Перейти к содержанию

Рекомендуемые сообщения

Приветствую. Не так давно, столкнулся с проблемой - запустил BackDoor вирус от DarkComet RAT.

Злоумышленник имел полный доступ к ПК, включал вебкамеру, смотрел содержимое диска и.т.д.

Позже, я переустановил ОС.

Но, просканировав на VirusTotal на новой системе файл svchost.exe(который находится в системой папке C:\Windows\System32) обнаружил это:

https://drive.google.com/file/d/1eBsmopd1eROJK3vTMZ7M1xmoTg73hQ_O/view?usp=sharing

https://drive.google.com/file/d/1kbosVxtx7kD8Pkr5wmRxerbqlH-1NmBZ/view?usp=sharing

https://drive.google.com/file/d/1wsH3X2H8ZOUG1kemYTEB61UOuJf6_JnZ/view?usp=sharing

https://drive.google.com/file/d/1aYmx4OkI8xORfcJSY8eUVUZljKP7emhQ/view?usp=sharing

https://drive.google.com/file/d/1ccayGay4RuWQMS6LOCvN98BINRGYmOiv/view?usp=sharing

 

Также, на других файлах .exe было найдено что-то.

 

Однако, антивирус avast на полном сканировании с максимальной чувствительностью ничего не нашел - https://drive.google.com/file/d/1cca...ew?usp=sharing

 

Подскажите кто знает как избавится от этого, пожалуйста.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если надо гадать по фотографиям, то это к гадалкам, а не сюда. А здесь нужны логи Порядок оформления запроса о помощи.
А так похоже на файловый вирус.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.


 

После выполнения скрипта компьютер перезагрузится.

 

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

@Unknown0000 Вы бы хоть при создании темы указали, что параллельно лечитесь на другом форуме.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Активного заражения у вас нет.
svchost.exe по https://www.virustotal.com/gui/file/75c5a97f521f760e32a4a9639a653eed862e9c61/detection тоже чистый.
Можно только немного мусор почистить.

  • Закройте все программы,

временно выгрузите антивирус, файрволл и прочее защитное ПО.

  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

 

;uVS v4.1.9 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
BREG
;---------command-block---------
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemDrive%\PROGRA~2\SPYWAR~1\STINTE~1.DLL
delref %SystemDrive%\PROGRA~2\SPYWAR~1\STINTE~2.DLL
apply

restart

 

  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен.

Подробнее читайте в  этом руководстве.


+ - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
23 минуты назад, Sandor сказал:

 Вы бы хоть при создании темы указали, что параллельно лечитесь на другом форуме.

@Sandor Спросил на разных форумах, может, кто-то оперативней поможет.

 

@regist Спасибо, позже попробую.

Изменено пользователем Unknown0000

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
11 минут назад, Unknown0000 сказал:

Спросил на разных форумах, может, кто-то оперативней поможет.

только в результате такого лечения вы рискуете убить свою систему полностью. Это равносильно как лечиться у двух докторов. Оба выпишут лекарства не зная, что второй выписал лекарство которое не совместимо с этим.

Я уже молчу про то что логи искажены.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сообщение от модератора SQ
Убрал чрезмерное цитирование.

 

Скрипт выполнил, ссылка: https://virusinfo.info/virusdetector/report.php?md5=B9E61CCE7F0F69B80A3250E4F2F7369D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Как выше написал лечить у вас нечего, так что по сути надо закрывать тему на обоих форумах.

 

Последние рекомендации

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
	LogPath : string;
	ScriptPath : string;

	begin
	 LogPath := GetAVZDirectory + 'log\avz_log.txt';
	 if FileExists(LogPath) Then DeleteFile(LogPath);
	 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

	  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
	    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
	       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
	       exit;
	     end;
	  end;
	 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
	end.


После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, Sandor сказал:

@Unknown0000 Вы бы хоть при создании темы указали, что параллельно лечитесь на другом форуме.

+ https://forum.drweb.com/index.php?s=f89cff3422a77371d41fd03aeddf0d8c&showtopic=333465

 

@Unknown0000, где ещё успели наплодить дубли? Не удивляйтесь, если после подобного вас откажутся лечить, при чём сразу на всех форумах (ибо везде помогают одни и теже люди).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, regist сказал:

где ещё успели наплодить дубли?

