Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте.

Заразился 2ой ноутбук тем же что и в моей первой теме.

Только здесь еще и открываются разные ссылки. 

Отоброжает через Drweb TrojanRootkit, TrojanProxy и TrojanPWSStealer

Так же при включении mse отображает что вирусы найдены но как и drweb ничего с ними не делает, хотя пытается. 

 

CollectionLog-2018.10.11-19.03.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\margo\appdata\local\temp\csrss\cloudnet.exe');
 TerminateProcessByName('c:\users\margo\appdata\local\temp\e00feeb3-353a5e1e-7b9417e2-913f6810\bllqhrey2ndcaux.exe');
 TerminateProcessByName('c:\users\margo\appdata\local\temp\e00feeb3-353a5e1e-7b9417e2-913f6810\leinn8ykfp.exe');
 TerminateProcessByName('c:\users\margo\appdata\local\temp\e00feeb3-353a5e1e-7b9417e2-913f6810\oybkpqdbcev.exe');
 TerminateProcessByName('c:\windows\rss\csrss.exe');
 QuarantineFile('c:\users\margo\appdata\local\temp\csrss\cloudnet.exe', '');
 QuarantineFile('c:\users\margo\appdata\local\temp\e00feeb3-353a5e1e-7b9417e2-913f6810\bllqhrey2ndcaux.exe', '');
 QuarantineFile('c:\users\margo\appdata\local\temp\e00feeb3-353a5e1e-7b9417e2-913f6810\oybkpqdbcev.exe', '');
 QuarantineFile('C:\Users\Margo\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe', '');
 QuarantineFile('c:\windows\rss\csrss.exe', '');
 QuarantineFileF('C:\Users\Margo\AppData\Roaming\EpicNet Inc\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Users\Margo\AppData\Roaming\YoutubeDownloader', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Users\Margo\AppData\Roaming\YoutubeDownloader_upd\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\windows\rss\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('c:\users\margo\appdata\local\temp\csrss\cloudnet.exe', '');
 DeleteFile('c:\users\margo\appdata\local\temp\e00feeb3-353a5e1e-7b9417e2-913f6810\bllqhrey2ndcaux.exe', '');
 DeleteFile('c:\users\margo\appdata\local\temp\e00feeb3-353a5e1e-7b9417e2-913f6810\leinn8ykfp.exe', '');
 DeleteFile('c:\users\margo\appdata\local\temp\e00feeb3-353a5e1e-7b9417e2-913f6810\oybkpqdbcev.exe', '');
 DeleteFile('C:\Users\Margo\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe', '32');
 DeleteFile('C:\Users\Margo\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe', '64');
 DeleteFile('c:\windows\rss\csrss.exe', '');
 DeleteFile('C:\WINDOWS\rss\csrss.exe', '32');
 DeleteFile('C:\WINDOWS\rss\csrss.exe', '64');
 DeleteFileMask('C:\Users\Margo\AppData\Roaming\YoutubeDownloader', '*', true);
 DeleteFileMask('C:\Users\Margo\AppData\Roaming\YoutubeDownloader_upd\', '*', true);
 DeleteDirectory('C:\Users\Margo\AppData\Roaming\YoutubeDownloader');
 DeleteDirectory('C:\Users\Margo\AppData\Roaming\YoutubeDownloader_upd\');
 DeleteSchedulerTask('csrss');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ClientTask');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ServerTask');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CloudNet', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CloudNet', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'PatientFirefly', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'PatientFirefly', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'chrome', '32');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

- Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Ссылка на сообщение
Поделиться на другие сайты

[KLAN-8905150581]
В следующих файлах обнаружен вредоносный код:
cloudnet.exe - HEUR:Trojan-Proxy.Win32.Glupteba.gen

В антивирусных базах информация по присланным вами файлам отсутствует:
csrss.exe

 

https://virusinfo.info/virusdetector/report.php?md5=7A344ADCF4823E01E862113DAB9D46E4

