Dombay 0 Опубликовано 26 января, 2020 Share Опубликовано 26 января, 2020 Добрый день. Прошу помощи. Обнаружена угроза: Backdoor:MSIL/RevengeRat.GA!MTB amsi: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe WIN10 X64 - вин дефендер ничего сделать не может. Логи от AutoLogger, avz и FRST64 прилагаются. FRST64.7z CollectionLog-2020.01.26-08.53.zip avz_log.txt.7z Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 26 января, 2020 Share Опубликовано 26 января, 2020 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Users\domsy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Net_Framework.js', ''); QuarantineFile('C:\Users\Public\Net_Framework.js', ''); DeleteFile('C:\Users\domsy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Net_Framework.js', '64'); DeleteFile('C:\Users\Public\Net_Framework.js', '32'); DeleteFile('C:\Users\Public\Net_Framework.js', '64'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'NetWork', 'x32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'NetWork', 'x64'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows', '64'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN). Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. Ссылка на сообщение Поделиться на другие сайты
Dombay 0 Опубликовано 29 января, 2020 Автор Share Опубликовано 29 января, 2020 Файл quarantine.zip отправил. Но KLAN пока не получал. MD5 карантина: D693FA49BF1773F37E0D8F683BDD9729 https://virusinfo.info/virusdetector/report.php?md5=D693FA49BF1773F37E0D8F683BDD9729 https://virusinfo.info/showthread.php?t=224413 CollectionLog-2020.01.29-06.35.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 29 января, 2020 Share Опубликовано 29 января, 2020 Соберите свежие логи FRST. Ссылка на сообщение Поделиться на другие сайты
Dombay 0 Опубликовано 29 января, 2020 Автор Share Опубликовано 29 января, 2020 Добрался домой и только что сделал. FRST64.7z Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 29 января, 2020 Share Опубликовано 29 января, 2020 (изменено) Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: HKU\S-1-5-21-2226508538-4001732933-2837643986-1001\...\MountPoints2: {3b646a4f-2111-11ea-b549-902b341da115} - "D:\Setup.exe" HKU\S-1-5-21-2226508538-4001732933-2837643986-1001\...\MountPoints2: {c37efd8c-1974-11ea-b546-902b341da115} - "D:\Setup.exe" HKU\S-1-5-21-2226508538-4001732933-2837643986-1001\...\MountPoints2: {c37efdc6-1974-11ea-b546-902b341da115} - "D:\Setup.exe" HKU\S-1-5-21-2226508538-4001732933-2837643986-1001\...\MountPoints2: {c37f004d-1974-11ea-b546-902b341da115} - "D:\Setup.exe" HKU\S-1-5-21-2226508538-4001732933-2837643986-1001\...\MountPoints2: {d6b57d13-3d4e-11ea-b558-902b341da115} - "F:\Setup.exe" HKU\S-1-5-21-2226508538-4001732933-2837643986-1001\...\MountPoints2: {d6b57d28-3d4e-11ea-b558-902b341da115} - "F:\Setup.exe" HKU\S-1-5-21-2226508538-4001732933-2837643986-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01272020074330485\...\MountPoints2: {3b646a4f-2111-11ea-b549-902b341da115} - "D:\Setup.exe" HKU\S-1-5-21-2226508538-4001732933-2837643986-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01272020074330485\...\MountPoints2: {c37efd8c-1974-11ea-b546-902b341da115} - "D:\Setup.exe" HKU\S-1-5-21-2226508538-4001732933-2837643986-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01272020074330485\...\MountPoints2: {c37efdc6-1974-11ea-b546-902b341da115} - "D:\Setup.exe" HKU\S-1-5-21-2226508538-4001732933-2837643986-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01272020074330485\...\MountPoints2: {c37f004d-1974-11ea-b546-902b341da115} - "D:\Setup.exe" HKU\S-1-5-21-2226508538-4001732933-2837643986-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01272020074330485\...\MountPoints2: {d6b57d13-3d4e-11ea-b558-902b341da115} - "F:\Setup.exe" HKU\S-1-5-21-2226508538-4001732933-2837643986-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-01272020074330485\...\MountPoints2: {d6b57d28-3d4e-11ea-b558-902b341da115} - "F:\Setup.exe" Task: {EFDB97DB-799A-49E5-A7BC-71613CC3C8B8} - System32\Tasks\CreateExplorerShellUnelevatedTask => C:\Windows\explorer.exe /NOUACCHECK AlternateDataStreams: C:\Program Files (x86)\Intertops Poker:MID [81] AlternateDataStreams: C:\Program Files (x86)\Juicy Stakes 2.0:MID [81] ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Заданные страницы в Хроме настраивали самостоятельно? Если нет, удалите лишние. (chrome://settings/onStartup) Изменено 29 января, 2020 пользователем Sandor Ссылка на сообщение Поделиться на другие сайты
Dombay 0 Опубликовано 30 января, 2020 Автор Share Опубликовано 30 января, 2020 Это флешка, там ничего нет 100% И 2 покерных клиента, официальных. Если я ошибаюсь, то выполню конечно. Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 30 января, 2020 Share Опубликовано 30 января, 2020 Это флешка, там ничего нет 100%"Фиксится" не флешка, а следы её монтирования в системе. 2 покерных клиентаСкриптом очищаются альтернативные потоки, а не сами файлы. Так что выполняйте. Ссылка на сообщение Поделиться на другие сайты
Dombay 0 Опубликовано 15 февраля, 2020 Автор Share Опубликовано 15 февраля, 2020 Прикрепил. Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 15 февраля, 2020 Share Опубликовано 15 февраля, 2020 Что с проблемой? Ссылка на сообщение Поделиться на другие сайты
Dombay 0 Опубликовано 16 февраля, 2020 Автор Share Опубликовано 16 февраля, 2020 Дефендер не ругается. Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 16 февраля, 2020 Share Опубликовано 16 февраля, 2020 Завершаем: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Ссылка на сообщение Поделиться на другие сайты
Dombay 0 Опубликовано 16 февраля, 2020 Автор Share Опубликовано 16 февраля, 2020 Прикрепил. SecurityCheck.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 16 февраля, 2020 Share Опубликовано 16 февраля, 2020 ---------------------- [ AntiVirusFirewallInstall ] ----------------------- Malwarebytes, версия 3.8.3.2965 v.3.8.3.2965 Внимание! Скачать обновления --------------------------- [ OtherUtilities ] ---------------------------- GPL Ghostscript v.9.26 Внимание! Скачать обновления ^Удалите старую версию, скачайте и установите новую.^ NVIDIA GeForce Experience 2.11.4.125 v.2.11.4.125 Внимание! Скачать обновления --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.5.5.45574 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. µTorrent 3.5.5 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. --------------------------- [ AdobeProduction ] --------------------------- Adobe Shockwave Player 12.3 v.12.3.5.205 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее. swMSM v.12.0.0.1 << Скрыта Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее. ------------------------------- [ Browser ] ------------------------------- Opera Stable 66.0.3515.72 v.66.0.3515.72 Внимание! Скачать обновления ^Проверьте обновления через меню О программе!^ ---------------------------- [ UnwantedApps ] ----------------------------- JDownloader 2 v.2.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!! Читайте Рекомендации после удаления вредоносного ПО Ссылка на сообщение Поделиться на другие сайты
Dombay 0 Опубликовано 16 февраля, 2020 Автор Share Опубликовано 16 февраля, 2020 Я так понимаю, что тему можно закрывать? Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения