kdotq Опубликовано 11 октября, 2018 Опубликовано 11 октября, 2018 Здравствуйте. Заразился 2ой ноутбук тем же что и в моей первой теме. Только здесь еще и открываются разные ссылки. Отоброжает через Drweb TrojanRootkit, TrojanProxy и TrojanPWSStealer Так же при включении mse отображает что вирусы найдены но как и drweb ничего с ними не делает, хотя пытается. CollectionLog-2018.10.11-19.03.zip
regist Опубликовано 11 октября, 2018 Опубликовано 11 октября, 2018 Здравствуйте!Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\users\margo\appdata\local\temp\csrss\cloudnet.exe'); TerminateProcessByName('c:\users\margo\appdata\local\temp\e00feeb3-353a5e1e-7b9417e2-913f6810\bllqhrey2ndcaux.exe'); TerminateProcessByName('c:\users\margo\appdata\local\temp\e00feeb3-353a5e1e-7b9417e2-913f6810\leinn8ykfp.exe'); TerminateProcessByName('c:\users\margo\appdata\local\temp\e00feeb3-353a5e1e-7b9417e2-913f6810\oybkpqdbcev.exe'); TerminateProcessByName('c:\windows\rss\csrss.exe'); QuarantineFile('c:\users\margo\appdata\local\temp\csrss\cloudnet.exe', ''); QuarantineFile('c:\users\margo\appdata\local\temp\e00feeb3-353a5e1e-7b9417e2-913f6810\bllqhrey2ndcaux.exe', ''); QuarantineFile('c:\users\margo\appdata\local\temp\e00feeb3-353a5e1e-7b9417e2-913f6810\oybkpqdbcev.exe', ''); QuarantineFile('C:\Users\Margo\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe', ''); QuarantineFile('c:\windows\rss\csrss.exe', ''); QuarantineFileF('C:\Users\Margo\AppData\Roaming\EpicNet Inc\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); QuarantineFileF('C:\Users\Margo\AppData\Roaming\YoutubeDownloader', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); QuarantineFileF('C:\Users\Margo\AppData\Roaming\YoutubeDownloader_upd\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); QuarantineFileF('c:\windows\rss\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); DeleteFile('c:\users\margo\appdata\local\temp\csrss\cloudnet.exe', ''); DeleteFile('c:\users\margo\appdata\local\temp\e00feeb3-353a5e1e-7b9417e2-913f6810\bllqhrey2ndcaux.exe', ''); DeleteFile('c:\users\margo\appdata\local\temp\e00feeb3-353a5e1e-7b9417e2-913f6810\leinn8ykfp.exe', ''); DeleteFile('c:\users\margo\appdata\local\temp\e00feeb3-353a5e1e-7b9417e2-913f6810\oybkpqdbcev.exe', ''); DeleteFile('C:\Users\Margo\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe', '32'); DeleteFile('C:\Users\Margo\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe', '64'); DeleteFile('c:\windows\rss\csrss.exe', ''); DeleteFile('C:\WINDOWS\rss\csrss.exe', '32'); DeleteFile('C:\WINDOWS\rss\csrss.exe', '64'); DeleteFileMask('C:\Users\Margo\AppData\Roaming\YoutubeDownloader', '*', true); DeleteFileMask('C:\Users\Margo\AppData\Roaming\YoutubeDownloader_upd\', '*', true); DeleteDirectory('C:\Users\Margo\AppData\Roaming\YoutubeDownloader'); DeleteDirectory('C:\Users\Margo\AppData\Roaming\YoutubeDownloader_upd\'); DeleteSchedulerTask('csrss'); DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ClientTask'); DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ServerTask'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CloudNet', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CloudNet', '64'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'PatientFirefly', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'PatientFirefly', '64'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'chrome', '32'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. - Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
kdotq Опубликовано 12 октября, 2018 Автор Опубликовано 12 октября, 2018 (изменено) [KLAN-8905150581]В следующих файлах обнаружен вредоносный код:cloudnet.exe - HEUR:Trojan-Proxy.Win32.Glupteba.genВ антивирусных базах информация по присланным вами файлам отсутствует:csrss.exe https://virusinfo.info/virusdetector/report.php?md5=7A344ADCF4823E01E862113DAB9D46E4 ClearLNK-2018.10.12_11.48.38.log CollectionLog-2018.10.12-11.53.zip Изменено 12 октября, 2018 пользователем kdotq
