Перейти к содержанию

Вирус через почту


Рекомендуемые сообщения

Здравствуйте

На почту пришло сообщение с вложением htm я нажал на нее посмотреть в режиме предосмотра, но вместо этого меня сразу перекинуло на  https://mail-attachment.googleusercontent.com/attachment/u/0/?........... и я увидел содержимое htm файла, там была большая точка. 

Спойлер

hosts я сам себе портил.

Пароль на архив с вирусом: Kaspersky

Virus.7z

Изменено пользователем Sandor
Убрал логи по просьбе ТС
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

"Пофиксите" в HijackThis:

O22 - Task: webflex - D:\C\Programs\Program Files\Mozilla Firefox\firefox.exe -p "webflex24.com"

 

Перезагрузите компьютер и соберите новый CollectionLog Автологером.

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Этот task я сам создал, нужно раз в день заходить в этот профиль браузера и проверять что то и это сделано чтобы не забыть. Я пофиксил и прикрепил логи.

Если не сложно можете пожалуйста ответить на пару вопросов если знаете ответ, во всяком случаи вы разбираетесь в этом намного лучше меня

1. Через логи этого аутологгера можно на 100% узнать если вирус на компьютере ? Или если хороший криптер можно и не найти вирус ?

2. Когда я пытался сделать предосмотр файла htm и меня перекинуло на  attachment.googleusercontent.com/attachment/u/0/?aZdiDrmIASeS (тут кучу букв было и но в конце расширения htm не было) я увидел большая точку, наверное содержимое htm файла. Мог бы на этой странице которой я открыл быть javascript вирус который заразил мой компьютер или нужно прям htm файл скачать и открыть чтобы заразится вирусом ?

3. Я скачал htm и посмотрел его содержимое, но он обфусцирован. Позагружал его на разные сайты антивирус проверки, но везде показывает что он чистый наверное потому что код обфурцирован. Можно ли как то узнать что конкретно делает этот файл для того чтобы узнать как почистить это у себя. Или если код обфусцирован его никак не посмотреть уже

 

Изменено пользователем Sandor
Убрал логи по просьбе ТС
Ссылка на сообщение
Поделиться на другие сайты
13 часов назад, fegob сказал:

Через логи этого аутологгера можно на 100% узнать если вирус на компьютере ?

В большинстве случаев - да.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

 

Спасибо за помощь

 

Я деобфусцировал этот htm файл. Там просто из base64 надо было конвертировать. Там была фотография вам перевод на счет 9999999 рублей и при клике переводит на фишинговый сайт где нужно заполнить данные кредитки. А у меня показало большую точку вместо изображения из-за кучи плагинов которые у меня в браузере. Могу скинуть чистый код htm если нужно.

Спасибо вам за помощь

Изменено пользователем Sandor
Убрал логи по просьбе ТС
Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
    Policies: C:\Users\User\NTUSER.pol: Restriction <==== ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Edge: Restriction <==== ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
    HKU\S-1-5-21-3796559461-2741596016-2131030515-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
    FirewallRules: [{7BEC2707-3CC0-4989-A889-8A2AA7C36313}] => (Allow) D:\C\Programs\Program Files\Epic Games\GTAV\GTA5.exe => No File
    FirewallRules: [{B5AD1F2F-B878-4FAE-AC99-B694DDF2F84E}] => (Allow) D:\C\Programs\Program Files\Epic Games\GTAV\GTA5.exe => No File
    FirewallRules: [{36EBD350-1BF1-4B42-8FE2-287FF0434CEB}] => (Allow) LPort=9089
    EmptyTemp:
    Reboot:
    End::

     


  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • От ecstasy
      Доброго времени суток. Хотел поинтересоваться у знающих людей насчет одной темы. В общем, создавался установочный носитель с Ubuntu на ПК с Win10, но как позже выяснилось на этом ПК были вирусы (какие - я не знаю). Так вот, весь вопрос в том - мог ли вирус на этом ПК поразить установочные файлы Ubuntu? Т.е. может быть такое, что угрозы перешли с одной системы на другую, и вредят уже на на Ubuntu (дистрибутиве Линукс)? Или таким путём Линукс не заразить? Заранее спасибо за ответ тому, кто поможет😀!
    • От Michael Mikhail
      Здравствуйте,
      помогите разобраться с данным "предложением" (стоит ли входить?):

      Дополнительно.
    • От borodise
      Добрый день!
      При попытке установки  kis21.2.16.590ru_25433 не запускается процесс инсталляции
      В безопасном режиме окно запускается, но уведомляет о том, что установка в безопасном режиме невозможна
      kavremover предустановленных версий Kaspersky не нашел
      Отключение SmartScreen, защитника Windows не помогает
      Было обнаружено отсутствие доступа на forum,kasperskckub.ru
      После прогонки Dr.Web CureIt! выявлено изменение файла hosts, где ряд сайтов заменялись на 127.0.0.1. Dr.Web CureIt! исправил 
      В KVRT кнопка "начать проверку" недоступна
      Установка KIS так и не представляется возможным
      Заранее спасибо!
       
      CollectionLog-2020.12.01-16.32.zip
    • От triumf1975
      Здравствуйте, Всем. Поймали на одном из рабочих компьютеров [259461356@qq.com].[33938840-E437FFA7]. Окна выкупа не было, обнаружили только когда 1с7 не смогла отправить письмо через yandex. Файлы прикрепил. СПАСИБО.
      unload1c.rar Desktop.rar Addition.txt FRST.txt
    • От александр2020
      Проблема началась со скачивания vpn - proton, далее заметил тормоза и решил удалить - просканировать. Но не тут то было- ваши сайты не открывались, даже доктор веб. Но я при помощи телефона скачал доктор веб. Приложу частично скрины. Ваша прогармма по прежнему не запускается. Мой компьютер хотели преехватиь и уничтожить, был найден radmin
       
      CollectionLog-2020.11.21-16.25.zip
       
×
×
  • Создать...