Перейти к содержанию
Правила раздела
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

Emotet (компьютер №2)

Дима Баранов

Автор Дима Баранов
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Дима Баранов Новичок

Дима Баранов

Опубликовано
Опубликовано

А посмотрите пожалуйста на лог этого компьютера, тут тоже этот самый вирус, пытаюсь всё касперским изгонять уже вирусню, но мучают сомненья...

Сообщение от модератора thyrex
Один компьютер - одна тема

 

Перенесено из темы https://forum.kasperskyclub.ru/index.php?showtopic=60856

CollectionLog-2018.11.06-09.09.zip

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано (изменено)

Здравствуйте!
 

O22 - Task: get_210 - D:\ERIP FTP\FROM_FTP\exe\get_210.bat
O22 - Task: time - D:\time.bat
O22 - Task: dump - D:\dump.bat

эти батники знакомы?
А также папка

D:\nssm\

знакома?
 
- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('D:\dump.bat', '');
 QuarantineFile('D:\ERIP FTP\FROM_FTP\exe\get_210.bat', '');
 QuarantineFile('d:\erip http-server\simplehttpserver.exe', '');
 QuarantineFile('D:\time.bat', '');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):


O23 - Service S2: 187213601 - C:\Windows\31386056.exe  (file missing)
O23 - Service S2: 1991190339 - C:\Windows\34728152.exe  (file missing)
O23 - Service S2: 2021677942 - C:\Windows\27781576.exe  (file missing)
O23 - Service S2: 2051245061 - C:\Windows\27650504.exe  (file missing)
O23 - Service S2: 205266 - C:\Windows\34007304.exe  (file missing)
O23 - Service S2: 206919 - C:\Windows\27060680.exe  (file missing)
O23 - Service S2: 2111798627 - C:\Windows\28240328.exe  (file missing)
O23 - Service S2: 212875189 - C:\Windows\39250248.exe  (file missing)
O23 - Service S2: 2141489939 - C:\Windows\28109256.exe  (file missing)
O23 - Service S2: 216919546 - C:\Windows\33483208.exe  (file missing)
O23 - Service S2: 22113063 - C:\Windows\14739912.exe  (file missing)
O23 - Service S2: 22502379 - C:\Windows\22342088.exe  (file missing)
O23 - Service S2: 22788251 - C:\Windows\32039528.exe  (file missing)
O23 - Service S2: 22998353 - C:\Windows\22538696.exe  (file missing)
O23 - Service S2: 2346687 - C:\Windows\19588424.exe  (file missing)
O23 - Service S2: 235115765 - C:\Windows\18016656.exe  (file missing)
O23 - Service S2: 242431840 - C:\Windows\40298136.exe  (file missing)
O23 - Service S2: 247185113 - C:\Windows\38855664.exe  (file missing)
O23 - Service S2: 25662671 - C:\Windows\15002000.exe  (file missing)
O23 - Service S2: 25972185 - C:\Windows\28633544.exe  (file missing)
O23 - Service S2: 26353607 - C:\Windows\23128176.exe  (file missing)
O23 - Service S2: 26389238 - C:\Windows\23456200.exe  (file missing)
O23 - Service S2: 26452449 - C:\Windows\32367728.exe  (file missing)
O23 - Service S2: 264640 - C:\Windows\31647152.exe  (file missing)
O23 - Service S2: 264785640 - C:\Windows\15131640.exe  (file missing)
O23 - Service S2: 277067260 - C:\Windows\27978184.exe  (file missing)
O23 - Service S2: 2848749 - C:\Windows\32826528.exe  (file missing)
O23 - Service S2: 28731984 - C:\Windows\26077584.exe  (file missing)
O23 - Service S2: 294661078 - C:\Windows\25814960.exe  (file missing)
O23 - Service S2: 30083903 - C:\Windows\15002056.exe  (file missing)
O23 - Service S2: 30196271 - C:\Windows\23258080.exe  (file missing)
O23 - Service S2: 3036794519 - C:\Windows\25291152.exe  (file missing)
O23 - Service S2: 3037954769 - C:\Windows\15264144.exe  (file missing)
O23 - Service S2: 306790302 - C:\Windows\35448120.exe  (file missing)
O23 - Service S2: 32170650 - C:\Windows\37087216.exe  (file missing)
O23 - Service S2: 32482718 - C:\Windows\15460752.exe  (file missing)
O23 - Service S2: 325370078 - C:\Windows\31844536.exe  (file missing)
O23 - Service S2: 337614742 - C:\Windows\41215440.exe  (file missing)
O23 - Service S2: 340846 - C:\Windows\34466248.exe  (file missing)
O23 - Service S2: 36441671 - C:\Windows\25356688.exe  (file missing)
O23 - Service S2: 36605931 - C:\Windows\28895688.exe  (file missing)
O23 - Service S2: 367397861 - C:\Windows\24111560.exe  (file missing)
O23 - Service S2: 386002734 - C:\Windows\8906224.exe  (file missing)
