Перейти к содержанию
Правила раздела

Emotet (компьютер №2)

Дима Баранов

От Дима Баранов
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Дима Баранов Новичок

Дима Баранов

Опубликовано
Опубликовано

А посмотрите пожалуйста на лог этого компьютера, тут тоже этот самый вирус, пытаюсь всё касперским изгонять уже вирусню, но мучают сомненья...

Сообщение от модератора thyrex
Один компьютер - одна тема

 

Перенесено из темы https://forum.kasperskyclub.ru/index.php?showtopic=60856

CollectionLog-2018.11.06-09.09.zip

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано (изменено)

Здравствуйте!
 

O22 - Task: get_210 - D:\ERIP FTP\FROM_FTP\exe\get_210.bat
O22 - Task: time - D:\time.bat
O22 - Task: dump - D:\dump.bat

эти батники знакомы?
А также папка

D:\nssm\

знакома?
 
- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('D:\dump.bat', '');
 QuarantineFile('D:\ERIP FTP\FROM_FTP\exe\get_210.bat', '');
 QuarantineFile('d:\erip http-server\simplehttpserver.exe', '');
 QuarantineFile('D:\time.bat', '');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):


O23 - Service S2: 187213601 - C:\Windows\31386056.exe  (file missing)
O23 - Service S2: 1991190339 - C:\Windows\34728152.exe  (file missing)
O23 - Service S2: 2021677942 - C:\Windows\27781576.exe  (file missing)
O23 - Service S2: 2051245061 - C:\Windows\27650504.exe  (file missing)
O23 - Service S2: 205266 - C:\Windows\34007304.exe  (file missing)
O23 - Service S2: 206919 - C:\Windows\27060680.exe  (file missing)
O23 - Service S2: 2111798627 - C:\Windows\28240328.exe  (file missing)
O23 - Service S2: 212875189 - C:\Windows\39250248.exe  (file missing)
O23 - Service S2: 2141489939 - C:\Windows\28109256.exe  (file missing)
O23 - Service S2: 216919546 - C:\Windows\33483208.exe  (file missing)
O23 - Service S2: 22113063 - C:\Windows\14739912.exe  (file missing)
O23 - Service S2: 22502379 - C:\Windows\22342088.exe  (file missing)
O23 - Service S2: 22788251 - C:\Windows\32039528.exe  (file missing)
O23 - Service S2: 22998353 - C:\Windows\22538696.exe  (file missing)
O23 - Service S2: 2346687 - C:\Windows\19588424.exe  (file missing)
O23 - Service S2: 235115765 - C:\Windows\18016656.exe  (file missing)
O23 - Service S2: 242431840 - C:\Windows\40298136.exe  (file missing)
O23 - Service S2: 247185113 - C:\Windows\38855664.exe  (file missing)
O23 - Service S2: 25662671 - C:\Windows\15002000.exe  (file missing)
O23 - Service S2: 25972185 - C:\Windows\28633544.exe  (file missing)
O23 - Service S2: 26353607 - C:\Windows\23128176.exe  (file missing)
O23 - Service S2: 26389238 - C:\Windows\23456200.exe  (file missing)
O23 - Service S2: 26452449 - C:\Windows\32367728.exe  (file missing)
O23 - Service S2: 264640 - C:\Windows\31647152.exe  (file missing)
O23 - Service S2: 264785640 - C:\Windows\15131640.exe  (file missing)
O23 - Service S2: 277067260 - C:\Windows\27978184.exe  (file missing)
O23 - Service S2: 2848749 - C:\Windows\32826528.exe  (file missing)
O23 - Service S2: 28731984 - C:\Windows\26077584.exe  (file missing)
O23 - Service S2: 294661078 - C:\Windows\25814960.exe  (file missing)
O23 - Service S2: 30083903 - C:\Windows\15002056.exe  (file missing)
O23 - Service S2: 30196271 - C:\Windows\23258080.exe  (file missing)
O23 - Service S2: 3036794519 - C:\Windows\25291152.exe  (file missing)
O23 - Service S2: 3037954769 - C:\Windows\15264144.exe  (file missing)
O23 - Service S2: 306790302 - C:\Windows\35448120.exe  (file missing)
O23 - Service S2: 32170650 - C:\Windows\37087216.exe  (file missing)
O23 - Service S2: 32482718 - C:\Windows\15460752.exe  (file missing)
O23 - Service S2: 325370078 - C:\Windows\31844536.exe  (file missing)
O23 - Service S2: 337614742 - C:\Windows\41215440.exe  (file missing)
O23 - Service S2: 340846 - C:\Windows\34466248.exe  (file missing)
O23 - Service S2: 36441671 - C:\Windows\25356688.exe  (file missing)
O23 - Service S2: 36605931 - C:\Windows\28895688.exe  (file missing)
O23 - Service S2: 367397861 - C:\Windows\24111560.exe  (file missing)
O23 - Service S2: 386002734 - C:\Windows\8906224.exe  (file missing)
