Вирус через почту

[fegob 0]

Здравствуйте

На почту пришло сообщение с вложением htm я нажал на нее посмотреть в режиме предосмотра, но вместо этого меня сразу перекинуло на  https://mail-attachment.googleusercontent.com/attachment/u/0/?........... и я увидел содержимое htm файла, там была большая точка. 

Спойлер

hosts я сам себе портил.

Пароль на архив с вирусом: Kaspersky

Virus.7z

Изменено 7 декабря, 2020 пользователем Sandor
Убрал логи по просьбе ТС

[Sandor 1 253]

Здравствуйте!

 

"Пофиксите" в HijackThis:

O22 - Task: webflex - D:\C\Programs\Program Files\Mozilla Firefox\firefox.exe -p "webflex24.com"

 

Перезагрузите компьютер и соберите новый CollectionLog Автологером.

[fegob 0]

Этот task я сам создал, нужно раз в день заходить в этот профиль браузера и проверять что то и это сделано чтобы не забыть. Я пофиксил и прикрепил логи.

Если не сложно можете пожалуйста ответить на пару вопросов если знаете ответ, во всяком случаи вы разбираетесь в этом намного лучше меня

1. Через логи этого аутологгера можно на 100% узнать если вирус на компьютере ? Или если хороший криптер можно и не найти вирус ?

2. Когда я пытался сделать предосмотр файла htm и меня перекинуло на  attachment.googleusercontent.com/attachment/u/0/?aZdiDrmIASeS (тут кучу букв было и но в конце расширения htm не было) я увидел большая точку, наверное содержимое htm файла. Мог бы на этой странице которой я открыл быть javascript вирус который заразил мой компьютер или нужно прям htm файл скачать и открыть чтобы заразится вирусом ?

3. Я скачал htm и посмотрел его содержимое, но он обфусцирован. Позагружал его на разные сайты антивирус проверки, но везде показывает что он чистый наверное потому что код обфурцирован. Можно ли как то узнать что конкретно делает этот файл для того чтобы узнать как почистить это у себя. Или если код обфусцирован его никак не посмотреть уже

 

Изменено 7 декабря, 2020 пользователем Sandor
Убрал логи по просьбе ТС

[Sandor 1 253]

13 часов назад, fegob сказал:

Через логи этого аутологгера можно на 100% узнать если вирус на компьютере ?

В большинстве случаев - да.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[fegob 0]

 

Спасибо за помощь

 

Я деобфусцировал этот htm файл. Там просто из base64 надо было конвертировать. Там была фотография вам перевод на счет 9999999 рублей и при клике переводит на фишинговый сайт где нужно заполнить данные кредитки. А у меня показало большую точку вместо изображения из-за кучи плагинов которые у меня в браузере. Могу скинуть чистый код htm если нужно.

Спасибо вам за помощь

Изменено 7 декабря, 2020 пользователем Sandor
Убрал логи по просьбе ТС

[Sandor 1 253]

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
  GroupPolicy: Restriction ? <==== ATTENTION
  GroupPolicy\User: Restriction ? <==== ATTENTION
  Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
  Policies: C:\Users\User\NTUSER.pol: Restriction <==== ATTENTION
  HKLM\SOFTWARE\Policies\Microsoft\Edge: Restriction <==== ATTENTION
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
  HKU\S-1-5-21-3796559461-2741596016-2131030515-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
  FirewallRules: [{7BEC2707-3CC0-4989-A889-8A2AA7C36313}] => (Allow) D:\C\Programs\Program Files\Epic Games\GTAV\GTA5.exe => No File
  FirewallRules: [{B5AD1F2F-B878-4FAE-AC99-B694DDF2F84E}] => (Allow) D:\C\Programs\Program Files\Epic Games\GTAV\GTA5.exe => No File
  FirewallRules: [{36EBD350-1BF1-4B42-8FE2-287FF0434CEB}] => (Allow) LPort=9089
  EmptyTemp:
  Reboot:
  End::

   

  
  
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.