Перейти к содержанию

Рекомендуемые сообщения

Приветствую. Не так давно, столкнулся с проблемой - запустил BackDoor вирус от DarkComet RAT.

Злоумышленник имел полный доступ к ПК, включал вебкамеру, смотрел содержимое диска и.т.д.

Позже, я переустановил ОС.

Но, просканировав на VirusTotal на новой системе файл svchost.exe(который находится в системой папке C:\Windows\System32) обнаружил это:

https://drive.google.com/file/d/1eBsmopd1eROJK3vTMZ7M1xmoTg73hQ_O/view?usp=sharing

https://drive.google.com/file/d/1kbosVxtx7kD8Pkr5wmRxerbqlH-1NmBZ/view?usp=sharing

https://drive.google.com/file/d/1wsH3X2H8ZOUG1kemYTEB61UOuJf6_JnZ/view?usp=sharing

https://drive.google.com/file/d/1aYmx4OkI8xORfcJSY8eUVUZljKP7emhQ/view?usp=sharing

https://drive.google.com/file/d/1ccayGay4RuWQMS6LOCvN98BINRGYmOiv/view?usp=sharing

 

Также, на других файлах .exe было найдено что-то.

 

Однако, антивирус avast на полном сканировании с максимальной чувствительностью ничего не нашел - https://drive.google.com/file/d/1cca...ew?usp=sharing

 

Подскажите кто знает как избавится от этого, пожалуйста.

 

Ссылка на сообщение
Поделиться на другие сайты

Если надо гадать по фотографиям, то это к гадалкам, а не сюда. А здесь нужны логи Порядок оформления запроса о помощи.
А так похоже на файловый вирус.

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.


 

После выполнения скрипта компьютер перезагрузится.

 

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

Ссылка на сообщение
Поделиться на другие сайты

Активного заражения у вас нет.
svchost.exe по https://www.virustotal.com/gui/file/75c5a97f521f760e32a4a9639a653eed862e9c61/detection тоже чистый.
Можно только немного мусор почистить.

  • Закройте все программы,

временно выгрузите антивирус, файрволл и прочее защитное ПО.

  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

 

;uVS v4.1.9 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
BREG
;---------command-block---------
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemDrive%\PROGRA~2\SPYWAR~1\STINTE~1.DLL
delref %SystemDrive%\PROGRA~2\SPYWAR~1\STINTE~2.DLL
apply

restart

 

  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен.

Подробнее читайте в  этом руководстве.


+ - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

Ссылка на сообщение
Поделиться на другие сайты
23 минуты назад, Sandor сказал:

 Вы бы хоть при создании темы указали, что параллельно лечитесь на другом форуме.

@Sandor Спросил на разных форумах, может, кто-то оперативней поможет.

 

@regist Спасибо, позже попробую.

Изменено пользователем Unknown0000
Ссылка на сообщение
Поделиться на другие сайты
11 минут назад, Unknown0000 сказал:

Спросил на разных форумах, может, кто-то оперативней поможет.

только в результате такого лечения вы рискуете убить свою систему полностью. Это равносильно как лечиться у двух докторов. Оба выпишут лекарства не зная, что второй выписал лекарство которое не совместимо с этим.

Я уже молчу про то что логи искажены.

Ссылка на сообщение
Поделиться на другие сайты
Сообщение от модератора SQ
Убрал чрезмерное цитирование.

 

Скрипт выполнил, ссылка: https://virusinfo.info/virusdetector/report.php?md5=B9E61CCE7F0F69B80A3250E4F2F7369D

Ссылка на сообщение
Поделиться на другие сайты

Как выше написал лечить у вас нечего, так что по сути надо закрывать тему на обоих форумах.

 

Последние рекомендации

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
	LogPath : string;
	ScriptPath : string;

	begin
	 LogPath := GetAVZDirectory + 'log\avz_log.txt';
	 if FileExists(LogPath) Then DeleteFile(LogPath);
	 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

	  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
	    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
	       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
	       exit;
	     end;
	  end;
	 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
	end.


После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.

 

 

 

Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, Sandor сказал:

@Unknown0000 Вы бы хоть при создании темы указали, что параллельно лечитесь на другом форуме.

+ https://forum.drweb.com/index.php?s=f89cff3422a77371d41fd03aeddf0d8c&showtopic=333465

 

@Unknown0000, где ещё успели наплодить дубли? Не удивляйтесь, если после подобного вас откажутся лечить, при чём сразу на всех форумах (ибо везде помогают одни и теже люди).

Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, regist сказал:

где ещё успели наплодить дубли?

Это всё. На 3 форумах.

 

3 часа назад, regist сказал:

Выполните скрипт в AVZ

Скрипт выполнил.

Скриншот 21-06-2020 163846.png

 

3 часа назад, regist сказал:

лечить у вас нечего

Странно, что незадолго после включения системы нагрузка на диск D была 100 процентная, после включения антивируса нагрузка быстро упала...

Изменено пользователем Unknown0000
Ссылка на сообщение
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом.На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах!Всегда ваш, фан-клуб "Лаборатории Касперского".

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • От SqdMaks
      Добрый день! Не получается поместить вирусы в карантин или удалить.
    • От МРусланМ-С
      Добрый день!
      Я занимаюсь администрированием  Сервера Kaspersky Security Center в организации и у нас на большом количестве раб.станций поселился  вирус mem: trojan.win32.sepeh.gen и касперский не может его удалить. Можете ли подсказать как можно удалить этот вирус на всех рабочих станциях?  Прошу помочь чем нибудь

    • От ecstasy
      Доброго времени суток. Подозреваю, что система заражена каким-то вирусом: курсор двигается иногда самопроизвольно (дело точно не в мышке, проверял), а также стали появляться синие экраны, причем "попусту" (предпосылок для них не было). Быть может это njrat или другой зловред? Подскажите, как можно исключить наличие вируса на ОС?
    • От Batyrkhan
      путь С:\ProgramData\Flock\Flock.exe пытался удалить способами через ютуб нечего не помогло! пытался лечить с помощью перезагрузки. перезагружал и нечего, без перезагрузки тоже но когда перезагружал ПК  касперский снова нашел этот файл вот лог
      CollectionLog-2021.02.12-18.55.zip
    • От Albert_1777
      Здравствуйте. Сказали обратиться в данный раздел за помощью. Скрываются файлы и папки с названием kasp**** и с различными названиями антивирусов. Также при попытке запустить, распаковать антивирусы, AVZ пишет нет доступа. Вирусов не найдено.
       
×
×
  • Создать...