Перейти к содержанию

Проблема с samplehigz.net


Рекомендуемые сообщения

Здравствуйте! У меня появилась проблема. Хотел я скачать себе Sony Vegas Pro 13, но, схватил себе вирусняк. В чём заключается проблема. Накачал я всякой фигни, опомнился, когда поставил нормальный вегас, зашёл посёрфить в инете, и вижу кучу баннеров с рекламой. Далее, навёл мышку на кнопку "пуск" и кнопки "Перезагрузка, Сон и Гибернация" были просто недоступны для нажатия. Windows 7. Сначала, скачался какой-то вирус, вроде в названии было Autorun. Потом всякая хрень с Mail.ru(амиго и т.д.). Затем, скачались Miner.gen и несколько других вирусов. Я установил антивирус Касперский, почистил систему, так же почистил реестр, службы, почистил папку Temp. Вроде всё нормализовалось. Выключаю комп, иду спать. На следующий день, снова баннеры, но, примечательная вещь: при запуске компьютера, появляется cmd.exe, и, запускается BITS загрузчик. Фото
Далее, запускается загрузка .zip файла с странным названием с сайта samplehighgz.net
Я выключаю консоль и загрузка прекращается. Прочистил через Касперский всё, установил AdWare, UnHackMe. Файл с логами от AutoLogger прикрепляю.


Так же, поялвяются баннеры с "непристойным содержанием", переадрессовка на страницы всяких Вулканов и Олимпов! :help:

CollectionLog-2017.11.15-19.07.zip

Изменено пользователем anrey07
Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Администратор\AppData\Local\chinq.bat','');
 QuarantineFile('C:\Users\Администратор\AppData\Local\ksmjnzpgfhcv.bat','');
ExecuteFile('schtasks.exe', '/delete /TN "eykaxjrfkyrt" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "eltadli" /F', 0, 15000, true);
 DeleteFile('C:\WINDOWS\winstart.bat','32');
 DeleteFile('C:\Users\Администратор\AppData\Local\ksmjnzpgfhcv.bat','32');
 DeleteFile('C:\Users\Администратор\AppData\Local\chinq.bat','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на комментарий
Поделиться на другие сайты

@thyrex
Добрый день, всё сделано. Так же хочу сказать, что консоль уже не появляется при запуске компьютера. Теперь только баннеры и переадрессация на сайты с Вулканом и т.д.
[KLAN-7163925316]

 


Забыл добавить.

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
chinq.bat
ksmjnzpgfhcv.bat

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

Изменено пользователем anrey07
Ссылка на комментарий
Поделиться на другие сайты

Рекомендации нужно выполнять до конца

 


Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.
Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
CHR HKLM\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lhemechcanjmilllmccjbjldonmnnjjj] - hxxps://clients2.google.com/service/update2/crx
S2 SvcHost Service Host; "C:\Windows\Microsoft\svchost.exe" -k LocalService [X]
2017-11-12 10:08 - 2017-11-12 10:08 - 000000351 _____ () C:\Users\Администратор\AppData\Local\tnqqfcosd.bat
2017-11-12 10:08 - 2017-11-12 10:08 - 000000351 _____ () C:\Users\Администратор\AppData\Local\vniyiocdmtr.bat
Task: {6F2025BD-D54D-4DD1-9D0F-C04671BCD03C} - \100newsupnetsoxkziwx -> No File <==== ATTENTION
Task: {E61D92CA-963A-431A-AB7C-CF8706D08429} - \ifgker -> No File <==== ATTENTION
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты

@thyrex,
Отключил. Баннеров вроде нет, переадрессацию пока не видел. Но, Яндекс ещё говорит, что комп заражён и подменяет информацию. 

Ссылка на комментарий
Поделиться на другие сайты

@thyrex
Яндекс больше не ругается, баннеров нет, передрессации нет! Спасибо вам огромнейшее, чтобы я без вас делал...
Бегу выполнять рекомендации после удаления вирусов, MBAM деинсталлировал. 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Сергей1202
      Автор Сергей1202
      Сегодня на смартфоне после перехода по рекламной ссылке появилось  вот ЭТО и постоянно напоминает о себе, может это и не вирус вообще но что значит "name os tone " и откуда оно взялось?


    • Юрий Григорьев
      Автор Юрий Григорьев
      Добрый день!
      У меня возникла такая проблема:
      В kaspersky security center 10 не активна кнопка для запуска/остановки kaspersky endpoint security на клиентских тачках. Для некоторых административных групп она активна, а для остальных - нет. Я не могу разобраться в чем косяк и как исправить.
       
      Проблема2. Поставили на клиента новую версию kes и агента, в административной группе на сервере компьютер есть, но в kes не указано, что он работает под политикой. В чем может быть причина и как исправить?

    • kaje_14
      Автор kaje_14
      Есть старый маленький локальный сервер, на нём есть 3 диска, точно заразился 1 из них, который общедоступный. Не все папки и файлы заразились. Запустил Cureit, он ничего не нашёл (точнее кажется не видит). Но во многих папках имеются файл с название --attention.hta, а зашифрованные файлы имеют свои наименования плюс добавилось такое: например блокнот.txt_[UID=YMG-MBMFV TelegramID=@recoveryfiles1].ano. У всех файлов расширение .ano. Были небольшие попытки расшифровать некоторые файлы с помощью декрипторов не помогло.
      Вирус точно зашел с ПК в сети, на котором недавно настраивал RDP, сам этот комп учетные записи заблокировались. Придется форматировать.
      Прикрепляю логи FRST, пару скриншотов (с безопасного режима всё делал), архив с примерами зашифрованных файлов, архив с файлом attention.hta и каким то подозрительным файлом (может это был свой файл зашифрованный). 
      Никакого текста с вымоганием пока не нашёл.
      Если где неправильно что-то оформил извините. Случай сегодня обнаружился, судя по времени изменения файлов всё произошло ночью по местному времени.FRST.txt


      Addition.txt Shortcut.txt кажется вирус имеются во всех папках.rar примеры зашифрованных файлов.rar
    • Readkey11
      Автор Readkey11
      Добрый день, подскажите пожалуйста касаемо использования доменной уз для авторизации в веб-консоли на кластер KSC 15.1 linux
      Настроил опрос домена, получил информацию о структуре домена, учетных записях пользователей, группах безопасности и о DNS-именах устройств, входящих в домен.
      Назначил доменной уз роль главного администратора на сервере KSC
      При попытке авторизации после длительного таймаута получаю сообщение "Недопустимые учетные данные. Пожалуйста, проверьте учетные данные и попробуйте войти снова."(данные вводятся корректно уз@домен)
      Порт 389 доступен, контроллер домена развернут на samba
      На нодах выполнил команду, для отключения принудительной проверки сертификатов
      sudo /opt/kaspersky/ksc64/sbin/klscflag -fset -pv klnagent -n KLNAG_LDAP_TLS_REQCERT_AUTH -t d -v 0
      Также пробовал настраивать опрос домена с помощью точки распространения на ос Linux, ошибка та же.
    • Вадим666
      Автор Вадим666
      По рдп не пускает на сервер пишет Попытка входа неудачна
      это с компа на котором делали чистку с других пк на него заходит без проблем, с этого же компа на котором проводилась чистка на другие сервера заходит проблема
      Также при копировании пароля и вставки его в пароль РДП сам текст задваивается. Пример копируем пароль 123456 вставляем его в место пароля для рдп получаем 123456123456  
×
×
  • Создать...