Перейти к содержанию

Рекомендуемые сообщения

Приветствую. Не так давно, столкнулся с проблемой - запустил BackDoor вирус от DarkComet RAT.

Злоумышленник имел полный доступ к ПК, включал вебкамеру, смотрел содержимое диска и.т.д.

Позже, я переустановил ОС.

Но, просканировав на VirusTotal на новой системе файл svchost.exe(который находится в системой папке C:\Windows\System32) обнаружил это:

https://drive.google.com/file/d/1eBsmopd1eROJK3vTMZ7M1xmoTg73hQ_O/view?usp=sharing

https://drive.google.com/file/d/1kbosVxtx7kD8Pkr5wmRxerbqlH-1NmBZ/view?usp=sharing

https://drive.google.com/file/d/1wsH3X2H8ZOUG1kemYTEB61UOuJf6_JnZ/view?usp=sharing

https://drive.google.com/file/d/1aYmx4OkI8xORfcJSY8eUVUZljKP7emhQ/view?usp=sharing

https://drive.google.com/file/d/1ccayGay4RuWQMS6LOCvN98BINRGYmOiv/view?usp=sharing

 

Также, на других файлах .exe было найдено что-то.

 

Однако, антивирус avast на полном сканировании с максимальной чувствительностью ничего не нашел - https://drive.google.com/file/d/1cca...ew?usp=sharing

 

Подскажите кто знает как избавится от этого, пожалуйста.

 

Ссылка на сообщение
Поделиться на другие сайты

Если надо гадать по фотографиям, то это к гадалкам, а не сюда. А здесь нужны логи Порядок оформления запроса о помощи.
А так похоже на файловый вирус.

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.


 

После выполнения скрипта компьютер перезагрузится.

 

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

Ссылка на сообщение
Поделиться на другие сайты

Активного заражения у вас нет.
svchost.exe по https://www.virustotal.com/gui/file/75c5a97f521f760e32a4a9639a653eed862e9c61/detection тоже чистый.
Можно только немного мусор почистить.

  • Закройте все программы,

временно выгрузите антивирус, файрволл и прочее защитное ПО.

  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

 

;uVS v4.1.9 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
BREG
;---------command-block---------
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemDrive%\PROGRA~2\SPYWAR~1\STINTE~1.DLL
delref %SystemDrive%\PROGRA~2\SPYWAR~1\STINTE~2.DLL
apply

restart

 

  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен.

Подробнее читайте в  этом руководстве.


+ - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

Ссылка на сообщение
Поделиться на другие сайты
23 минуты назад, Sandor сказал:

 Вы бы хоть при создании темы указали, что параллельно лечитесь на другом форуме.

@Sandor Спросил на разных форумах, может, кто-то оперативней поможет.

 

@regist Спасибо, позже попробую.

Изменено пользователем Unknown0000
Ссылка на сообщение
Поделиться на другие сайты
11 минут назад, Unknown0000 сказал:

Спросил на разных форумах, может, кто-то оперативней поможет.

только в результате такого лечения вы рискуете убить свою систему полностью. Это равносильно как лечиться у двух докторов. Оба выпишут лекарства не зная, что второй выписал лекарство которое не совместимо с этим.

Я уже молчу про то что логи искажены.

Ссылка на сообщение
Поделиться на другие сайты

Как выше написал лечить у вас нечего, так что по сути надо закрывать тему на обоих форумах.

 

Последние рекомендации

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
	LogPath : string;
	ScriptPath : string;

	begin
	 LogPath := GetAVZDirectory + 'log\avz_log.txt';
	 if FileExists(LogPath) Then DeleteFile(LogPath);
	 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

	  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
	    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
	       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
	       exit;
	     end;
	  end;
	 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
	end.


После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.

 

 

 

Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, Sandor сказал:

@Unknown0000 Вы бы хоть при создании темы указали, что параллельно лечитесь на другом форуме.

+ https://forum.drweb.com/index.php?s=f89cff3422a77371d41fd03aeddf0d8c&showtopic=333465

 

@Unknown0000, где ещё успели наплодить дубли? Не удивляйтесь, если после подобного вас откажутся лечить, при чём сразу на всех форумах (ибо везде помогают одни и теже люди).

Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, regist сказал:

где ещё успели наплодить дубли?

Это всё. На 3 форумах.

 

3 часа назад, regist сказал:

Выполните скрипт в AVZ

Скрипт выполнил.

Скриншот 21-06-2020 163846.png

 

3 часа назад, regist сказал:

лечить у вас нечего

Странно, что незадолго после включения системы нагрузка на диск D была 100 процентная, после включения антивируса нагрузка быстро упала...

Изменено пользователем Unknown0000
Ссылка на сообщение
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом.На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах!Всегда ваш, фан-клуб "Лаборатории Касперского".

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
×
×
  • Создать...