O23 - Service S2: 3895066875 - C:\Windows\20506976.exe  (file missing)
O23 - Service S2: 39651828 - C:\Windows\16640400.exe  (file missing)
O23 - Service S2: 397655814 - C:\Windows\27847112.exe  (file missing)
O23 - Service S2: 407817 - C:\Windows\31712080.exe  (file missing)
O23 - Service S2: 4268135625 - C:\Windows\61794320.exe  (file missing)
O23 - Service S2: 428071251 - C:\Windows\27847112.exe  (file missing)
O23 - Service S2: 43063968 - C:\Windows\21358992.exe  (file missing)
O23 - Service S2: 43352343 - C:\Windows\14674320.exe  (file missing)
O23 - Service S2: 458104533 - C:\Windows\29026760.exe  (file missing)
O23 - Service S2: 47154484 - C:\Windows\14215568.exe  (file missing)
O23 - Service S2: 476330218 - C:\Windows\17951120.exe  (file missing)
O23 - Service S2: 480888 - C:\Windows\30859792.exe  (file missing)
O23 - Service S2: 48227365 - C:\Windows\25225672.exe  (file missing)
O23 - Service S2: 488388804 - C:\Windows\26274248.exe  (file missing)
O23 - Service S2: 505583187 - C:\Windows\25291152.exe  (file missing)
O23 - Service S2: 51257953 - C:\Windows\18999696.exe  (file missing)
O23 - Service S2: 518016389 - C:\Windows\33743408.exe  (file missing)
O23 - Service S2: 535968187 - C:\Windows\19786128.exe  (file missing)
O23 - Service S2: 548109263 - C:\Windows\29157832.exe  (file missing)
O23 - Service S2: 55039187 - C:\Windows\13953424.exe  (file missing)
O23 - Service S2: 566252906 - C:\Windows\19195032.exe  (file missing)
O23 - Service S2: 5694551 - C:\Windows\32369096.exe  (file missing)
O23 - Service S2: 578781555 - C:\Windows\27781576.exe  (file missing)
O23 - Service S2: 587665171 - C:\Windows\69330728.exe  (file missing)
O23 - Service S2: 596428796 - C:\Windows\19325952.exe  (file missing)
O23 - Service S2: 608572052 - C:\Windows\28699080.exe  (file missing)
O23 - Service S2: 62433706 - C:\Windows\39511288.exe  (file missing)
O23 - Service S2: 650258 - C:\Windows\34268896.exe  (file missing)
O23 - Service S2: 655987515 - C:\Windows\30337392.exe  (file missing)
O23 - Service S2: 66535409 - C:\Windows\28830152.exe  (file missing)
O23 - Service S2: 668430946 - C:\Windows\34596376.exe  (file missing)
O23 - Service S2: 686258296 - C:\Windows\30401800.exe  (file missing)
O23 - Service S2: 698853247 - C:\Windows\35317656.exe  (file missing)
O23 - Service S2: 7039077 - C:\Windows\30796232.exe  (file missing)
O23 - Service S2: 706310 - C:\Windows\33482712.exe  (file missing)
O23 - Service S2: 7132490 - C:\Windows\14412232.exe  (file missing)
O23 - Service S2: 716159359 - C:\Windows\15264144.exe  (file missing)
O23 - Service S2: 72753984 - C:\Windows\21489896.exe  (file missing)
O23 - Service S2: 728824487 - C:\Windows\23521736.exe  (file missing)
O23 - Service S2: 746706546 - C:\Windows\15526288.exe  (file missing)
O23 - Service S2: 758393384 - C:\Windows\25684424.exe  (file missing)
O23 - Service S2: 769029798 - C:\Windows\26470856.exe  (file missing)
O23 - Service S2: 776165546 - C:\Windows\8382864.exe  (file missing)
O23 - Service S2: 791591786 - C:\Windows\26207352.exe  (file missing)
O23 - Service S2: 802053291 - C:\Windows\34726464.exe  (file missing)
O23 - Service S2: 806789281 - C:\Windows\20833744.exe  (file missing)
O23 - Service S2: 812699688 - C:\Windows\25356744.exe  (file missing)
O23 - Service S2: 824039494 - C:\Windows\31058376.exe  (file missing)
O23 - Service S2: 834558377 - C:\Windows\30009800.exe  (file missing)
O23 - Service S2: 836340765 - C:\Windows\14739856.exe  (file missing)
O23 - Service S2: 847492937 - C:\Windows\12446048.exe  (file missing)
O23 - Service S2: 85741640 - C:\Windows\33351584.exe  (file missing)
O23 - Service S2: 896538312 - C:\Windows\24241088.exe  (file missing)
O23 - Service S2: 91338 - C:\Windows\38986232.exe  (file missing)
O23 - Service S2: 927096328 - C:\Windows\19130768.exe  (file missing)
O23 - Service S2: 92826772 - C:\Windows\26798536.exe  (file missing)
O23 - Service S2: 951231 - C:\Windows\22669768.exe  (file missing)
O23 - Service S2: 97114397 - C:\Windows\26667464.exe  (file missing)
O23 - Service S2: 986741796 - C:\Windows\27322728.exe  (file missing)

