Перейти к содержанию
Правила раздела

Вирус через почту

fegob

Автор fegob
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

fegob

fegob

Опубликовано
Опубликовано (изменено)

Здравствуйте

На почту пришло сообщение с вложением htm я нажал на нее посмотреть в режиме предосмотра, но вместо этого меня сразу перекинуло на  https://mail-attachment.googleusercontent.com/attachment/u/0/?........... и я увидел содержимое htm файла, там была большая точка. 

Спойлер

hosts я сам себе портил.

Пароль на архив с вирусом: Kaspersky

Virus.7z

Изменено пользователем Sandor
Убрал логи по просьбе ТС
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

"Пофиксите" в HijackThis: 

O22 - Task: webflex - D:\C\Programs\Program Files\Mozilla Firefox\firefox.exe -p "webflex24.com"

 

Перезагрузите компьютер и соберите новый CollectionLog Автологером.

  • Like (+1) 1
fegob

fegob

Опубликовано
  • Автор
Опубликовано (изменено)

Этот task я сам создал, нужно раз в день заходить в этот профиль браузера и проверять что то и это сделано чтобы не забыть. Я пофиксил и прикрепил логи.

Если не сложно можете пожалуйста ответить на пару вопросов если знаете ответ, во всяком случаи вы разбираетесь в этом намного лучше меня

1. Через логи этого аутологгера можно на 100% узнать если вирус на компьютере ? Или если хороший криптер можно и не найти вирус ?

2. Когда я пытался сделать предосмотр файла htm и меня перекинуло на  attachment.googleusercontent.com/attachment/u/0/?aZdiDrmIASeS (тут кучу букв было и но в конце расширения htm не было) я увидел большая точку, наверное содержимое htm файла. Мог бы на этой странице которой я открыл быть javascript вирус который заразил мой компьютер или нужно прям htm файл скачать и открыть чтобы заразится вирусом ?

3. Я скачал htm и посмотрел его содержимое, но он обфусцирован. Позагружал его на разные сайты антивирус проверки, но везде показывает что он чистый наверное потому что код обфурцирован. Можно ли как то узнать что конкретно делает этот файл для того чтобы узнать как почистить это у себя. Или если код обфусцирован его никак не посмотреть уже

 

Изменено пользователем Sandor
Убрал логи по просьбе ТС
Sandor

Sandor

Опубликовано
Опубликовано
13 часов назад, fegob сказал:

Через логи этого аутологгера можно на 100% узнать если вирус на компьютере ?

В большинстве случаев - да.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

  • Like (+1) 1
fegob

fegob

Опубликовано
  • Автор
Опубликовано (изменено)

 

Спасибо за помощь

 

Я деобфусцировал этот htm файл. Там просто из base64 надо было конвертировать. Там была фотография вам перевод на счет 9999999 рублей и при клике переводит на фишинговый сайт где нужно заполнить данные кредитки. А у меня показало большую точку вместо изображения из-за кучи плагинов которые у меня в браузере. Могу скинуть чистый код htm если нужно.

Спасибо вам за помощь

Изменено пользователем Sandor
Убрал логи по просьбе ТС
Sandor

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\User\NTUSER.pol: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Edge: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
HKU\S-1-5-21-3796559461-2741596016-2131030515-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
FirewallRules: [{7BEC2707-3CC0-4989-A889-8A2AA7C36313}] => (Allow) D:\C\Programs\Program Files\Epic Games\GTAV\GTA5.exe => No File
FirewallRules: [{B5AD1F2F-B878-4FAE-AC99-B694DDF2F84E}] => (Allow) D:\C\Programs\Program Files\Epic Games\GTAV\GTA5.exe => No File
FirewallRules: [{36EBD350-1BF1-4B42-8FE2-287FF0434CEB}] => (Allow) LPort=9089
EmptyTemp:
Reboot:
End::

     


  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

  • Like (+1) 1
  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • shougo04
      [РЕШЕНО] Подозрительный процесс/файл WinDivert64.sys с описанием схожим на вирус?
      Автор shougo04
      Не заходил в Discord очень долго, увидел на почте gmail что кто-то меня отметил в сообщении, решил глянуть, оказалось Discord не работает, скачал zapretdisyt, он так и не заработал.
      Подумал ладно, не судьба. Удалил zapret и позже удалю и Discord. При удалении zapretdisyt вылезло вот такое сообщение описание файла WinDivert64.sys в котором меня насторожило слово bitcoin, страшно.
       
       
      Прикрепляю логи от программы miderfinder; autologger ниже со скриншотом при удалении файла. 
       

       
      MinerSearch_26.12.2025_3-24-55.logreport2.logreport1.logCollectionLog-2025.12.26-03.20.zip
       
       
      Живу +4 от МСК поэтому смогу ответить только после 08:00 по МСК как встану, пост отправил в 03:33 ночи. Заранее огромное спасибо любому, кто ответит здесь или уделит любой вид внимания этому посту. я вас всех люблю
    • 21_bibon
      Dr.Web cureIt не смог удалить NET:MINERS:URL
      Автор 21_bibon
      Здравствуйте! помогите пожалуйста. Dr web не смог удалить NET:MINERS:URL по пути \net\1748\TCP\91.184.248.138-3333\Device\HarddiskVolume3\Windows\System32\dialer.exe
      CollectionLog-2025.12.09-00.37.zip 
    • 1ceman
      Два explorer.exe в ДЗ
      Автор 1ceman
      Доброго времени суток. Смотрю тут обсуждается тема "ДВУХ ПРОВОДНИКОВ". Я тоже имею такую же проблему. Схватил буквально недавно, где, - так и не понял. (подозрение на какое то обновление Windows)
      Как заметил: если запустить "Диспетчер учетных данных" и закрыть, потом уже не запустишь. Так же почти со всеми остальными параметрами системы. Панель управления тоже не открывается. И так до момента пока не закроешь проводник с меньшим размером в ДЗ. Второй экземпляр проводника в 5 раз меньше "оригинала" и с хвостом C:\Windows\explorer.exe /factory,{5BD95610-9434-43C2-886C-57852CC8A120} -Embedding
      Отсканировал FRST-ом, ничего подозрительного не нашел, кроме пары отключенных политик (брандмауэр и update windows). Пофиксил, пропала надпись бесящая, что вами управляет какая то компании или что-то в этом роде. Теперь могу включать-отключать брандмауэр (до этого не мог).
      Помогите поймать этого червя, сомневаюсь что microsoft прислал такое KB, иначе проблема имела бы массовый характер.
      PS Я продвинутый пользователь, просто так пропустить не мог так внимательно слежу за системой и не "запускаю все подряд" .
      Спасибо.
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • usu
      Два проводника.
      Автор usu
      В Диспетчере задач и Приложений-мониторинге, два проводника "explorer.exe" и "Explorer.EXE" оба ведут к одном место расположению.
      "Explorer.EXE" Нагружает все свободные ресурсы компьютера пока не открыть Диспетчер задач или Приложение-мониторинг(с его неизменненым названием). Анти вирусы и детекторы не видят, но при закрытий вредносного "Explorer.EXE" через приложение мониторинг, он не открывается более 3 дней, а затем снова появляется. Так-же в "Process Hacker 2 "Explorer.EXE" имеет Username "NT AUTHORITY SYSTEM", а "explorer.exe" DEKSTOP.



    • heathern
      Помогите удалить вирус!!
      Автор heathern
      К большому сожалению, я скачала какой-то zip файл на 2 с чем-то гб (это был мод) из вк по старой ссылке. Сначала, я ничего даже не заметила, но после того, как я его разархивировала и поместила в папку, в которой должен был быть сам мод, у меня открылась командная строка(Я проверила файл на вирус тотал и он показался трояном, а потом уже понеслось) "Хост Windows Shell Expenince" и в диспетчере задач она теперь там ПОСТОЯННО находится. При открытии диспетчера задач у меня диск загружен на 100% как и цп на 75%(может 71%, все равно много) и я вроде как удалила сам ярлык с игрой и этим модом, но теперь у меня так каждый раз (до того, пока я не удалила, диск не был нагружен на 100% и было всего 20-30 цп)  но нагружает не хост, а именно очень странные файлы как: System, Microsoft OneDrive и Power Toys.Run (я скачивала Power Toys до всего этого) меня очень смущает "System", ведь у него большое энергопотребление. Я сидела 2 часа (а то и так-то 3) смотрела какой-то тутор как его удалить, но все сходилось на том, что я не могла установить антивирус Касперский, нужна была перезагрузка, а я боялась, что у меня все слетит к чертям. Я старалась что-то искать, но ничего не нашла, я вообще не знаю что именно искать и как это убрать. Я пыталась найти что-то в resmon, делала mrt несколько раз, заходила в redget, но resmon люто лагал, а в поиске redget, я хотела найти сам троян, но он тоже тупил. Очень надеюсь, что мне хоть как-нибудь помогут тут ;(
      (Я уже заходила в безопасный режим и старалась вернуть права админа, чтобы удалить это, и после того как я хоть что-то удалила, стало только в разы хуже... Доктор веб не пробовала сканировать, у меня файл тупо не открывался, как и Касперский. На фотках ЦП мало, но после ещё очередной перезагрузки, он поднялся до 70%) И извиняюсь за мыльное качество


×
×
  • Создать...