O23 - Service S2: 3895066875 - C:\Windows\20506976.exe  (file missing)
O23 - Service S2: 39651828 - C:\Windows\16640400.exe  (file missing)
O23 - Service S2: 397655814 - C:\Windows\27847112.exe  (file missing)
O23 - Service S2: 407817 - C:\Windows\31712080.exe  (file missing)
O23 - Service S2: 4268135625 - C:\Windows\61794320.exe  (file missing)
O23 - Service S2: 428071251 - C:\Windows\27847112.exe  (file missing)
O23 - Service S2: 43063968 - C:\Windows\21358992.exe  (file missing)
O23 - Service S2: 43352343 - C:\Windows\14674320.exe  (file missing)
O23 - Service S2: 458104533 - C:\Windows\29026760.exe  (file missing)
O23 - Service S2: 47154484 - C:\Windows\14215568.exe  (file missing)
O23 - Service S2: 476330218 - C:\Windows\17951120.exe  (file missing)
O23 - Service S2: 480888 - C:\Windows\30859792.exe  (file missing)
O23 - Service S2: 48227365 - C:\Windows\25225672.exe  (file missing)
O23 - Service S2: 488388804 - C:\Windows\26274248.exe  (file missing)
O23 - Service S2: 505583187 - C:\Windows\25291152.exe  (file missing)
O23 - Service S2: 51257953 - C:\Windows\18999696.exe  (file missing)
O23 - Service S2: 518016389 - C:\Windows\33743408.exe  (file missing)
O23 - Service S2: 535968187 - C:\Windows\19786128.exe  (file missing)
O23 - Service S2: 548109263 - C:\Windows\29157832.exe  (file missing)
O23 - Service S2: 55039187 - C:\Windows\13953424.exe  (file missing)
O23 - Service S2: 566252906 - C:\Windows\19195032.exe  (file missing)
O23 - Service S2: 5694551 - C:\Windows\32369096.exe  (file missing)
O23 - Service S2: 578781555 - C:\Windows\27781576.exe  (file missing)
O23 - Service S2: 587665171 - C:\Windows\69330728.exe  (file missing)
O23 - Service S2: 596428796 - C:\Windows\19325952.exe  (file missing)
O23 - Service S2: 608572052 - C:\Windows\28699080.exe  (file missing)
O23 - Service S2: 62433706 - C:\Windows\39511288.exe  (file missing)
O23 - Service S2: 650258 - C:\Windows\34268896.exe  (file missing)
O23 - Service S2: 655987515 - C:\Windows\30337392.exe  (file missing)
O23 - Service S2: 66535409 - C:\Windows\28830152.exe  (file missing)
O23 - Service S2: 668430946 - C:\Windows\34596376.exe  (file missing)
O23 - Service S2: 686258296 - C:\Windows\30401800.exe  (file missing)
O23 - Service S2: 698853247 - C:\Windows\35317656.exe  (file missing)
O23 - Service S2: 7039077 - C:\Windows\30796232.exe  (file missing)
O23 - Service S2: 706310 - C:\Windows\33482712.exe  (file missing)
O23 - Service S2: 7132490 - C:\Windows\14412232.exe  (file missing)
O23 - Service S2: 716159359 - C:\Windows\15264144.exe  (file missing)
O23 - Service S2: 72753984 - C:\Windows\21489896.exe  (file missing)
O23 - Service S2: 728824487 - C:\Windows\23521736.exe  (file missing)
O23 - Service S2: 746706546 - C:\Windows\15526288.exe  (file missing)
O23 - Service S2: 758393384 - C:\Windows\25684424.exe  (file missing)
O23 - Service S2: 769029798 - C:\Windows\26470856.exe  (file missing)
O23 - Service S2: 776165546 - C:\Windows\8382864.exe  (file missing)
O23 - Service S2: 791591786 - C:\Windows\26207352.exe  (file missing)
O23 - Service S2: 802053291 - C:\Windows\34726464.exe  (file missing)
O23 - Service S2: 806789281 - C:\Windows\20833744.exe  (file missing)
O23 - Service S2: 812699688 - C:\Windows\25356744.exe  (file missing)
O23 - Service S2: 824039494 - C:\Windows\31058376.exe  (file missing)
O23 - Service S2: 834558377 - C:\Windows\30009800.exe  (file missing)
O23 - Service S2: 836340765 - C:\Windows\14739856.exe  (file missing)
O23 - Service S2: 847492937 - C:\Windows\12446048.exe  (file missing)
O23 - Service S2: 85741640 - C:\Windows\33351584.exe  (file missing)
O23 - Service S2: 896538312 - C:\Windows\24241088.exe  (file missing)
O23 - Service S2: 91338 - C:\Windows\38986232.exe  (file missing)
O23 - Service S2: 927096328 - C:\Windows\19130768.exe  (file missing)
O23 - Service S2: 92826772 - C:\Windows\26798536.exe  (file missing)
O23 - Service S2: 951231 - C:\Windows\22669768.exe  (file missing)
O23 - Service S2: 97114397 - C:\Windows\26667464.exe  (file missing)
O23 - Service S2: 986741796 - C:\Windows\27322728.exe  (file missing)