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
DeleteService('458104533');
 DeleteService('47154484');
 DeleteService('476330218');
 DeleteService('480888');
 DeleteService('48227365');
 DeleteService('488388804');
 DeleteService('505583187');
 DeleteService('51257953');
 DeleteService('518016389');
 DeleteService('535968187');
 DeleteService('548109263');
 DeleteService('55039187');
 DeleteService('566252906');
 DeleteService('5694551');
 DeleteService('578781555');
 DeleteService('587665171');
 DeleteService('596428796');
 DeleteService('608572052');
 DeleteService('62433706');
 DeleteService('650258');
 DeleteService('655987515');
 DeleteService('66535409');
 DeleteService('668430946');
 DeleteService('686258296');
 DeleteService('698853247');
 DeleteService('7039077');
 DeleteService('706310');
 DeleteService('7132490');
 DeleteService('824039494');
 DeleteService('812699688');
 DeleteService('806789281');
 DeleteService('802053291');
 DeleteService('791591786');
 DeleteService('776165546');
 DeleteService('769029798');
 DeleteService('758393384');
 DeleteService('746706546');
 DeleteService('728824487');
 DeleteService('72753984');
 DeleteService('716159359');
 DeleteService('834558377');
 DeleteService('836340765');
 DeleteService('847492937');
 DeleteService('85741640');
 DeleteService('986741796');
 DeleteService('97114397');
 DeleteService('951231');
 DeleteService('92826772');
 DeleteService('927096328');
 DeleteService('91338');
 DeleteService('896538312');
 DeleteService('C84FEE8E');
 DeleteService('ftpjpn');
 DeleteService('43352343');
 DeleteService('43063968');
 DeleteService('428071251');
 DeleteService('4268135625');
 DeleteService('407817');
 DeleteService('397655814');
 DeleteService('39651828');
 DeleteService('3895066875');
 DeleteService('386002734');
 DeleteService('367397861');
 DeleteService('36605931');
 DeleteService('36441671');
 DeleteService('340846');
 DeleteService('337614742');
 DeleteService('325370078');
 DeleteService('32482718');
 DeleteService('32170650');
 DeleteService('306790302');
 DeleteService('3037954769');
 DeleteService('3036794519');
 DeleteService('30196271');
 DeleteService('30083903');
 DeleteService('294661078');
 DeleteService('28731984');
 DeleteService('2848749');
 DeleteService('277067260');
 DeleteService('264785640');
 DeleteService('264640');
 DeleteService('26452449');
 DeleteService('26389238');
 DeleteService('26353607');
 DeleteService('25972185');
 DeleteService('25662671');
 DeleteService('247185113');
 DeleteService('242431840');
 DeleteService('235115765');
 DeleteService('2346687');
 DeleteService('22998353');
 DeleteService('22788251');
 DeleteService('22502379');
 DeleteService('22113063');
 DeleteService('216919546');
 DeleteService('2141489939');
 DeleteService('212875189');
 DeleteService('2111798627');
 DeleteService('206919');
 DeleteService('205266');
 DeleteService('2051245061');
