Перейти к содержанию

Подмена скачиваемых файлов


theoldfedokh

Рекомендуемые сообщения

Друг решил пошутить и прислал мне вирусный файл: *** , запустил и начался апокалипсис:

Какой-то вирус меняет скачиваемые файлы на архивы, в которых содержатся exeшники вирусов. Просканировал компьютер с помощью Dr. Web cureit, он ничего не нашел, читал на форуме, что у человека была похожая проблема: https://forum.kasperskyclub.ru/index.php?showtopic=57535

Заливаю логи в прикрепленном файле.

 

Строгое предупреждение от модератора Mark D. Pearlstone
Не публикуйте вредоносные и потенциально вредоносные файлы и ссылки на форуме.

CollectionLog-2017.11.26-19.45.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 StopService('netfilter2');
 QuarantineFile('C:\Users\Fedor\appdata\local\yc\application\yc.exe', '');
 QuarantineFile('C:\Users\Fedor\Favorites\Links\Интернет.url', '');
 QuarantineFile('C:\WINDOWS\system32\drivers\netfilter2.sys', '');
 QuarantineFileF('c:\users\fedor\appdata\local\yc', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('C:\Users\Fedor\appdata\local\yc\application\yc.exe', '32');
 DeleteFile('C:\Users\Fedor\Favorites\Links\Интернет.url');
 DeleteFile('C:\WINDOWS\system32\drivers\netfilter2.sys', '32');
 DeleteService('netfilter2');
 DeleteFileMask('c:\users\fedor\appdata\local\yc', '*', true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

"Пофиксите" в HijackThis:

O4 - HKCU\..\Run: [Discord] C:\Users\Fedor\AppData\Local\Discord\app-0.0.298\Discord.exe  (file missing)

O17 - HKLM\System\CSS\Services\Tcpip\..\{17660aaa-c33e-4b53-9b3e-0cec83183a92}: NameServer = 35.177.46.238
O17 - HKLM\System\CSS\Services\Tcpip\..\{17660aaa-c33e-4b53-9b3e-0cec83183a92}: NameServer = 46.101.28.31
O17 - HKLM\System\CSS\Services\Tcpip\..\{17660aaa-c33e-4b53-9b3e-0cec83183a92}: NameServer = 82.202.226.203
O17 - HKLM\System\CSS\Services\Tcpip\..\{c7b6edeb-855e-4b89-a892-cf54b00b64d1}: NameServer = 213.46.172.36
O17 - HKLM\System\CSS\Services\Tcpip\..\{c7b6edeb-855e-4b89-a892-cf54b00b64d1}: NameServer = 213.46.172.37
O17 - HKLM\System\CSS\Services\Tcpip\..\{c7b6edeb-855e-4b89-a892-cf54b00b64d1}: NameServer = 35.177.46.238
O17 - HKLM\System\CSS\Services\Tcpip\..\{c7b6edeb-855e-4b89-a892-cf54b00b64d1}: NameServer = 46.101.28.31
O17 - HKLM\System\CSS\Services\Tcpip\..\{c7b6edeb-855e-4b89-a892-cf54b00b64d1}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{17660aaa-c33e-4b53-9b3e-0cec83183a92}: NameServer = 35.177.46.238
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{17660aaa-c33e-4b53-9b3e-0cec83183a92}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{17660aaa-c33e-4b53-9b3e-0cec83183a92}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{c7b6edeb-855e-4b89-a892-cf54b00b64d1}: NameServer = 213.46.172.36
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{c7b6edeb-855e-4b89-a892-cf54b00b64d1}: NameServer = 213.46.172.37
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{c7b6edeb-855e-4b89-a892-cf54b00b64d1}: NameServer = 35.177.46.238
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{c7b6edeb-855e-4b89-a892-cf54b00b64d1}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{c7b6edeb-855e-4b89-a892-cf54b00b64d1}: NameServer = 82.202.226.203
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.


 

Ссылка на комментарий
Поделиться на другие сайты

1) - Сделайте аппаратный сброс настроек роутера на заводские, введите правильные настройки, смените пароль на роутере.

 

2)

  • Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Tools ->Options (Инструменты ->Настройки) отметьте:
    • Сброс политик IE
    • Сброс политик Chrome

    [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

3) Сделайте свежие логи Автологером.

Ссылка на комментарий
Поделиться на другие сайты

Если только вы не из Нидерландов, то вирус у вас до сих пор остался :).

