kdotq 0 Опубликовано 11 октября, 2018 Share Опубликовано 11 октября, 2018 Здравствуйте. Заразился 2ой ноутбук тем же что и в моей первой теме. Только здесь еще и открываются разные ссылки. Отоброжает через Drweb TrojanRootkit, TrojanProxy и TrojanPWSStealer Так же при включении mse отображает что вирусы найдены но как и drweb ничего с ними не делает, хотя пытается. CollectionLog-2018.10.11-19.03.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 11 октября, 2018 Share Опубликовано 11 октября, 2018 Здравствуйте!Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\users\margo\appdata\local\temp\csrss\cloudnet.exe'); TerminateProcessByName('c:\users\margo\appdata\local\temp\e00feeb3-353a5e1e-7b9417e2-913f6810\bllqhrey2ndcaux.exe'); TerminateProcessByName('c:\users\margo\appdata\local\temp\e00feeb3-353a5e1e-7b9417e2-913f6810\leinn8ykfp.exe'); TerminateProcessByName('c:\users\margo\appdata\local\temp\e00feeb3-353a5e1e-7b9417e2-913f6810\oybkpqdbcev.exe'); TerminateProcessByName('c:\windows\rss\csrss.exe'); QuarantineFile('c:\users\margo\appdata\local\temp\csrss\cloudnet.exe', ''); QuarantineFile('c:\users\margo\appdata\local\temp\e00feeb3-353a5e1e-7b9417e2-913f6810\bllqhrey2ndcaux.exe', ''); QuarantineFile('c:\users\margo\appdata\local\temp\e00feeb3-353a5e1e-7b9417e2-913f6810\oybkpqdbcev.exe', ''); QuarantineFile('C:\Users\Margo\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe', ''); QuarantineFile('c:\windows\rss\csrss.exe', ''); QuarantineFileF('C:\Users\Margo\AppData\Roaming\EpicNet Inc\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); QuarantineFileF('C:\Users\Margo\AppData\Roaming\YoutubeDownloader', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); QuarantineFileF('C:\Users\Margo\AppData\Roaming\YoutubeDownloader_upd\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); QuarantineFileF('c:\windows\rss\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); DeleteFile('c:\users\margo\appdata\local\temp\csrss\cloudnet.exe', ''); DeleteFile('c:\users\margo\appdata\local\temp\e00feeb3-353a5e1e-7b9417e2-913f6810\bllqhrey2ndcaux.exe', ''); DeleteFile('c:\users\margo\appdata\local\temp\e00feeb3-353a5e1e-7b9417e2-913f6810\leinn8ykfp.exe', ''); DeleteFile('c:\users\margo\appdata\local\temp\e00feeb3-353a5e1e-7b9417e2-913f6810\oybkpqdbcev.exe', ''); DeleteFile('C:\Users\Margo\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe', '32'); DeleteFile('C:\Users\Margo\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe', '64'); DeleteFile('c:\windows\rss\csrss.exe', ''); DeleteFile('C:\WINDOWS\rss\csrss.exe', '32'); DeleteFile('C:\WINDOWS\rss\csrss.exe', '64'); DeleteFileMask('C:\Users\Margo\AppData\Roaming\YoutubeDownloader', '*', true); DeleteFileMask('C:\Users\Margo\AppData\Roaming\YoutubeDownloader_upd\', '*', true); DeleteDirectory('C:\Users\Margo\AppData\Roaming\YoutubeDownloader'); DeleteDirectory('C:\Users\Margo\AppData\Roaming\YoutubeDownloader_upd\'); DeleteSchedulerTask('csrss'); DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ClientTask'); DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ServerTask'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CloudNet', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CloudNet', '64'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'PatientFirefly', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'PatientFirefly', '64'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'chrome', '32'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. - Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Цитата Ссылка на сообщение Поделиться на другие сайты
kdotq 0 Опубликовано 12 октября, 2018 Автор Share Опубликовано 12 октября, 2018 (изменено) [KLAN-8905150581]В следующих файлах обнаружен вредоносный код:cloudnet.exe - HEUR:Trojan-Proxy.Win32.Glupteba.genВ антивирусных базах информация по присланным вами файлам отсутствует:csrss.exe https://virusinfo.info/virusdetector/report.php?md5=7A344ADCF4823E01E862113DAB9D46E4 ClearLNK-2018.10.12_11.48.38.log CollectionLog-2018.10.12-11.53.zip Изменено 12 октября, 2018 пользователем kdotq Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 12 октября, 2018 Share Опубликовано 12 октября, 2018 Здравствуйте!Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); SetServiceStart('OGYxNTQ1MTdlN', 4); SetServiceStart('YmU1ZmI1MTVmY2Ey', 4); SetServiceStart('YmVjYzdkMzJiMTQ3', 4); StopService('OGYxNTQ1MTdlN'); StopService('YmU1ZmI1MTVmY2Ey'); StopService('YmVjYzdkMzJiMTQ3'); QuarantineFile('C:\Program Files\YmU1ZmI1MTVmY2Ey\NTU2YzBhOG.exe', ''); QuarantineFile('C:\WINDOWS\flezfl.fleuf', ''); QuarantineFile('C:\Windows\system32\drivers\OGYxNTQ1MTdlN.sys', ''); QuarantineFile('C:\WINDOWS\system32\tasks\OperaUpdateService', ''); QuarantineFile('c:\windows\windefender.exe', ''); DeleteFile('C:\Program Files\YmU1ZmI1MTVmY2Ey\NTU2YzBhOG.exe', '64'); DeleteFile('C:\WINDOWS\flezfl.fleuf', '64'); DeleteFile('C:\Windows\system32\drivers\OGYxNTQ1MTdlN.sys', '64'); DeleteService('OGYxNTQ1MTdlN'); DeleteService('YmU1ZmI1MTVmY2Ey'); DeleteService('YmVjYzdkMzJiMTQ3'); DeleteSchedulerTask('Microsoft\Windows\Setup\EOSNotify'); DeleteSchedulerTask('Microsoft\Windows\Setup\Notifier'); DeleteSchedulerTask('OperaUpdateService'); DeleteSchedulerTask('YoutubeDownloader'); DeleteSchedulerTask('YoutubeDownloader_upd'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'TablacusApp2', 'x32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'YoutubeDownloader', 'x32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'YoutubeDownloader_upd', 'x32'); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); ExecuteSysClean; RebootWindows(true); end. end. После выполнения скрипта компьютер перезагрузится. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования, Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:;uVS v4.0.5 [http://dsrt.dyndns.org] v400c adddir %SystemDrive%\ crimg В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. После этого в папке с программой будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению !!! Обратите внимание , что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите "Да" . Цитата Ссылка на сообщение Поделиться на другие сайты
kdotq 0 Опубликовано 12 октября, 2018 Автор Share Опубликовано 12 октября, 2018 [KLAN-8905651239] В перечисленных файлах обнаружена программа Adware, предназначенная для показа рекламных сообщений:flezfl.fleuf - not-a-virus:AdWare.Win32.Wajam.axxcВ антивирусных базах информация по присланным вами файлам отсутствует:OperaUpdateServiceВ следующих файлах обнаружен вредоносный код:windefender.exe - Trojan-Dropper.Win32.Agent.bjwkfq DESKTOP-SRHO2U4_2018-10-12_13-43-03_v4.1.7z Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 12 октября, 2018 Share Опубликовано 12 октября, 2018 Сделайте ещё такой лог Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку; Запустите файл TDSSKiller.exe. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию. В процессе проверки могут быть обнаружены объекты двух типов: вредоносные (точно было установлено, какой вредоносной программой поражен объект); подозрительные (тип вредоносного воздействия точно установить невозможно). [*]По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием. [*]Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить. [*]Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить). [*]Самостоятельно без указания консультанта ничего не удаляйте!!! [*]После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат. [*]Прикрепите лог утилиты к своему следующему сообщению По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txtНапример, C:\TDSSKiller.3.0.0.44_10.05.2015_13.39.01_log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
kdotq 0 Опубликовано 12 октября, 2018 Автор Share Опубликовано 12 октября, 2018 . TDSSKiller.3.1.0.17_12.10.2018_15.31.48_log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 12 октября, 2018 Share Опубликовано 12 октября, 2018 Удалите всё найденное в TDSSKiller, затем сделайте свежий образ uVS тем же способом. + до создания свежего образа. Деисталируйте: CloudNet, MediaGet, Цитата Ссылка на сообщение Поделиться на другие сайты
kdotq 0 Опубликовано 12 октября, 2018 Автор Share Опубликовано 12 октября, 2018 не могу сделать образ, закрывается uvs при выполнении скрипта. Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 12 октября, 2018 Share Опубликовано 12 октября, 2018 Деисталируйте: CloudNet, MediaGet, а это сделали?Повторное сканирование TDSSKiller-ом, что-нибудь находит? Цитата Ссылка на сообщение Поделиться на другие сайты
kdotq 0 Опубликовано 13 октября, 2018 Автор Share Опубликовано 13 октября, 2018 сделал. да находит, 1 зараженный объект - windefender.exe Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 13 октября, 2018 Share Опубликовано 13 октября, 2018 Пролечите его и снова попробуйте собрать лог uVS. Цитата Ссылка на сообщение Поделиться на другие сайты
kdotq 0 Опубликовано 13 октября, 2018 Автор Share Опубликовано 13 октября, 2018 . DESKTOP-SRHO2U4_2018-10-13_14-03-40_v4.1.7z Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 13 октября, 2018 Share Опубликовано 13 октября, 2018 Трудно лечить когда антивируса нет и ещё и инструкции не выполняют. 1) MediaGet - деинсталируйте. 2) Советую поставьте хотя бы или триальную версию антивируса на месяц или бесплатную kaspersky free. 3) После этого переделайте лог. + папку C:\TDSSKILLER_QUARANTINE\ Заархивируйте в zip архив с паролем virus и отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) После этого эту папку удалите. А также удалите папку C:\USERS\MARGO\DESKTOP\AUTOLOGGER\AVZ\QUARANTINE\ Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.