Перейти к содержанию

Поймал Буритос


Dmitry D.

Рекомендуемые сообщения

Доброго времени суток.

Долго объяснять не буду:

1. Не запускается KIS 7

2. Объявление Your computer is infected от XP security Center

3. buritos.exe в процессах

Логи внизу.

Помогите кто чем может.

Заранее благодарю.

P.S. Win XP SP2

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.rar

Изменено пользователем Dmitry D.
Ссылка на комментарий
Поделиться на другие сайты

Добро пожаловать на форум! Мы обязательно постараемся вам помочь. Угроза такова:

c:\windows\system32\buritos.exe - само чудо,

C:\WINDOWS\system32\WinCtrl32.dll - еще одна "красота",

C:\WINDOWS\System32\Drivers\Beep.SYS - возможно подмена, но не факт,

svchost.exe работает с 25 портом, что тоже подозрительно.

C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\C2806KC6\Install[2].exe, C:\WINDOWS\system32\winivstr.exe - это сам Секурити Центр,

И еще много чего в логе HJT пофиксить.

 

Подождем кого-то из спецов, они вам помогут)

Изменено пользователем Falcon
Ссылка на комментарий
Поделиться на другие сайты

Отключите антивирус и интернет!

 

Скачать,меню,File,появится аналог проводника,найти:

 

C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\Drivers\Winxc61.sys
C:\WINDOWS\System32\Drivers\Beep.SYS

 

правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

 

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\C2806KC6\Install[2].exe','');
QuarantineFile('C:\WINDOWS\system32\winivstr.exe','');
QuarantineFile('C:\WINDOWS\system32\karina.dat','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winxc61.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('c:\windows\system32\buritos.exe','');
TerminateProcessByName('c:\windows\system32\buritos.exe');
DeleteService('Winxc61');
DeleteService('Beep');
DeleteFile('c:\windows\system32\buritos.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
DeleteFile('C:\WINDOWS\system32\Drivers\Winxc61.sys');
DeleteFile('C:\WINDOWS\system32\karina.dat');
DeleteFile('C:\WINDOWS\system32\winivstr.exe');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\C2806KC6\Install[2].exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Winxc61');
BC_DeleteSvc('Beep');
BC_Activate;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.

 

Полученный архив отправьте на newvirus@kaspersky.com не забыв указать пароль(virus).Ответ сообщите.

 

Логи повторить.

Ссылка на комментарий
Поделиться на другие сайты

KIS ожил.. обновился - начал хрюкать..

Сообщение от Security центра ещё появляется

Ответа на e-mail пока нет

Логи:

hijackthis.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено пользователем Dmitry D.
Ссылка на комментарий
Поделиться на другие сайты

Очистите временные файлы,кеш браузера.

 

Пофиксить

 

O4 - HKLM\..\Run: [buritos] buritos.exe
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

 

begin
ClearQuarantine;	
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\buritos.exe');
DeleteFile('c:\windows\buritos.exe');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\FUL7SKS2\Install[1].exe');
DeleteFile('C:\WINDOWS\system32\winivstr.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

Повторите логи...

 

P.S. заморозку не хорошо юзать :(

Ссылка на комментарий
Поделиться на другие сайты

Гриша Операция прошла успешно... Спасибо большое.

Процесс буритос пропал... каспер воскрес... из трея объява пропала.

Спасибо за образцовую оперативность.

 

P.S. Ни о какой заморозке ничё не знаю.. или это вы про лёд для Махито?! :(

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • qwerty1234
      Автор qwerty1234
      Здравствуйте! После посещения сайтов с бесплатными играми и фильмами ноутбук стал резко вибрировать и шуметь. Любой фильм или игра сопровождаются ритмичной вибрацией, которой раньше не было. Подозреваю, что поймал майнер.
      По рекомендации из одной из недавних тем скачал Security Check by glax24. Просканировал. Прикладываю результат.
      Так как сам я в этом не Копенгаген, прошу помочь расшифровать написанное и посоветовать план действий. Заранее благодарен!!!
       