 

1) - Сделайте аппаратный сброс настроек роутера на заводские, введите правильные настройки, смените пароль на роутере.
- Очистите кеш и куки браузеров

 

2)

  • Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Tools ->Options (Инструменты ->Настройки) отметьте:
    • Сброс политик IE
    • Сброс политик Chrome

    [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

3) Java 8 Update 144 - устаревшая, уязвимая версия. Деинсталируйте её.

 

4) Сделайте свежие логи Автологером.

Ссылка на комментарий
Поделиться на другие сайты

AdwCleanerS0.txt

перечитайте внимательно, я другой лог просил.

 

- Сделайте аппаратный сброс настроек роутера на заводские, введите правильные настройки, смените пароль на роутере.

похоже тоже не сделали.

Так что ждём пока сделаете, то что просили.

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты

  • 2 weeks later...

Лог очистки AdwCleaner старый, от 20 августа.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

 

 


Поменяли роутер даже
но при этом у вас до сих пор
O17 - DHCP DNS - 1: 213.46.172.36
O17 - DHCP DNS - 2: 213.46.172.37

 

Страна:     Netherlands
IP диапазон:     213.46.172.0 - 213.46.172.255
CIDR:     213.46.172.0/24
Название провайдера:     Chello Broadband

Это явно не ваш провайдер. Так что либо у вас до сих пор вирусные настройки в роутере, либо по DHCP получает их с другого устройства. Разбирайтесь какое устройство там заражено и исправляйте. Если собственных знаний не хватает, то можете обратиться в тех. поддержку провайдера объяснить проблемы с вирусным DNS и попросить помочь настроить.


+ Автологер за это время обновился. Так что после этого скачайте свежую версию Автологера и свежие логи соберите свежей версией.

Ссылка на комментарий
Поделиться на другие сайты

Возможно, что провайдер как раз-таки и в Нидерландах, потому что я в Чехии проживаю сейчас.


Farbar


лог

Shortcut.txt

FRST.txt

Addition.txt

CollectionLog-2017.12.15-18.14.zip

Ссылка на комментарий
Поделиться на другие сайты

 

 


Возможно, что провайдер как раз-таки и в Нидерландах, потому что я в Чехии проживаю сейчас.

А нет возможности уточнить это его DNS или нет? Или хотя бы можете сказать Chello Broadband это он?
 
И в остальном как понимаю больше ничего не беспокоит?
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Jamer
      От Jamer
      добрый. заметил, что при копировании длинных наборов (в данном случае АПИ , адреса кошельков)  вставляется из буфера эта запись, но внутри часть подменятся выражением "TRC20_Address", например.  qRaq6Y2QfVNdVXK03kkpuTRC20_Addresscxq5lmF5w. если дробить на мелкие части, то копировать и вставить можно. но целиком никак. помогите найти вражину. благодарю.
      FRST.txtAddition.txt
       
      Сообщение от модератора thyrex Перенесено из этой темы
    • Big_Jamal
    • Gistap
      От Gistap
      Когда я включаю пк у меня он начинает сильно шуметь и проц грузиться очень сильно, и грееться до 70 градусов на рабочем столе. Когда я открываю диспетчер задач до 2 dwm.exe который походу майнер снижает моментально нагрузку с цп, но его задачу можно снять и он не будет грузить систему будет только 1 dwm.exe файл. И ещё у того dwm exe который грузит цп путь такой же как и у оригинального, что мне в этом случае делать я уже всё антивирусы перепробовал и в безопасном режиме их прогонял что только я не делал, не должен же себя так вести себя dwm exe почему когда я открываю диспетчер задач нагрузка моментально падает это же не нормально. Я думал что это майнер, антивирусы находили трояны я их удалял в безопасном режиме. Почему их воопще 2 может эта ошибка системы?

    • 577kar
      От 577kar
      Добрый день, обнаружили заархивированные с паролем файлы. Текстовый файл с адресом для запроса пароля для выкупа.
      Был открыт RDP порт на роутере для удаленного подключения на сервер, предположительно взлом или подбор паролей.
      FRST.7z Mail.7z
    • Максим Ivanov
      От Максим Ivanov
      Файлы с расширением .want_to_cry. Kaspersky Small Office Security вируса не обнаружил, при этом не все файлы на диске были зашифрованы, только одна папка. Во вложении все необходимое.
      Addition.txt FRST.txt Файлы.rar
×
×
  • Создать...