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
DeleteService('458104533');
 DeleteService('47154484');
 DeleteService('476330218');
 DeleteService('480888');
 DeleteService('48227365');
 DeleteService('488388804');
 DeleteService('505583187');
 DeleteService('51257953');
 DeleteService('518016389');
 DeleteService('535968187');
 DeleteService('548109263');
 DeleteService('55039187');
 DeleteService('566252906');
 DeleteService('5694551');
 DeleteService('578781555');
 DeleteService('587665171');
 DeleteService('596428796');
 DeleteService('608572052');
 DeleteService('62433706');
 DeleteService('650258');
 DeleteService('655987515');
 DeleteService('66535409');
 DeleteService('668430946');
 DeleteService('686258296');
 DeleteService('698853247');
 DeleteService('7039077');
 DeleteService('706310');
 DeleteService('7132490');
 DeleteService('824039494');
 DeleteService('812699688');
 DeleteService('806789281');
 DeleteService('802053291');
 DeleteService('791591786');
 DeleteService('776165546');
 DeleteService('769029798');
 DeleteService('758393384');
 DeleteService('746706546');
 DeleteService('728824487');
 DeleteService('72753984');
 DeleteService('716159359');
 DeleteService('834558377');
 DeleteService('836340765');
 DeleteService('847492937');
 DeleteService('85741640');
 DeleteService('986741796');
 DeleteService('97114397');
 DeleteService('951231');
 DeleteService('92826772');
 DeleteService('927096328');
 DeleteService('91338');
 DeleteService('896538312');
 DeleteService('C84FEE8E');
 DeleteService('ftpjpn');
 DeleteService('43352343');
 DeleteService('43063968');
 DeleteService('428071251');
 DeleteService('4268135625');
 DeleteService('407817');
 DeleteService('397655814');
 DeleteService('39651828');
 DeleteService('3895066875');
 DeleteService('386002734');
 DeleteService('367397861');
 DeleteService('36605931');
 DeleteService('36441671');
 DeleteService('340846');
 DeleteService('337614742');
 DeleteService('325370078');
 DeleteService('32482718');
 DeleteService('32170650');
 DeleteService('306790302');
 DeleteService('3037954769');
 DeleteService('3036794519');
 DeleteService('30196271');
 DeleteService('30083903');
 DeleteService('294661078');
 DeleteService('28731984');
 DeleteService('2848749');
 DeleteService('277067260');
 DeleteService('264785640');
 DeleteService('264640');
 DeleteService('26452449');
 DeleteService('26389238');
 DeleteService('26353607');
 DeleteService('25972185');
 DeleteService('25662671');
 DeleteService('247185113');
 DeleteService('242431840');
 DeleteService('235115765');
 DeleteService('2346687');
 DeleteService('22998353');
 DeleteService('22788251');
 DeleteService('22502379');
 DeleteService('22113063');
 DeleteService('216919546');
 DeleteService('2141489939');
 DeleteService('212875189');
 DeleteService('2111798627');
 DeleteService('206919');
 DeleteService('205266');
 DeleteService('2051245061');
