня давно, проблем не было)

      2. Скачайте актуальную версию автоматического сборщика логов - все сделал по инструкции.

      Сама суть проблемы: заметил сегодня (думаю, что проблема возникла вчера). При простое грузится процессор на 39-40% , вчера вечером скачивал утилиту "zapret" , но удалил её т.к. требуемого результата она не дала. Как только открываешь диспетчер задач, то нагрузка на процессор падает до нормы, в этот момент система ведет себя так же как и раньше, закрываешь - через секунд 10-15 опять нагрузка на процессор до 39-40% . Никаких других проблем замечено не было - интернет работает, все открывается. Восстановить систему на неделю назад не смог - просто бесконечный пункт "Восстановление системы восстанавливает реестр", точек восстановления раньше нет. 
      Проверял систему Dr.Web Curelt, KVRT, стандартным защитником Windows. 
        CollectionLog-2024.12.09-21.57.zip
    • Алексей Андронов
      Поймали по почте шифровальщик-вымогатель
      От Алексей Андронов
      Добрый день!
       
      Поймали шифровальщика, который работает до сих пор на отключенном от интернета ПК.
      Ничего не переустанавливали и не трогали.
      Все, что можно спасти, копируем.
      Пострадал один ПК и один резервный сменный накопитель.
      Шифровальщик затронул большинство файлов.
      Предположительно получен по почте 02.12.24 под видом акта сверки расчетов
       
      Прошу помощи в излечении и расшифровке
       
      Во вложении логи FRST, архив с документами и запиской вымогателей и, предположительно, дроппер с которого произошло заражение и резидентный модуль
      архив.zip virus.zip Addition.txt FRST.txt
    • specxpilot
      Вирус зашифровал файлы с расширением .iw8
      От specxpilot
      Текст сообщения 
      !!!Your files have been encrypted!!!
      To recover them, please contact us via email:
      Write the ID in the email subject
      ID: E3EA701E87735CC1E8DD980E923F89D4
      Email 1: Datablack0068@gmail.com
      Email 2: Datablack0068@cyberfear.com
      Telegram: @Datablack0068

      To ensure decryption you can send 1-2 files (less than 1MB) we will decrypt it for free.
      IF 48 HOURS PASS WITHOUT YOUR ATTENTION, BRACE YOURSELF FOR A DOUBLED PRICE.
      WE DON'T PLAY AROUND HERE, TAKE THE HOURS SERIOUSLY.
    • Ig0r
      Бонусная программа «Накапливай баллы — меняй на лицензии и сувениры!»: правила и обсуждение
      От Ig0r
      Накапливай баллы — меняй на лицензии и сувениры!
      В клубе «Лаборатории Касперского» действует бонусная программа «Накапливай баллы — меняй на лицензии и сувениры!». Получайте баллы (BAL) за свою активность в клубе, накапливайте и меняйте их в магазине на лицензии для продуктов «Лаборатории Касперского» и эксклюзивные сувениры с символикой компании с бесплатной доставкой!
      Кто может участвовать в бонусной программе?
       
      За что и сколько баллов можно получить?


      В какие сроки начисляются баллы?

      За что баллы могут снять?

      Где можно посмотреть количество накопленных баллов и есть ли у них срок действия?

      Предусмотрены ли в магазине скидки и как их получить?

      Что делать, если очень хочется получить лицензию или сувенир, а баллов не хватает?

      Где узнать подробности о характеристиках сувениров?

      Как сделать заказ и узнать, правильно ли он оформлен?

      Где я могу проверить статус заказа?

      Сколько стоит доставка и в какие регионы и страны она возможна? Есть ли территориальные ограничения на доставку сувениров?

      Есть ли минимальный заказ?

      В каких случаях сувенир может быть заменён или не отправлен вовсе?

      Какими способами можно получить заказ?

      Какие сроки доставки заказа?

      Как правильно принять посылку и что делать, если они повреждены?

      Где ещё можно потратить баллы, кроме магазина?

      Можно ли расплатиться за заказ клабами, накопленными в рамках участия в рейтинговой системе мотивации участников клуба?

      Заключительные положения
       
    • Gistap
      Два файла Dwm.exe
      От Gistap
      Когда я включаю пк у меня он начинает сильно шуметь и проц грузиться очень сильно, и грееться до 70 градусов на рабочем столе. Когда я открываю диспетчер задач до 2 dwm.exe который походу майнер снижает моментально нагрузку с цп, но его задачу можно снять и он не будет грузить систему будет только 1 dwm.exe файл. И ещё у того dwm exe который грузит цп путь такой же как и у оригинального, что мне в этом случае делать я уже всё антивирусы перепробовал и в безопасном режиме их прогонял что только я не делал, не должен же себя так вести себя dwm exe почему когда я открываю диспетчер задач нагрузка моментально падает это же не нормально. Я думал что это майнер, антивирусы находили трояны я их удалял в безопасном режиме. Почему их воопще 2 может эта ошибка системы?

×
×
  • Создать...