 DeleteService('2021677942');
 DeleteService('1991190339');
 DeleteService('187213601');
 QuarantineFile('D:\nssm\win64\nssm.exe','');
 TerminateProcessByName('c:\windows\syswow64\ftpjpn.exe');
 QuarantineFile('c:\windows\syswow64\ftpjpn.exe','');
 DeleteFile('c:\windows\syswow64\ftpjpn.exe','32');
 DeleteFile('C:\Windows\C84FEE8E.exe','64');
 DeleteFile('C:\Windows\27322728.exe','64');
 DeleteFile('C:\Windows\26667464.exe','64');
 DeleteFile('C:\Windows\22669768.exe','64');
 DeleteFile('C:\Windows\26798536.exe','64');
 DeleteFile('C:\Windows\19130768.exe','64');
 DeleteFile('C:\Windows\38986232.exe','64');
 DeleteFile('C:\Windows\24241088.exe','64');
 DeleteFile('C:\Windows\30009800.exe','64');
 DeleteFile('C:\Windows\14739856.exe','64');
 DeleteFile('C:\Windows\12446048.exe','64');
 DeleteFile('C:\Windows\33351584.exe','64');
 DeleteFile('C:\Windows\31058376.exe','64');
 DeleteFile('C:\Windows\25356744.exe','64');
 DeleteFile('C:\Windows\20833744.exe','64');
 DeleteFile('C:\Windows\34726464.exe','64');
 DeleteFile('C:\Windows\26207352.exe','64');
 DeleteFile('C:\Windows\8382864.exe','64');
 DeleteFile('C:\Windows\26470856.exe','64');
 DeleteFile('C:\Windows\25684424.exe','64');
 DeleteFile('C:\Windows\15526288.exe','64');
 DeleteFile('C:\Windows\23521736.exe','64');
 DeleteFile('C:\Windows\21489896.exe','64');
 DeleteFile('C:\Windows\15264144.exe','64');
 DeleteFile('C:\Windows\69330728.exe','64');
 DeleteFile('C:\Windows\19325952.exe','64');
 DeleteFile('C:\Windows\28699080.exe','64');
 DeleteFile('C:\Windows\39511288.exe','64');
 DeleteFile('C:\Windows\34268896.exe','64');
 DeleteFile('C:\Windows\30337392.exe','64');
 DeleteFile('C:\Windows\28830152.exe','64');
 DeleteFile('C:\Windows\34596376.exe','64');
 DeleteFile('C:\Windows\30401800.exe','64');
 DeleteFile('C:\Windows\35317656.exe','64');
 DeleteFile('C:\Windows\30796232.exe','64');
 DeleteFile('C:\Windows\33482712.exe','64');
 DeleteFile('C:\Windows\14412232.exe','64');
 DeleteFile('C:\Windows\30859792.exe','64');
 DeleteFile('C:\Windows\25225672.exe','64');
 DeleteFile('C:\Windows\26274248.exe','64');
 DeleteFile('C:\Windows\25291152.exe','64');
 DeleteFile('C:\Windows\18999696.exe','64');
 DeleteFile('C:\Windows\33743408.exe','64');
 DeleteFile('C:\Windows\19786128.exe','64');
 DeleteFile('C:\Windows\29157832.exe','64');
 DeleteFile('C:\Windows\13953424.exe','64');
 DeleteFile('C:\Windows\19195032.exe','64');
 DeleteFile('C:\Windows\32369096.exe','64');
 DeleteFile('C:\Windows\27781576.exe','64');
 DeleteFile('C:\Windows\31712080.exe','64');
 DeleteFile('C:\Windows\61794320.exe','64');
 DeleteFile('C:\Windows\27847112.exe','64');
 DeleteFile('C:\Windows\21358992.exe','64');
 DeleteFile('C:\Windows\14674320.exe','64');
 DeleteFile('C:\Windows\29026760.exe','64');
 DeleteFile('C:\Windows\14215568.exe','64');
 DeleteFile('C:\Windows\17951120.exe','64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