regist Опубликовано 12 октября, 2018 Опубликовано 12 октября, 2018 Здравствуйте!Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); SetServiceStart('OGYxNTQ1MTdlN', 4); SetServiceStart('YmU1ZmI1MTVmY2Ey', 4); SetServiceStart('YmVjYzdkMzJiMTQ3', 4); StopService('OGYxNTQ1MTdlN'); StopService('YmU1ZmI1MTVmY2Ey'); StopService('YmVjYzdkMzJiMTQ3'); QuarantineFile('C:\Program Files\YmU1ZmI1MTVmY2Ey\NTU2YzBhOG.exe', ''); QuarantineFile('C:\WINDOWS\flezfl.fleuf', ''); QuarantineFile('C:\Windows\system32\drivers\OGYxNTQ1MTdlN.sys', ''); QuarantineFile('C:\WINDOWS\system32\tasks\OperaUpdateService', ''); QuarantineFile('c:\windows\windefender.exe', ''); DeleteFile('C:\Program Files\YmU1ZmI1MTVmY2Ey\NTU2YzBhOG.exe', '64'); DeleteFile('C:\WINDOWS\flezfl.fleuf', '64'); DeleteFile('C:\Windows\system32\drivers\OGYxNTQ1MTdlN.sys', '64'); DeleteService('OGYxNTQ1MTdlN'); DeleteService('YmU1ZmI1MTVmY2Ey'); DeleteService('YmVjYzdkMzJiMTQ3'); DeleteSchedulerTask('Microsoft\Windows\Setup\EOSNotify'); DeleteSchedulerTask('Microsoft\Windows\Setup\Notifier'); DeleteSchedulerTask('OperaUpdateService'); DeleteSchedulerTask('YoutubeDownloader'); DeleteSchedulerTask('YoutubeDownloader_upd'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'TablacusApp2', 'x32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'YoutubeDownloader', 'x32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'YoutubeDownloader_upd', 'x32'); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); ExecuteSysClean; RebootWindows(true); end. end. После выполнения скрипта компьютер перезагрузится. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования, Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:;uVS v4.0.5 [http://dsrt.dyndns.org] v400c adddir %SystemDrive%\ crimg В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. После этого в папке с программой будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению !!! Обратите внимание , что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите "Да" .
kdotq Опубликовано 12 октября, 2018 Автор Опубликовано 12 октября, 2018 [KLAN-8905651239] В перечисленных файлах обнаружена программа Adware, предназначенная для показа рекламных сообщений:flezfl.fleuf - not-a-virus:AdWare.Win32.Wajam.axxcВ антивирусных базах информация по присланным вами файлам отсутствует:OperaUpdateServiceВ следующих файлах обнаружен вредоносный код:windefender.exe - Trojan-Dropper.Win32.Agent.bjwkfq DESKTOP-SRHO2U4_2018-10-12_13-43-03_v4.1.7z
regist Опубликовано 12 октября, 2018 Опубликовано 12 октября, 2018 Сделайте ещё такой лог Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку; Запустите файл TDSSKiller.exe. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию. В процессе проверки могут быть обнаружены объекты двух типов: вредоносные (точно было установлено, какой вредоносной программой поражен объект); подозрительные (тип вредоносного воздействия точно установить невозможно). [*]По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием. [*]Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить. [*]Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить). [*]Самостоятельно без указания консультанта ничего не удаляйте!!! [*]После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат. [*]Прикрепите лог утилиты к своему следующему сообщению По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txtНапример, C:\TDSSKiller.3.0.0.44_10.05.2015_13.39.01_log.txt
kdotq Опубликовано 12 октября, 2018 Автор Опубликовано 12 октября, 2018 . TDSSKiller.3.1.0.17_12.10.2018_15.31.48_log.txt
regist Опубликовано 12 октября, 2018 Опубликовано 12 октября, 2018 Удалите всё найденное в TDSSKiller, затем сделайте свежий образ uVS тем же способом. + до создания свежего образа. Деисталируйте: CloudNet, MediaGet,
kdotq Опубликовано 12 октября, 2018 Автор Опубликовано 12 октября, 2018 не могу сделать образ, закрывается uvs при выполнении скрипта.
regist Опубликовано 12 октября, 2018 Опубликовано 12 октября, 2018 Деисталируйте: CloudNet, MediaGet, а это сделали?Повторное сканирование TDSSKiller-ом, что-нибудь находит?
kdotq Опубликовано 13 октября, 2018 Автор Опубликовано 13 октября, 2018 сделал. да находит, 1 зараженный объект - windefender.exe
regist Опубликовано 13 октября, 2018 Опубликовано 13 октября, 2018 Пролечите его и снова попробуйте собрать лог uVS.
kdotq Опубликовано 13 октября, 2018 Автор Опубликовано 13 октября, 2018 . DESKTOP-SRHO2U4_2018-10-13_14-03-40_v4.1.7z
regist Опубликовано 13 октября, 2018 Опубликовано 13 октября, 2018 Трудно лечить когда антивируса нет и ещё и инструкции не выполняют. 1) MediaGet - деинсталируйте. 2) Советую поставьте хотя бы или триальную версию антивируса на месяц или бесплатную kaspersky free. 3) После этого переделайте лог. + папку C:\TDSSKILLER_QUARANTINE\ Заархивируйте в zip архив с паролем virus и отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) После этого эту папку удалите. А также удалите папку C:\USERS\MARGO\DESKTOP\AUTOLOGGER\AVZ\QUARANTINE\
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти