Перейти к содержанию
Правила раздела

Вирус через почту

fegob

От fegob
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

fegob Новичок

fegob

Опубликовано
Опубликовано (изменено)

Здравствуйте

На почту пришло сообщение с вложением htm я нажал на нее посмотреть в режиме предосмотра, но вместо этого меня сразу перекинуло на  https://mail-attachment.googleusercontent.com/attachment/u/0/?........... и я увидел содержимое htm файла, там была большая точка. 

Спойлер

hosts я сам себе портил.

Пароль на архив с вирусом: Kaspersky

Virus.7z

Изменено пользователем Sandor
Убрал логи по просьбе ТС
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

"Пофиксите" в HijackThis: 

O22 - Task: webflex - D:\C\Programs\Program Files\Mozilla Firefox\firefox.exe -p "webflex24.com"

 

Перезагрузите компьютер и соберите новый CollectionLog Автологером.

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
fegob Новичок

fegob

Опубликовано
  • Автор
Опубликовано (изменено)

Этот task я сам создал, нужно раз в день заходить в этот профиль браузера и проверять что то и это сделано чтобы не забыть. Я пофиксил и прикрепил логи.

Если не сложно можете пожалуйста ответить на пару вопросов если знаете ответ, во всяком случаи вы разбираетесь в этом намного лучше меня

1. Через логи этого аутологгера можно на 100% узнать если вирус на компьютере ? Или если хороший криптер можно и не найти вирус ?

2. Когда я пытался сделать предосмотр файла htm и меня перекинуло на  attachment.googleusercontent.com/attachment/u/0/?aZdiDrmIASeS (тут кучу букв было и но в конце расширения htm не было) я увидел большая точку, наверное содержимое htm файла. Мог бы на этой странице которой я открыл быть javascript вирус который заразил мой компьютер или нужно прям htm файл скачать и открыть чтобы заразится вирусом ?

3. Я скачал htm и посмотрел его содержимое, но он обфусцирован. Позагружал его на разные сайты антивирус проверки, но везде показывает что он чистый наверное потому что код обфурцирован. Можно ли как то узнать что конкретно делает этот файл для того чтобы узнать как почистить это у себя. Или если код обфусцирован его никак не посмотреть уже

 

Изменено пользователем Sandor
Убрал логи по просьбе ТС
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
13 часов назад, fegob сказал:

Через логи этого аутологгера можно на 100% узнать если вирус на компьютере ?

В большинстве случаев - да.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
fegob Новичок

fegob

Опубликовано
  • Автор
Опубликовано (изменено)

 

Спасибо за помощь

 

Я деобфусцировал этот htm файл. Там просто из base64 надо было конвертировать. Там была фотография вам перевод на счет 9999999 рублей и при клике переводит на фишинговый сайт где нужно заполнить данные кредитки. А у меня показало большую точку вместо изображения из-за кучи плагинов которые у меня в браузере. Могу скинуть чистый код htm если нужно.

Спасибо вам за помощь

Изменено пользователем Sandor
Убрал логи по просьбе ТС
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\User\NTUSER.pol: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Edge: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
HKU\S-1-5-21-3796559461-2741596016-2131030515-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
FirewallRules: [{7BEC2707-3CC0-4989-A889-8A2AA7C36313}] => (Allow) D:\C\Programs\Program Files\Epic Games\GTAV\GTA5.exe => No File
FirewallRules: [{B5AD1F2F-B878-4FAE-AC99-B694DDF2F84E}] => (Allow) D:\C\Programs\Program Files\Epic Games\GTAV\GTA5.exe => No File
FirewallRules: [{36EBD350-1BF1-4B42-8FE2-287FF0434CEB}] => (Allow) LPort=9089
EmptyTemp:
Reboot:
End::

     


  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Share
Перейти к списку тем

  • Похожий контент

    • Stillegoth
      Новый Blackbit, на почту и ТГ не отвечают. Очень прошу помощи!
      От Stillegoth
      Друзья, прошу помощи! Кто-то словил заразу и вот такая оказия. Самая жесть, что ни на почту, ни на Телеграм не отвечают. Что можно сделать? Спасите! Во вложении зашифрованные файлы и письмо.
      Договор АВАНТ ООО.pdf Restore-My-Files.txt ООО Компания Тензор лицензионный договор и договор купли-продажи № 88221....pdf
    • Ser_S
      Блокировка почты
      От Ser_S
      Здравствуйте, надо заблокировать адрес электронной почты(например adress@primer.com), если я внесу в политике KSC Security Control -> Web Control в правило запрет на весь домен (primer.com), и стану принимать почту, заблокирует она этот адрес или надо настраивать правила в почтовом клиенте у каждого?
    • civiero
      Вирус или нет?
      От civiero
      При просмотре видео на ютуб останавливается видео и появляется звуки костей, или слово amazing. Нужно ли волноваться по этому поводу? Антивирус ничего не выдает.
    • Gagik
      Поймал вирус
      От Gagik
      Поймал вирус не знаю из за чего и ни чем не определяется почти,вроде как dwm процесс называется,при открытии диспетчера задач,не отображается и нагрузка сразу спадает,в простое нагревает процессор до 90 градусов
    • lomosow
      NET:MALWARE.URL Вирус
      От lomosow
      Поймал вирусняк, открывает edge при заходе в систему, Dr.web его обнаруживает, но удалить его не может, пишет "ошибка лечения". называется NET:MALWARE.URL. UPD. веб перестал его обнаруживать, но проблема никуда не делась 
×
×
  • Создать...