Перейти к содержанию
Правила раздела

Подмена скачиваемых файлов

theoldfedokh

Автор theoldfedokh
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

theoldfedokh

theoldfedokh

Опубликовано
Опубликовано

Друг решил пошутить и прислал мне вирусный файл: *** , запустил и начался апокалипсис:

Какой-то вирус меняет скачиваемые файлы на архивы, в которых содержатся exeшники вирусов. Просканировал компьютер с помощью Dr. Web cureit, он ничего не нашел, читал на форуме, что у человека была похожая проблема: https://forum.kasperskyclub.ru/index.php?showtopic=57535

Заливаю логи в прикрепленном файле.

 

Строгое предупреждение от модератора Mark D. Pearlstone
Не публикуйте вредоносные и потенциально вредоносные файлы и ссылки на форуме.

CollectionLog-2017.11.26-19.45.zip

regist

regist

Опубликовано
Опубликовано

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 StopService('netfilter2');
 QuarantineFile('C:\Users\Fedor\appdata\local\yc\application\yc.exe', '');
 QuarantineFile('C:\Users\Fedor\Favorites\Links\Интернет.url', '');
 QuarantineFile('C:\WINDOWS\system32\drivers\netfilter2.sys', '');
 QuarantineFileF('c:\users\fedor\appdata\local\yc', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('C:\Users\Fedor\appdata\local\yc\application\yc.exe', '32');
 DeleteFile('C:\Users\Fedor\Favorites\Links\Интернет.url');
 DeleteFile('C:\WINDOWS\system32\drivers\netfilter2.sys', '32');
 DeleteService('netfilter2');
 DeleteFileMask('c:\users\fedor\appdata\local\yc', '*', true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

"Пофиксите" в HijackThis:

O4 - HKCU\..\Run: [Discord] C:\Users\Fedor\AppData\Local\Discord\app-0.0.298\Discord.exe  (file missing)

O17 - HKLM\System\CSS\Services\Tcpip\..\{17660aaa-c33e-4b53-9b3e-0cec83183a92}: NameServer = 35.177.46.238
O17 - HKLM\System\CSS\Services\Tcpip\..\{17660aaa-c33e-4b53-9b3e-0cec83183a92}: NameServer = 46.101.28.31
O17 - HKLM\System\CSS\Services\Tcpip\..\{17660aaa-c33e-4b53-9b3e-0cec83183a92}: NameServer = 82.202.226.203
O17 - HKLM\System\CSS\Services\Tcpip\..\{c7b6edeb-855e-4b89-a892-cf54b00b64d1}: NameServer = 213.46.172.36
O17 - HKLM\System\CSS\Services\Tcpip\..\{c7b6edeb-855e-4b89-a892-cf54b00b64d1}: NameServer = 213.46.172.37
O17 - HKLM\System\CSS\Services\Tcpip\..\{c7b6edeb-855e-4b89-a892-cf54b00b64d1}: NameServer = 35.177.46.238
O17 - HKLM\System\CSS\Services\Tcpip\..\{c7b6edeb-855e-4b89-a892-cf54b00b64d1}: NameServer = 46.101.28.31
O17 - HKLM\System\CSS\Services\Tcpip\..\{c7b6edeb-855e-4b89-a892-cf54b00b64d1}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{17660aaa-c33e-4b53-9b3e-0cec83183a92}: NameServer = 35.177.46.238
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{17660aaa-c33e-4b53-9b3e-0cec83183a92}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{17660aaa-c33e-4b53-9b3e-0cec83183a92}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{c7b6edeb-855e-4b89-a892-cf54b00b64d1}: NameServer = 213.46.172.36
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{c7b6edeb-855e-4b89-a892-cf54b00b64d1}: NameServer = 213.46.172.37
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{c7b6edeb-855e-4b89-a892-cf54b00b64d1}: NameServer = 35.177.46.238
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{c7b6edeb-855e-4b89-a892-cf54b00b64d1}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{c7b6edeb-855e-4b89-a892-cf54b00b64d1}: NameServer = 82.202.226.203
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.


 

regist

regist

Опубликовано
Опубликовано

1) - Сделайте аппаратный сброс настроек роутера на заводские, введите правильные настройки, смените пароль на роутере.

 

2)

  • Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Tools ->Options (Инструменты ->Настройки) отметьте:
    • Сброс политик IE
    • Сброс политик Chrome

    [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

3) Сделайте свежие логи Автологером.

theoldfedokh

theoldfedokh

Опубликовано
  • Автор
Опубликовано

После предыдущего шага все пофиксилось, спасибо.

regist

regist

Опубликовано
Опубликовано

Для контроля, что не остались части вируса, прикрепите запрошенные выше логи.

regist

regist

Опубликовано
Опубликовано

Если только вы не из Нидерландов, то вирус у вас до сих пор остался :).

 

1) - Сделайте аппаратный сброс настроек роутера на заводские, введите правильные настройки, смените пароль на роутере.
- Очистите кеш и куки браузеров

 

2)

  • Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Tools ->Options (Инструменты ->Настройки) отметьте:
    • Сброс политик IE
    • Сброс политик Chrome

    [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

3) Java 8 Update 144 - устаревшая, уязвимая версия. Деинсталируйте её.