 DeleteService('2021677942');
 DeleteService('1991190339');
 DeleteService('187213601');
 QuarantineFile('D:\nssm\win64\nssm.exe','');
 TerminateProcessByName('c:\windows\syswow64\ftpjpn.exe');
 QuarantineFile('c:\windows\syswow64\ftpjpn.exe','');
 DeleteFile('c:\windows\syswow64\ftpjpn.exe','32');
 DeleteFile('C:\Windows\C84FEE8E.exe','64');
 DeleteFile('C:\Windows\27322728.exe','64');
 DeleteFile('C:\Windows\26667464.exe','64');
 DeleteFile('C:\Windows\22669768.exe','64');
 DeleteFile('C:\Windows\26798536.exe','64');
 DeleteFile('C:\Windows\19130768.exe','64');
 DeleteFile('C:\Windows\38986232.exe','64');
 DeleteFile('C:\Windows\24241088.exe','64');
 DeleteFile('C:\Windows\30009800.exe','64');
 DeleteFile('C:\Windows\14739856.exe','64');
 DeleteFile('C:\Windows\12446048.exe','64');
 DeleteFile('C:\Windows\33351584.exe','64');
 DeleteFile('C:\Windows\31058376.exe','64');
 DeleteFile('C:\Windows\25356744.exe','64');
 DeleteFile('C:\Windows\20833744.exe','64');
 DeleteFile('C:\Windows\34726464.exe','64');
 DeleteFile('C:\Windows\26207352.exe','64');
 DeleteFile('C:\Windows\8382864.exe','64');
 DeleteFile('C:\Windows\26470856.exe','64');
 DeleteFile('C:\Windows\25684424.exe','64');
 DeleteFile('C:\Windows\15526288.exe','64');
 DeleteFile('C:\Windows\23521736.exe','64');
 DeleteFile('C:\Windows\21489896.exe','64');
 DeleteFile('C:\Windows\15264144.exe','64');
 DeleteFile('C:\Windows\69330728.exe','64');
 DeleteFile('C:\Windows\19325952.exe','64');
 DeleteFile('C:\Windows\28699080.exe','64');
 DeleteFile('C:\Windows\39511288.exe','64');
 DeleteFile('C:\Windows\34268896.exe','64');
 DeleteFile('C:\Windows\30337392.exe','64');
 DeleteFile('C:\Windows\28830152.exe','64');
 DeleteFile('C:\Windows\34596376.exe','64');
 DeleteFile('C:\Windows\30401800.exe','64');
 DeleteFile('C:\Windows\35317656.exe','64');
 DeleteFile('C:\Windows\30796232.exe','64');
 DeleteFile('C:\Windows\33482712.exe','64');
 DeleteFile('C:\Windows\14412232.exe','64');
 DeleteFile('C:\Windows\30859792.exe','64');
 DeleteFile('C:\Windows\25225672.exe','64');
 DeleteFile('C:\Windows\26274248.exe','64');
 DeleteFile('C:\Windows\25291152.exe','64');
 DeleteFile('C:\Windows\18999696.exe','64');
 DeleteFile('C:\Windows\33743408.exe','64');
 DeleteFile('C:\Windows\19786128.exe','64');
 DeleteFile('C:\Windows\29157832.exe','64');
 DeleteFile('C:\Windows\13953424.exe','64');
 DeleteFile('C:\Windows\19195032.exe','64');
 DeleteFile('C:\Windows\32369096.exe','64');
 DeleteFile('C:\Windows\27781576.exe','64');
 DeleteFile('C:\Windows\31712080.exe','64');
 DeleteFile('C:\Windows\61794320.exe','64');
 DeleteFile('C:\Windows\27847112.exe','64');
 DeleteFile('C:\Windows\21358992.exe','64');
 DeleteFile('C:\Windows\14674320.exe','64');
 DeleteFile('C:\Windows\29026760.exe','64');
 DeleteFile('C:\Windows\14215568.exe','64');
 DeleteFile('C:\Windows\17951120.exe','64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

