Перейти к содержанию
Правила раздела

Вирус через почту

fegob

Автор fegob,
в Помощь в удалении вирусов

 Share Подписчики 1

Рекомендуемые сообщения

fegob

fegob 0

Опубликовано
Опубликовано (изменено)

Здравствуйте

На почту пришло сообщение с вложением htm я нажал на нее посмотреть в режиме предосмотра, но вместо этого меня сразу перекинуло на  https://mail-attachment.googleusercontent.com/attachment/u/0/?........... и я увидел содержимое htm файла, там была большая точка. 

Спойлер

hosts я сам себе портил.

Пароль на архив с вирусом: Kaspersky

Virus.7z

Изменено пользователем Sandor
Убрал логи по просьбе ТС
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 856

Опубликовано
Опубликовано

Здравствуйте!

 

"Пофиксите" в HijackThis: 

O22 - Task: webflex - D:\C\Programs\Program Files\Mozilla Firefox\firefox.exe -p "webflex24.com"

 

Перезагрузите компьютер и соберите новый CollectionLog Автологером.

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
fegob

fegob 0

Опубликовано
  • Автор
Опубликовано (изменено)

Этот task я сам создал, нужно раз в день заходить в этот профиль браузера и проверять что то и это сделано чтобы не забыть. Я пофиксил и прикрепил логи.

Если не сложно можете пожалуйста ответить на пару вопросов если знаете ответ, во всяком случаи вы разбираетесь в этом намного лучше меня

1. Через логи этого аутологгера можно на 100% узнать если вирус на компьютере ? Или если хороший криптер можно и не найти вирус ?

2. Когда я пытался сделать предосмотр файла htm и меня перекинуло на  attachment.googleusercontent.com/attachment/u/0/?aZdiDrmIASeS (тут кучу букв было и но в конце расширения htm не было) я увидел большая точку, наверное содержимое htm файла. Мог бы на этой странице которой я открыл быть javascript вирус который заразил мой компьютер или нужно прям htm файл скачать и открыть чтобы заразится вирусом ?

3. Я скачал htm и посмотрел его содержимое, но он обфусцирован. Позагружал его на разные сайты антивирус проверки, но везде показывает что он чистый наверное потому что код обфурцирован. Можно ли как то узнать что конкретно делает этот файл для того чтобы узнать как почистить это у себя. Или если код обфусцирован его никак не посмотреть уже

 

Изменено пользователем Sandor
Убрал логи по просьбе ТС
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 856

Опубликовано
Опубликовано
13 часов назад, fegob сказал:

Через логи этого аутологгера можно на 100% узнать если вирус на компьютере ?

В большинстве случаев - да.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
fegob

fegob 0

Опубликовано
  • Автор
Опубликовано (изменено)

 

Спасибо за помощь

 

Я деобфусцировал этот htm файл. Там просто из base64 надо было конвертировать. Там была фотография вам перевод на счет 9999999 рублей и при клике переводит на фишинговый сайт где нужно заполнить данные кредитки. А у меня показало большую точку вместо изображения из-за кучи плагинов которые у меня в браузере. Могу скинуть чистый код htm если нужно.

Спасибо вам за помощь

Изменено пользователем Sandor
Убрал логи по просьбе ТС
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 856

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\User\NTUSER.pol: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Edge: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
HKU\S-1-5-21-3796559461-2741596016-2131030515-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
FirewallRules: [{7BEC2707-3CC0-4989-A889-8A2AA7C36313}] => (Allow) D:\C\Programs\Program Files\Epic Games\GTAV\GTA5.exe => No File
FirewallRules: [{B5AD1F2F-B878-4FAE-AC99-B694DDF2F84E}] => (Allow) D:\C\Programs\Program Files\Epic Games\GTAV\GTA5.exe => No File
FirewallRules: [{36EBD350-1BF1-4B42-8FE2-287FF0434CEB}] => (Allow) LPort=9089
EmptyTemp:
Reboot:
End::

     


  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • ecstasy
      Iso Ubuntu и вирус
      От ecstasy
      Доброго времени суток. Хотел поинтересоваться у знающих людей насчет одной темы. В общем, создавался установочный носитель с Ubuntu на ПК с Win10, но как позже выяснилось на этом ПК были вирусы (какие - я не знаю). Так вот, весь вопрос в том - мог ли вирус на этом ПК поразить установочные файлы Ubuntu? Т.е. может быть такое, что угрозы перешли с одной системы на другую, и вредят уже на на Ubuntu (дистрибутиве Линукс)? Или таким путём Линукс не заразить? Заранее спасибо за ответ тому, кто поможет😀!
    • Michael Mikhail
      Странное предложение (вирус или реклама?).
      От Michael Mikhail
      Здравствуйте,
      помогите разобраться с данным "предложением" (стоит ли входить?):

      Дополнительно.
    • borodise
      Не устанавливается Kaspersky Internet Security на Windows 10
      От borodise
      Добрый день!
      При попытке установки  kis21.2.16.590ru_25433 не запускается процесс инсталляции
      В безопасном режиме окно запускается, но уведомляет о том, что установка в безопасном режиме невозможна
      kavremover предустановленных версий Kaspersky не нашел
      Отключение SmartScreen, защитника Windows не помогает
      Было обнаружено отсутствие доступа на forum,kasperskckub.ru
      После прогонки Dr.Web CureIt! выявлено изменение файла hosts, где ряд сайтов заменялись на 127.0.0.1. Dr.Web CureIt! исправил 
      В KVRT кнопка "начать проверку" недоступна
      Установка KIS так и не представляется возможным
      Заранее спасибо!
       
      CollectionLog-2020.12.01-16.32.zip
    • triumf1975
      Поймали [259461356@qq.com].[33938840-E437FFA7]
      От triumf1975
      Здравствуйте, Всем. Поймали на одном из рабочих компьютеров [259461356@qq.com].[33938840-E437FFA7]. Окна выкупа не было, обнаружили только когда 1с7 не смогла отправить письмо через yandex. Файлы прикрепил. СПАСИБО.
      unload1c.rar Desktop.rar Addition.txt FRST.txt
    • александр2020
      [РЕШЕНО] не запускается Kaspersky virus removal tool
      От александр2020
      Проблема началась со скачивания vpn - proton, далее заметил тормоза и решил удалить - просканировать. Но не тут то было- ваши сайты не открывались, даже доктор веб. Но я при помощи телефона скачал доктор веб. Приложу частично скрины. Ваша прогармма по прежнему не запускается. Мой компьютер хотели преехватиь и уничтожить, был найден radmin
       
      CollectionLog-2020.11.21-16.25.zip
       
×
×
  • Создать...