 

4) Сделайте свежие логи Автологером.

regist

regist

Опубликовано
Опубликовано (изменено)

AdwCleanerS0.txt

перечитайте внимательно, я другой лог просил.

 

- Сделайте аппаратный сброс настроек роутера на заводские, введите правильные настройки, смените пароль на роутере.

похоже тоже не сделали.

Так что ждём пока сделаете, то что просили.

Изменено пользователем regist
  • 2 недели спустя...
Sandor

Sandor

Опубликовано
Опубликовано

Лог очистки AdwCleaner старый, от 20 августа.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

regist

regist

Опубликовано
Опубликовано

 

 


Поменяли роутер даже
но при этом у вас до сих пор
O17 - DHCP DNS - 1: 213.46.172.36
O17 - DHCP DNS - 2: 213.46.172.37

 

Страна:     Netherlands
IP диапазон:     213.46.172.0 - 213.46.172.255
CIDR:     213.46.172.0/24
Название провайдера:     Chello Broadband

Это явно не ваш провайдер. Так что либо у вас до сих пор вирусные настройки в роутере, либо по DHCP получает их с другого устройства. Разбирайтесь какое устройство там заражено и исправляйте. Если собственных знаний не хватает, то можете обратиться в тех. поддержку провайдера объяснить проблемы с вирусным DNS и попросить помочь настроить.


+ Автологер за это время обновился. Так что после этого скачайте свежую версию Автологера и свежие логи соберите свежей версией.

regist

regist

Опубликовано
Опубликовано

 

 


Возможно, что провайдер как раз-таки и в Нидерландах, потому что я в Чехии проживаю сейчас.

А нет возможности уточнить это его DNS или нет? Или хотя бы можете сказать Chello Broadband это он?
 
И в остальном как понимаю больше ничего не беспокоит?

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • eturrno
      MEM:Trojan.Win32.SEPEH.gen нужна помощь в удалении данного трояна
      Автор eturrno
      была попытка удалить через KVRT(Kaspersky Virus Removal Tool), он троян не нашел. После с помощью uvs latest.zip сделала файл где по идеи должно показываться где он  находиться. хотелось бы чтобы помогли разобраться где зарылся троян и как его удалить, ниже прикреплю его LAPTOP-K5B6FI1P_2026-03-01_17-48-08_v5.0.4v x64.7z
      LAPTOP-K5B6FI1P_2026-03-01_17-48-08_v5.0.4v x64.7z 
      license.txt readme.txt
    • drxon004
      Нужна помощь удалить троян Trojan:Win32/Kepavll!rfn
      Автор drxon004
      Где-то подцепил троян Trojan:Win32/Kepavll!rfn. При запуске постоянно вылетает ошибка autoit C:\Programdata\ReaItekHD\taskhost.exe, еще это видимо какой-то скрипт, ибо он не дает заходить на сайты связанные с антивирусом, даже на этом форуме я сейчас пишу через другое устройство, прогнал через Microsoft defender, он его удалить не смог, в затронутых элементах: C:\Programdata\ReaItekHD\taskhost.exe, C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\SupportSystem->(UTF-16LE), C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck->(UTF-16LE), C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\SupportSystem, C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck, так же не дает запускать в безопасном режиме (закрывает окно, когда запускаю msconfig), даже и не знаю что делать, пробовал и cureit, он тоже не помог
    • Dmitryy120
      Как работает kvrt?
      Автор Dmitryy120
      Допустим я скачал какой то exe файл с какого то подозрительного сайта ( я не запускал его) , и хочу просканировать его на своем ноуте через утилиту KVRT перед запуском , и выбираю эту подозрительную программу, как KVRT ее просканирует , он запустит ее на моем ноутбуке, или как выполняется сканирование ? Просто предположу , допустим это какой то стилер или другое вредоносное ПО, kvrt во время проверки запускает эту программу на моем компьютере , она выполняет свою вредоносную функцию , ворует данные с компьютера или что то еще , kvrt еще обнаруживает и удаляет. По сути программа уже выполнила свод функцию и украла все данные. И может удаляться, это работает по такому сценарию, который я предположил или сканирование проходит по другому ?
    • Владхелп
      Подвисание и замедление ноута
      Автор Владхелп
      Во время работы в школе подключил "грязную флешку", на след день заметил сильный перегрев и замедление ноутбука
      CollectionLog-2026.02.14-22.35.zip
    • Leit
      Вирус майнер, самовосстанавливающийся архив
      Автор Leit
      После сканирование и удаления вирусов с помощью антивируса dr web cureit открывается самовосстанавливающийся архив и после перезагрузки вирусы появляются вновь, я понимаю что это вирус, но не могу понять где и как мне его удалить, помогите пожалуйста. В архиве лог с dr web cureit и логи с FRST, AV block remover даже в безопасном режиме не запускается, пишет отказано в доступе 
×
×
  • Создать...