Перейти к содержанию

Рекомендуемые сообщения

Приветствую. Не так давно, столкнулся с проблемой - запустил BackDoor вирус от DarkComet RAT.

Злоумышленник имел полный доступ к ПК, включал вебкамеру, смотрел содержимое диска и.т.д.

Позже, я переустановил ОС.

Но, просканировав на VirusTotal на новой системе файл svchost.exe(который находится в системой папке C:\Windows\System32) обнаружил это:

https://drive.google.com/file/d/1eBsmopd1eROJK3vTMZ7M1xmoTg73hQ_O/view?usp=sharing

https://drive.google.com/file/d/1kbosVxtx7kD8Pkr5wmRxerbqlH-1NmBZ/view?usp=sharing

https://drive.google.com/file/d/1wsH3X2H8ZOUG1kemYTEB61UOuJf6_JnZ/view?usp=sharing

https://drive.google.com/file/d/1aYmx4OkI8xORfcJSY8eUVUZljKP7emhQ/view?usp=sharing

https://drive.google.com/file/d/1ccayGay4RuWQMS6LOCvN98BINRGYmOiv/view?usp=sharing

 

Также, на других файлах .exe было найдено что-то.

 

Однако, антивирус avast на полном сканировании с максимальной чувствительностью ничего не нашел - https://drive.google.com/file/d/1cca...ew?usp=sharing

 

Подскажите кто знает как избавится от этого, пожалуйста.

 

Ссылка на сообщение
Поделиться на другие сайты

Если надо гадать по фотографиям, то это к гадалкам, а не сюда. А здесь нужны логи Порядок оформления запроса о помощи.
А так похоже на файловый вирус.

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.


 

После выполнения скрипта компьютер перезагрузится.

 

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

Ссылка на сообщение
Поделиться на другие сайты

Активного заражения у вас нет.
svchost.exe по https://www.virustotal.com/gui/file/75c5a97f521f760e32a4a9639a653eed862e9c61/detection тоже чистый.
Можно только немного мусор почистить.

  • Закройте все программы,

временно выгрузите антивирус, файрволл и прочее защитное ПО.

  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

 

;uVS v4.1.9 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
BREG
;---------command-block---------
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemDrive%\PROGRA~2\SPYWAR~1\STINTE~1.DLL
delref %SystemDrive%\PROGRA~2\SPYWAR~1\STINTE~2.DLL
apply

restart

 

  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен.

Подробнее читайте в  этом руководстве.


+ - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

Ссылка на сообщение
Поделиться на другие сайты
23 минуты назад, Sandor сказал:

 Вы бы хоть при создании темы указали, что параллельно лечитесь на другом форуме.

@Sandor Спросил на разных форумах, может, кто-то оперативней поможет.

 

@regist Спасибо, позже попробую.

Изменено пользователем Unknown0000
Ссылка на сообщение
Поделиться на другие сайты
11 минут назад, Unknown0000 сказал:

Спросил на разных форумах, может, кто-то оперативней поможет.

только в результате такого лечения вы рискуете убить свою систему полностью. Это равносильно как лечиться у двух докторов. Оба выпишут лекарства не зная, что второй выписал лекарство которое не совместимо с этим.

Я уже молчу про то что логи искажены.

Ссылка на сообщение
Поделиться на другие сайты
Сообщение от модератора SQ
Убрал чрезмерное цитирование.

 

Скрипт выполнил, ссылка: https://virusinfo.info/virusdetector/report.php?md5=B9E61CCE7F0F69B80A3250E4F2F7369D

Ссылка на сообщение
Поделиться на другие сайты

Как выше написал лечить у вас нечего, так что по сути надо закрывать тему на обоих форумах.

 

Последние рекомендации

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
	LogPath : string;
	ScriptPath : string;

	begin
	 LogPath := GetAVZDirectory + 'log\avz_log.txt';
	 if FileExists(LogPath) Then DeleteFile(LogPath);
	 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

	  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
	    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
	       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
	       exit;
	     end;
	  end;
	 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
	end.


После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.

 

 

 

Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, Sandor сказал:

@Unknown0000 Вы бы хоть при создании темы указали, что параллельно лечитесь на другом форуме.

+ https://forum.drweb.com/index.php?s=f89cff3422a77371d41fd03aeddf0d8c&showtopic=333465

 

@Unknown0000, где ещё успели наплодить дубли? Не удивляйтесь, если после подобного вас откажутся лечить, при чём сразу на всех форумах (ибо везде помогают одни и теже люди).

Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, regist сказал:

где ещё успели наплодить дубли?

Это всё. На 3 форумах.

 

3 часа назад, regist сказал:

Выполните скрипт в AVZ

Скрипт выполнил.

Скриншот 21-06-2020 163846.png

 

3 часа назад, regist сказал:

лечить у вас нечего

Странно, что незадолго после включения системы нагрузка на диск D была 100 процентная, после включения антивируса нагрузка быстро упала...

Изменено пользователем Unknown0000
Ссылка на сообщение
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом.На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах!Всегда ваш, фан-клуб "Лаборатории Касперского".

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • От ecstasy
      Доброго времени суток. Хотел поинтересоваться у знающих людей насчет одной темы. В общем, создавался установочный носитель с Ubuntu на ПК с Win10, но как позже выяснилось на этом ПК были вирусы (какие - я не знаю). Так вот, весь вопрос в том - мог ли вирус на этом ПК поразить установочные файлы Ubuntu? Т.е. может быть такое, что угрозы перешли с одной системы на другую, и вредят уже на на Ubuntu (дистрибутиве Линукс)? Или таким путём Линукс не заразить? Заранее спасибо за ответ тому, кто поможет😀!
    • От dmitryf
      Добрый вечер и с наступающим.
      Посмотрите пожалуйста, можно ли разшифровать?
      BOOTSECT.BAK.Email=[CrXL@cock.li]ID=[E4EC7608].zip
    • От Michael Mikhail
      Здравствуйте,
      помогите разобраться с данным "предложением" (стоит ли входить?):

      Дополнительно.
    • От Danieru
      Заметил, что при включении пк начал открываться хром с рекламой, выпилил его через Autoruns, включая задачу в планировщике. Не помогло, в общем.
      Понял, что так дело не пойдёт, решил скачать ваш известный kaspersky total security, нашёл как раз ключик на триал и попёрло, обнаружился "trojan", без файла почему-то, ну, подумал я, плевать, выпилил через антивирус с перезагрузкой. Помогло.
      Вот только перестали запускаться буквально ВСЕ приложения. Половина ярлыков постоянно менялась от дефолтных-виндовских, как в примере на скрине , в удалении и "переименовывании" появился значок, как "От Администратора". 
      Заметил я это, когда попытался из трея открыть хром, а он даже не запускался, помогло только создание ярлыка и запуск от администратора. 
      На пк только один юзер - я, и, конечно же, администратор.
      Время от времени выскакивает нестандартная ошибка при запуске чего-либо, к примеру "Explorer.EXE невозможно найти файл"
      Что мне делать?
       




    • От fegob
      Здравствуйте
      На почту пришло сообщение с вложением htm я нажал на нее посмотреть в режиме предосмотра, но вместо этого меня сразу перекинуло на  https://mail-attachment.googleusercontent.com/attachment/u/0/?........... и я увидел содержимое htm файла, там была большая точка. 
      Пароль на архив с вирусом: Kaspersky
      Virus.7z
×
×
  • Создать...