ClearLNK-2018.10.12_11.48.38.log

CollectionLog-2018.10.12-11.53.zip

Изменено пользователем kdotq
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 SetServiceStart('OGYxNTQ1MTdlN', 4);
 SetServiceStart('YmU1ZmI1MTVmY2Ey', 4);
 SetServiceStart('YmVjYzdkMzJiMTQ3', 4);
 StopService('OGYxNTQ1MTdlN');
 StopService('YmU1ZmI1MTVmY2Ey');
 StopService('YmVjYzdkMzJiMTQ3');
 QuarantineFile('C:\Program Files\YmU1ZmI1MTVmY2Ey\NTU2YzBhOG.exe', '');
 QuarantineFile('C:\WINDOWS\flezfl.fleuf', '');
 QuarantineFile('C:\Windows\system32\drivers\OGYxNTQ1MTdlN.sys', '');
 QuarantineFile('C:\WINDOWS\system32\tasks\OperaUpdateService', '');
 QuarantineFile('c:\windows\windefender.exe', '');
 DeleteFile('C:\Program Files\YmU1ZmI1MTVmY2Ey\NTU2YzBhOG.exe', '64');
 DeleteFile('C:\WINDOWS\flezfl.fleuf', '64');
 DeleteFile('C:\Windows\system32\drivers\OGYxNTQ1MTdlN.sys', '64');
 DeleteService('OGYxNTQ1MTdlN');
 DeleteService('YmU1ZmI1MTVmY2Ey');
 DeleteService('YmVjYzdkMzJiMTQ3');
 DeleteSchedulerTask('Microsoft\Windows\Setup\EOSNotify');
 DeleteSchedulerTask('Microsoft\Windows\Setup\Notifier');
 DeleteSchedulerTask('OperaUpdateService');
 DeleteSchedulerTask('YoutubeDownloader');
 DeleteSchedulerTask('YoutubeDownloader_upd');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'TablacusApp2', 'x32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'YoutubeDownloader', 'x32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'YoutubeDownloader_upd', 'x32');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 

 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,    

  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки.
  3. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  4. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  5. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.0.5 [http://dsrt.dyndns.org]
    v400c
    adddir %SystemDrive%\
    crimg
  6. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  7. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
  8. После этого в папке с программой будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению

    !!! Обратите внимание
    , что утилиты необходимо запускать от имени Администратора. По умолчанию в
    Windows XP
    так и есть. В
    Windows Vista
    и
    Windows 7
    администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
    Запуск от имени Администратора
    , при необходимости укажите пароль администратора и нажмите
    "Да"
    .



 

Ссылка на сообщение
Поделиться на другие сайты

[KLAN-8905651239]

 

В перечисленных файлах обнаружена программа Adware, предназначенная для показа рекламных сообщений:
flezfl.fleuf - not-a-virus:AdWare.Win32.Wajam.axxc

В антивирусных базах информация по присланным вами файлам отсутствует:
OperaUpdateService

В следующих файлах обнаружен вредоносный код:
windefender.exe - Trojan-Dropper.Win32.Agent.bjwkfq

 

 

 

DESKTOP-SRHO2U4_2018-10-12_13-43-03_v4.1.7z

Ссылка на сообщение
Поделиться на другие сайты

Сделайте ещё такой лог

 

  1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  2. Запустите файл TDSSKiller.exe.
  3. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
  4. В процессе проверки могут быть обнаружены объекты двух типов:
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).

[*]По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием. [*]Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить. [*]Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить). [*]Самостоятельно без указания консультанта ничего не удаляйте!!! [*]После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат. [*]Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.3.0.0.44_10.05.2015_13.39.01_log.txt
 

Ссылка на сообщение
Поделиться на другие сайты

Удалите всё найденное в TDSSKiller, затем сделайте свежий образ uVS тем же способом.


+ до создания свежего образа.

Деисталируйте: CloudNet, MediaGet,

Ссылка на сообщение
Поделиться на другие сайты

Трудно лечить когда антивируса нет и ещё и инструкции не выполняют.

1) MediaGet - деинсталируйте.

2) Советую поставьте хотя бы или триальную версию антивируса на месяц или бесплатную kaspersky free.

3) После этого переделайте лог.


+ папку

C:\TDSSKILLER_QUARANTINE\

Заархивируйте в zip архив с паролем virus и отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

После этого эту папку удалите.

А также удалите папку

C:\USERS\MARGO\DESKTOP\AUTOLOGGER\AVZ\QUARANTINE\
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...