Saiberex 0 Опубликовано 28 марта, 2019 Автор Share Опубликовано 28 марта, 2019 https://www.virustotal.com/gui/file/9f3b6e019a85634a82219936ffd9a7cc5ab0b3d065f7dc8f93b39e78c826fadc/detection Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 28 марта, 2019 Share Опубликовано 28 марта, 2019 Посмотрите моё предыдущее сообщение, там есть дополнение, ждём лог. Цитата Ссылка на сообщение Поделиться на другие сайты
Saiberex 0 Опубликовано 28 марта, 2019 Автор Share Опубликовано 28 марта, 2019 Готово A-NAUKA524C01_2019-03-28_13-16-11_v4.1.2.7z Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 28 марта, 2019 Share Опубликовано 28 марта, 2019 Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена: ;uVS v4.1.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c SREG icsuspend dirzoo %SystemRoot%\NETWORKDISTRIBUTION ;---------command-block--------- bl 0ABDAC01D3756E03DFB872373966D1B2 129024 zoo %Sys32%\SECURENETBIOSSYSTEM.DLL delall %Sys32%\SECURENETBIOSSYSTEM.DLL apply zoo %SystemRoot%\NETWORKDISTRIBUTION\LIBEAY32.DLL bl F01F09FE90D0F810C44DCE4E94785227 903168 addsgn 79132211B9E9317E0AA1AB5952CB12057863670B76059487D048293DBCFE724C23B4732B3345144487FC898FCF03E18670CF616FF1A6BD3CA4420453CA16AB4E 64 Win32:Rootkit-gen [Rtk] [Avast] 7 zoo %SystemRoot%\NETWORKDISTRIBUTION\LIBICONV-2.DLL bl 5ADCBE8BBBA0F6E733550CE8A9762FA0 970393 addsgn A76592CC06E9A06280A1A2329AC96642ACFED8F202BF0FF1C1E7CD3715DEF84807FF59713F55148AA86C881CB817466EBFEE28F78ED524ECA8B5D16842F0577F 64 Trojan.Equation.135 [DrWeb] 7 zoo %SystemRoot%\NETWORKDISTRIBUTION\X64.DLL bl 6DC722C9844E61427A47A2759A8FBEC0 156160 addsgn BA652BBE5D22C5062FC4F9F9E724324CAE72772CC171EEFB7FC2B0B9B891744C235B4890B586D5C2E5C80FC36226017109FBD03AD61E9073C4105AD038CAEEBF 64 Trojan.Win64.BitMin.aoy [Kaspersky] 7 chklst delvir deldir %SystemRoot%\NETWORKDISTRIBUTION\ czoo areg restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его к следующему своему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Saiberex 0 Опубликовано 28 марта, 2019 Автор Share Опубликовано 28 марта, 2019 Saiberex, Ваш карантин отправлен, спасибо!Имя карантин-а(ов) сообщите в теме:2019.03.28_ZOO_2019-03-28_14-32-47_e89b25b0dead49e701e05ca51697d68b.7 Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 28 марта, 2019 Share Опубликовано 28 марта, 2019 В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его к следующему своему сообщениюЕщё это, пожалуйста. Цитата Ссылка на сообщение Поделиться на другие сайты
Saiberex 0 Опубликовано 28 марта, 2019 Автор Share Опубликовано 28 марта, 2019 Держите 2019-03-28_14-32-48_log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 28 марта, 2019 Share Опубликовано 28 марта, 2019 Предположу, что папка на месте, верно? Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 28 марта, 2019 Share Опубликовано 28 марта, 2019 Если да, повторите тот же последний скрипт, загрузив систему в безопасном режиме (карантин можно уже не отправлять). Цитата Ссылка на сообщение Поделиться на другие сайты
Saiberex 0 Опубликовано 30 марта, 2019 Автор Share Опубликовано 30 марта, 2019 (изменено) Предположу, что папка на месте, верно? Неа, не верно. Я специально решил подождать сутки, полтора, вирус исчез, папка не создаётся... %) Ладно, вот Вам еще один пациент, уже сервер, библиотечный. Перезагружать тоже не желательно, но далеко не так критично, как, например, сервер с 1С (воплей будет меньше... гораздо меньше) Правда с отключением антивирусного ПО сложновато, т.к. стоит KSWS 10.1.0.622 Если скажете как его отключить буду очень благодарен CollectionLog-2019.03.30-12.10.zip Изменено 30 марта, 2019 пользователем Saiberex Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 30 марта, 2019 Share Опубликовано 30 марта, 2019 вот Вам еще один пациент,Другой компьютер - другая тема. Здесь в завершение: Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Saiberex 0 Опубликовано 30 марта, 2019 Автор Share Опубликовано 30 марта, 2019 ок SecurityCheck.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 30 марта, 2019 Share Опубликовано 30 марта, 2019 ------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.0.9600.16428 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ --------------------------- [ OtherUtilities ] ---------------------------- TeamViewer 13 v.13.2.26558 Внимание! Скачать обновления -------------------------------- [ Java ] --------------------------------- Java 8 Update 20 (64-bit) v.8.0.200 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u201-windows-x64.exe)^ Java 8 Update 20 v.8.0.200 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u201-windows-i586.exe)^ --------------------------- [ AdobeProduction ] --------------------------- Adobe Shockwave Player + Authorware Web Player v.v12.1.3.153 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее. ------------------------------- [ Browser ] ------------------------------- Mozilla Firefox 65.0.1 (x64 ru) v.65.0.1 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Firefox!^ Opera Stable 58.0.3135.107 v.58.0.3135.107 Внимание! Скачать обновления ^Проверьте обновления через меню О программе!^ ---------------------------- [ UnwantedApps ] ----------------------------- HaoZip, версия 4.3.1.9468 v.4.3.1.9468 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Malwarebytes, версия 3.7.1.2839 можете деинсталлировать. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. Рекомендации после удаления вредоносного ПО Цитата Ссылка на сообщение Поделиться на другие сайты
Saiberex 0 Опубликовано 6 апреля, 2019 Автор Share Опубликовано 6 апреля, 2019 Спасибо Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.