Это всё. На 3 форумах.

 

3 часа назад, regist сказал:

Выполните скрипт в AVZ

Скрипт выполнил.

Скриншот 21-06-2020 163846.png

 

3 часа назад, regist сказал:

лечить у вас нечего

Странно, что незадолго после включения системы нагрузка на диск D была 100 процентная, после включения антивируса нагрузка быстро упала...

Изменено пользователем Unknown0000

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом.На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах!Всегда ваш, фан-клуб "Лаборатории Касперского".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

  • Похожий контент

    • От NAVARO
      Привет Ребята!
       
      У меня тоже появился VmWare - который запускается в месте с Windows - Нагружает Процессор - Повышает Обороты кулеров и т.д
      Удаляю Папку VmWare из ProgramData  - после перезагрузки он снова появляется и запускается..

      Сканировал - разными антивирусами нечего не помогло (wind defender / drweb / avz / mylwarebyte )
       
      Отклюаю Кабель Интернета - Все утихает 

      Снимаю Задачу в Диспетчере - Все утихает
       
      С Нетерпеньем Жду Ваших Указаний :)
       
    • От M_i_x_a_i_l
      Добрый день!

      Во время выходных поймали шифровальщик на нескольких компьютерах, который шифрует файлы в расширение .saved, имена зашифрованы. Можно ли что-то сделать?

       
      Desktop_.7z
    • От ArataKun
      Добрый день участники форума.
      У меня после загрузки компьютера часто возникает сообщение от Касперского о трояне в системной памяти. Нажимаю "Лечить с перезагрузкой", Касперский лечит, комп перезагружается, и снова всплывает это же предупреждение. Бывает, что оно не появляется сразу после загрузки, но если я запущу сканирование системной памяти, то предупреждение снова появится. Как-то связать время, когда впервые появилось это предупреждение, с какими-то событиями на компьютере (установка программ, обновлений и т.п.) я не могу.
      Софт стоит следующий:
      Антивирус: Kaspersky Endpoint Security 10 Service Pack 1 Maintenance Release 2 для Windows, версия 10.2.4.674
      ОС: Windows XP SP3 (Build 2600)
       
      Ругается на троян Trojan.Win32.Agent.gen
       
      Кроме Касперского никаких антивирусов в системе нет. Прошёлся "Kaspersky Virus Removal Tool" и собрал данные Автологгером. Архив и фото предупреждения (кнопка "PrintScreen" не работает) прикрепил. Надеюсь на помощь.
       