Да эти батники мне известны.

а насчёт папки не ответили.

 

 

- Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN)

также не написали.
Ссылка на комментарий
Поделиться на другие сайты
Дима Баранов Новичок

Дима Баранов

Опубликовано
  • Автор
Опубликовано

Всё что лежит на D диске на этом компьютере известно и оно нужно, это всё свои внутренние разработки, но вот только обидно что прошёл день а вирусня походу опять прибежала, хоть стоит и касперский обновлённый и обновления установлены  :eyes:  :eyes:

CollectionLog-2018.11.08-12.38.zip

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано (изменено)

@Дима Баранов, ещё раз повторяю, где?!

 

 

Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • iaroslav
      Майнер на компьютере
      От iaroslav
      Я подозреваю что у меня майнер или троян так как у меня не открываются параметры( все способы перепробовал) а также при открытии например панели управления выскакивает табличка: операция отменена из за огранечений..... Обратитесь к администратору хотя я и есть администратор. Перед этим я использовал AVbr и только потом AutoLogger
      AV_block_remove_2025.02.02-17.03.log report2.log report1.log CollectionLog-2025.02.02-17.19.zip
    • egor536457253453
      Нашел майнер на компьютере
      От egor536457253453
      Недавно пытался обойди блокировку дискорда, но получил майнер, пытался его удалить через Kaspersky Virus Removal Tool и Dr.Web CureIt, но ничего не помогло, помогите пожалуйста. ЛОГИ:

      CollectionLog-2025.02.04-10.10.zip
    • Golem555
      Майнер жрёт оперативку и компьютер тормозит
      От Golem555
      CollectionLog-2025.02.21-22.40.zip
    • ARKHIPOV
      [РЕШЕНО] На компьютере обнаружил вирус майнера, не удаляется Касперским
      От ARKHIPOV
      Добрый день! Пару дней назад компьютер после стандартного запуска вывел синий экран (BSOD). При отключении интернет соединения данная проблема исчезла. Это побудило меня приобрести ключ к Касперскому (до этого пользовался Malware, пробником, который истек и защиту в реальном времени уже не оказывал). Проверив ПК на вирусы, обнаружились Трояны (к сожалению логов и скринов не сохранил, причина дальше). Вирус сидел в exeшнике GoogleUpdate. Отключил службы, связанные с апдейтом гугла, удалил файлы связанные с ним, после полной проверки перезагрузил ПК и обнаружил надпись в Касперском: "Некоторые компоненты защиты повреждены", переустановил К (сообщение пропало и логи про удаленный вирус тоже), снова проверил на вирусы, снова перезагрузил, получил тот же результат. У меня подозрение на наличие майнера, который не удаляется стандартным путем и сидит где-то в системных файлах и службах. Прошу помочь восстановить работу служб и системы. Без интернет соединения ПК летает хорошо, при подключении работает медленней.
      CollectionLog-2025.02.18-11.00.zip
    • Sergei Lomov
      Майнер на компьютере
      От Sergei Lomov
      Здравствуйте, возникла проблема после скачивания и запуска игры с торента, сначала перестал открываться браузер хром появлялось сообщение “Не удается получить доступ к объекту на который ссылается ярлык.Возможно , отсутствуют необходимые разрешения” ,после чего пробовал установить антивирус на что мне появлялось сообщение - “Операция отменена из-за ограничений, действующих на этом компьютере.Обратитесь к системному администратору”. Не мог зайти на ваш сайт с компьютера перекидывало на сайт dns.google.Скачал программу autologger, удалось открыть только в безопасном режиме
      CollectionLog-2024.12.03-20.17.zip
×
×
  • Создать...