Да эти батники мне известны.

а насчёт папки не ответили.

 

 

- Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN)

также не написали.
Ссылка на комментарий
Поделиться на другие сайты
Дима Баранов Новичок

Дима Баранов

Опубликовано
  • Автор
Опубликовано

Всё что лежит на D диске на этом компьютере известно и оно нужно, это всё свои внутренние разработки, но вот только обидно что прошёл день а вирусня походу опять прибежала, хоть стоит и касперский обновлённый и обновления установлены  :eyes:  :eyes:

CollectionLog-2018.11.08-12.38.zip

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано (изменено)

@Дима Баранов, ещё раз повторяю, где?!

 

 

Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Михаил79
      зашифровали компьютер с 1С
      Автор Михаил79
      Здравствуйте. Зашифровали рабочий компьютер с 1с
      Addition.txt arhiv.rar FRST.txt
    • dlitsov
      [РЕШЕНО] Майнер на компьютере
      Автор dlitsov
      Скачал набор офисных приложений word на следующий день начался полный кошмар, в игре просидал FPS , начал искать проблему 
      диспетчер задач сам закрывался , хотел установить антивирус не получилось , на официальные сайты не дает зайти пишу с телефона , смог установить AVbr сейчас прикреплю логи  . Сейчас уеду на работу , завтра готов к уничтожению его
      14d904d13b62d5466385f8e797bef654.txt
    • RobertoN1
      [РЕШЕНО] Майнер на компьютере
      Автор RobertoN1
      Заметил что, когда открываю папку ProgramData, то через пару секунд она закрывается, но в самой папке находится Avast, который я никогда в жизни не скачивал у меня нету вообще антивирусов на компьютере, использовал AVbr в безопасном режиме и AutoLogger как было сказано в гайдах, прошу помочь!
      CollectionLog-2025.04.02-06.21.zip AV_block_remove_2025.04.02-06.08.log
    • Владислейв
      Компьютер сильно лагает
      Автор Владислейв
      Недавно переустановил виндовс на ноуте в надежде избавится от лагов из-за вирусов, не помогло. Прошу помочь в диагностике на наличие вирусов и по возможности их удалении. Спасибо) (Ноут старый но в свое время тянул Дота 2 а сейчас еле как Варкрафт 3 тянет, фрагментация и очистка папки Temp немного помогает, но все равно через время лаги возвращаются, сам ноут не нагревается от игры и других программ, кулер работает исправно)
       
      Проверка Касперского VRT угроз не обнаружило (проверку делал после сбора логов)
      CollectionLog-2025.03.29-01.52.zip
    • ZombOs
      Майнер на компьютере
      Автор ZombOs
      Столкнулся с вирусом при попытке проверить файл на Вирус тотал. При просмотре диспетчера, заметил подозрительный процесс под именем "COM Surrogate", который дублировал сам себя и потреблял большой ресурс процессора. При попытке отключения процесса через диспетчер задач, процесс завершается и происходит резкий выход из диспетчера. При попытке перейти по расположению файла открывается проводник, после диспетчер и проводник резко закрываются. При попытке найти папку через безопасный режим ее нет на месте. А с подключением в интернет вовсе не работает безопасны режим. При попытке скачать антивирус пишеь, "Операция отменена из-за ограничений, действующих на этом компьютере. Обратитесь к системному администратору". На форма нашел пост, где говорится про программу AV block remover. Скачав ее через USB, запустил ее и получил следующие файл https://vk.com/away.php?to=https%3A%2F%2Fdrive.google.com%2Fdrive%2Ffolders%2F1tFVD4TYYqrMnXJZRZQbLncv3C9BjLZDK%3Fusp%3Dsharing&utf=1. В посте указали данный форм для обращения за помощью. 



      delminer.txt
×
×
  • Создать...