       
      CollectionLog-2016.12.20-23.38.zip

    • От KL FC Bot
      Мошенники в Интернете постоянно пытаются обмануть не только неподготовленных пользователей, но и сотрудников компаний. Да, бизнес обмануть обычно сложнее, чем бабушку, но и денег за одну успешно провернутую на нем схему злоумышленники зарабатывают больше. Поэтому попытки поймать бизнес на удочку продолжаются.
      Трюков существует множество, но среднестатистический мошенник ленив. Поэтому в большинстве случаев он пробует вариации на тему одних и тех же уловок. Мы решили собрать здесь самые распространенные схемы.
      Виды наживки
      Злоумышленникам важно, чтобы вы не просто прочитали его письмо, но и как-то отреагировали на него. Перешли по ссылке, открыли вложенный документ, оплатили счет. Для того чтобы вы это сделали, ему надо завладеть вашим вниманием.
      Привет от налоговой
      Вам приходит письмо о том, что вы не уплатили такой-то налог в полном объеме, вам начислены пени, и если вы с этим не согласны, надо скачать приложенную к письму форму, заполнить и отправить. В форме, разумеется, обнаруживается макрос — и как только вы его включаете (а пользователь уже привык автоматически кликать «согласен» в большинстве появляющихся окон), он незамедлительно скачивает из сети какой-нибудь вредонос и запускает его.
      Налоговой боятся многие компании, но свой страх надо знать в лицо: разбираться в том, как могут выглядеть письма от налоговой в вашем регионе, знать, будет она вообще писать по электронной почте или сразу позвонит.
      Уведомление о непрошедших платежах
      Заплатили налоги и рассчитались со всеми контрагентами? Это хорошо, но вот пишут, что платеж не прошел. Дальше может быть что угодно — от просьбы оплатить выставленный якобы повторно счет до требования сходить на какой-нибудь сомнительный сайт.
      От посещения сомнительных сайтов могут уберечь здравый смысл и антивирус, а вот от повторной оплаты счета — только здравый смысл.
      Предложение от таинственного контрагента
      «Здравствуйте, я представляю организацию «Дрова и Корыта», мы хотели бы поставлять для вашей компании нашу продукцию, прайс-лист во вложении, очень жду вашего ответа». Во вложении действительно есть какой-то файл. И хорошо еще, если это опять текст с макросом, а не замаскированный под документ исполняемый файл. Письма от условных «Дров и Корыт» обычно рассылают массово, рассчитывая попасть хотя бы в какую-то организацию.
      Уведомление от службы безопасности
      Этот способ обмана действует в основном для компаний с офисами в разных городах. Зачастую сотрудники региональных отделений плохо представляют себе, как выглядят и чем занимаются коллеги из головного офиса. Получив письмо, скажем, от имени «главного безопасника» с требованием установить некий сертификат, многие безропотно пойдут это требование исполнять, не посмотрев, что на самом деле письмо отправлено с «левого» почтового адреса. Сертификат установлен? Вы на крючке.
      К чему приводит попадание на крючок
      С фишинговыми сайтами все, как правило, понятно — они служат для того, чтобы похитить у вас учетные данные. А вот вредоносы в письмах попадаются разные. Но чаще всего вы столкнетесь с каким-нибудь представителем из следующего списка.
      Крыса в компьютере
      Один из самых любимых инструментов киберпреступников — программа для удаленного доступа к компьютеру (Remote Access Tool, сокращенно RAT). С ее помощью злоумышленники попадают в сеть предприятия, а там они могут делать что угодно. Например, установить дополнительные вредоносы. Украсть важные документы. Или, скажем, найти компьютер человека, отвечающего за финансы, и перехватить данные для доступа к платежной системе. Ну а дальше просто перевести деньги компании на свой счет.
      Шифровальщик
      Шифровальщики, как можно догадаться по их названию, шифруют файлы — так, что с последними нельзя работать. Документ не прочитать, презентацию не показать. Бывают еще такие шифровальщики, которые распространяются по локальной сети — то есть попадает зловред на один компьютер, а данные в результате зашифрованы на всех машинах, до которых он смог дотянуться. За возврат данных злоумышленники требуют выкуп. Например, не так давно жертвой шифровальщика стала администрация города Балтимор, в результате чего часть городских служб просто не работала. Чтобы вернуть все как было, злоумышленники требовали более 100 тысяч долларов.
      Шпионаж
      Также организациям любят подсовывать шпионов — зловредов, которые собирают конфиденциальную информацию. Шпионский троян тихо сидит на компьютере, записывая логины, пароли и адреса, коллекционируя переписку и пересылаемые файлы. Для высокотехнологичных компаний основная опасность в том, что какое-то ноу-хау и планы узнают конкуренты, а прочим организациям шпионы грозят в первую очередь тем, что злоумышленники получат доступ к управлению деньгами и украдут их. Впрочем, такое может случиться и с большими компаниями — например, у Центрального банка Бангладеш так украли 81 миллион долларов.
      Чтобы не попадаться на уловки злоумышленников, надо:
      Быть внимательным. Знать законы, в юрисдикции которых вы работаете, и понимать методы госструктур и регуляторов. Разбираться в том, какие типы файлов опаснее других. Не брезговать антивирусом, желательно с хорошей защитой против фишинга и спама . View the full article
    • От cmfag
      Здравствуйте!
      при проверке компьютера на вирусы в System memory был обнаружен вирус  mem:trojan.win32.sepem.gen, Kaspersky Endpoint Security 10.3.3.275 mr3.mr4_aes256 предлагает лечить с перезагрузкой, после проведения лечения и перезагрузки снова обнаруживает данный вирус и далее по кругу.
       
      дополнительно проверил:
      Kaspersky Virus Removal Tool 2015; (полностью повторяет действия установленного антивируса) Dr.Web CureIt!. (не находит данный вирус)
×
×
  • Создать...