      SecurityCheck by glax24 & Severnyj v.1.4.0.58 [15.08.24]
      WebSite: www.safezone.cc
      DateLog: 09.05.2025 18:25:29
      Path starting: C:\Users\Емельян\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
      Log directory: C:\SecurityCheck\
      IsAdmin: True
      User: Emelian
      VersionXML: 13.80is-05.05.2025
      ___________________________________________________________________________
      Windows 11 Professional (x64) Версия: 24H2 (10.0.26100.3915) Язык: Russian(0419)
      Дата установки ОС: 25.11.2024 07:02:43
      Статус лицензии: Windows(R), Professional edition Постоянная активация прошла успешно.
      Режим загрузки: Normal
      Браузер по умолчанию: C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
      Системный диск: 😄 ФС: [NTFS] Емкость: [475.9 Гб] Занято: [339.8 Гб] Свободно: [136.1 Гб]
      ------------------------------- [ Windows ] -------------------------------
      Контроль учётных записей пользователя включен (Уровень 3)
      Центр обеспечения безопасности (wscsvc) - Служба работает
      Удаленный реестр (RemoteRegistry) - Служба остановлена
      Обнаружение SSDP (SSDPSRV) - Служба работает
      Службы удаленных рабочих столов (TermService) - Служба остановлена
      Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
      Фоновая интеллектуальная служба передачи (BITS) (BITS) - Служба остановлена
      Оптимизация доставки (DoSvc) - Служба работает
      Служба "Безопасность Windows" (SecurityHealthService) - Служба работает
      Служба оркестратора обновлений (UsoSvc) - Служба работает
      WaaSMedicSvc (WaaSMedicSvc) - Служба остановлена
      Центр обновления Windows (wuauserv) - Служба остановлена
      ---------------------------- [ Antivirus_WMI ] ----------------------------
      Windows Defender (выключен и обновлен)
      Kaspersky Anti-Virus (включен и обновлен)
      --------------------------- [ FirewallWindows ] ---------------------------
      Брандмауэр Защитника Windows (mpssvc) - Служба работает
      ---------------------- [ AntiVirusFirewallInstall ] -----------------------
      Kaspersky Anti-Virus v.21.3.10.391
      -------------------------- [ SecurityUtilities ] --------------------------
      Kaspersky Password Manager v.25.0.0.225
      --------------------------- [ OtherUtilities ] ----------------------------
      Среда выполнения Microsoft Edge WebView2 Runtime v.136.0.3240.50
      Steam v.2.10.91.91
      Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34438 v.14.42.34438.0
      Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34438 v.14.42.34438.0
      ------------------------------- [ Backup ] --------------------------------
      Microsoft OneDrive v.25.065.0406.0002
      ---------------------------- [ ProxyAndVPNs ] -----------------------------
      PlanetVPN-2.10.30.68 v.2.10.30.68
      ------------------------------- [ Browser ] -------------------------------
      Microsoft Edge v.136.0.3240.50
      ------------------ [ AntivirusFirewallProcessServices ] -------------------
      C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 21.3\avp.exe v.21.3.0.1
      Kaspersky Anti-Virus Service 21.3 (AVP21.3) - Служба работает
      C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 21.3\avpui.exe v.21.3.12.434
      Microsoft Defender Core Service (MDCoreSvc) - Служба остановлена
      Microsoft Defender Antivirus Service (WinDefend) - Служба остановлена
      Microsoft Defender Antivirus Network Inspection Service (WdNisSvc) - Служба остановлена
      ----------------------------- [ End of Log ] ------------------------------
    • dampe
      Автор dampe
      Добрый день! прошу помощи, может кто то уже смог решить эту проблему. На облачный сервер проник вирус и зашифровал файлы, БД и заблокировал битлокером диск. Прикладываю лог Elcomsoft Encrypted Disk Hunter и пример зашифрованного файла
      EEDH - 02.03.2025 13-20-38.log ВМТ.pdf.rar
    • Albert2025
      Автор Albert2025
      Добрый день.
      Подозреваю, что сегодня с флэшки случайно запустил вирус.
      Проверки файлов на флэшке через opentip.kaspersky.com выдает результаты HEUR:Trojan.Win64.Convagent.gen и Trojan.VBS.Starter.pl
      На компьютере при этом в Диспетчере задач есть какие-то неизвестные запущенные процессы.
      Но при этом проверка KVRT и DrWeb CureIt результатов не приносит, ничего не обнаруживается.
      Боюсь, что сидит какой-нибудь шифровальщик или троян, собирающий данные (пароли и т.д.).
        Прошу помочь разобраться, что делает этот вирус и как избавиться от него, во вложении архив с флэшки, пароль virus.
      Также в директории был еще файл *.dat, но он слишком большого размера, при помещении его в архив он превышает допустимый размер.
      P.S. Также приложил логи.
      rootdir1.rar
      CollectionLog-2025.05.20-11.45.zip
    • Денис К
      Автор Денис К
      Здравствуйте, словил вирус, майнер Tool.BtcMine.2794. Пытался почистить с помощь Cure It, удаляется ровно до следующей перезагрузки ПК. 
      Логи прикладываю
      CollectionLog-2025.05.18-21.17.zip
    • Константин174
      Автор Константин174
      Всем Привет проблема поймали вирус [nullhexxx@gmail.com].EAE6F491 есть варианты как избавиться ??????
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...