Перейти к содержанию

[Лог!] После атаки Packed.Win32.Klone.bj


dimdeposit

Рекомендуемые сообщения

после атаки Packed.Win32.Klone.bj и другими паразитами-заразами, перестал работать каспер, в процессах есть а в треи нет, - т.е. нарушина блокировкой зловреда! самое интерестное логи смог сделать только в safemode, так как зависало AVZ4, более интересннее как сделал первый лог и перезагрузился каспер не загрузился - а на втором логе AVZ4 опять завис, в safemode опять сделал и второй лог и лог от HijackThis, опять перезагрузился чтоб отправить и - :blink:О_о диво каспер заработал! :lool: посмотрите логи - может чтоб до конца убить зловреда надо выполнить скрипт в AVZ! :) за ранее благодарен!!

 

дико извеняюсь не туда написал, можно перенести тему в раздел "Удаление вирусов"!

Сообщение от модератора C. Tantin
Ничего страшного, тема перенесена из раздела "Компьютерная помощь"

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено пользователем C. Tantin
Ссылка на комментарий
Поделиться на другие сайты

етъ понятно, сапасибо! :blink: ждем-с :lool:

 

многоуважаемые хелперы, при загрузки компа утром - касп опять не воден в треи - гад живет, так что жду скрипт, без него помойму ни как! :)

Изменено пользователем dimdeposit
Ссылка на комментарий
Поделиться на другие сайты

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('ctasys.dll','');
QuarantineFile('digeste.dll','');
QuarantineFile('C:\WINDOWS\system32\twex.exe','');
DeleteFile('C:\WINDOWS\system32\twex.exe');
DeleteFile('digeste.dll');
DeleteFile('ctasys.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес dbc22864ba2b.gif В письме укажите ссылку на тему.

 

 

2.Пофиксить в HijackThis следующие строчки

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe,

 

Сделайте новый комплект логов.

Ссылка на комментарий
Поделиться на другие сайты

Скрипт помог спасибо, а далее -----

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

- этот скрипт написан с ошибкой, но я так понял он для того что б сделать "quarantine.zip" - сделаю при помощи тотала

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес dbc22864ba2b.gif В письме укажите ссылку на тему.

 

здесь обычно указывают адрес касперского для новых вирусов, а это какой-то страннный, так что ни знаю - а после прочтения подписи ника вообще боялся скрипты выполнять! :blink: пугающая очень она! :lool:

 

2.Пофиксить в HijackThis следующие строчки

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe,

 

пофиксить не удалось - нет записи, иль я не понял как это делать!?!

 

Сделайте новый комплект логов.

 

логи отсылаю, и PS мне конечно quarantine.zip не жалко но почему майл странный, и я так понимаю вы не из хелперов, иль модератор и хелпер - это одно и тоже? :) а так вообще еще раз сапасибо! :)

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено пользователем MedvedevUnited
Поправил тег цитирования
Ссылка на комментарий
Поделиться на другие сайты

- этот скрипт написан с ошибкой, но я так понял он для того что б сделать "quarantine.zip" - сделаю при помощи тотала

Ошибка в слове Quarantine:

 

begin
CreateQuarantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Ссылка на комментарий
Поделиться на другие сайты

Ошибка в слове Quarantine:

 

begin
CreateQuarantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

понятно, а тотолом запаковать не пошло бы и истчо на вопрос о хелперах и про адрес не ответил, - боятся мне отсылать файл иль нет? :blink:

 

и напугала мне эта фраза: " Никакого отношения к ЛК не имею. Обычный пользователь. Притензии к ЛК по поводу моих советов прошу не предъявлять. Следовать моим советам или нет - решайте сами." :lool:

Изменено пользователем dimdeposit
Ссылка на комментарий
Поделиться на другие сайты

begin

CreateQuarantineArchive(GetAVZDirectory+'quarantine.zip');

end.

 

опять где т о ошибочка пишет - позиция 2:24

 

Не бойтесь, отсылайте спокойно.

 

интересно и зачем это ему? :blink:

Изменено пользователем dimdeposit
Ссылка на комментарий
Поделиться на другие сайты

Прошу прощения, в срипте AVZ должно быть написано именно так:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Я в данном случае был не прав. Вы пробовали этот скрипт запускать изначально или сделали вывод о его ошибочности на основании написания слова Qurantine?

Изменено пользователем MedvedevUnited
Ссылка на комментарий
Поделиться на другие сайты

Прошу прощения, в срипте AVZ должно быть написано именно так:

 

begin
Create[b]Qurantine[/b]Archive(GetAVZDirectory+'quarantine.zip');
end.

 

Я в данном случае, был не прав. Вы пробовали этот скрипт запускать изначально или сделали вывод о его ошибочности на основании написания слова Qurantine?

 

а там есть проверка на синтаксис, да и при запуске ругается сразу, на другие вопросы мне в краце кто нибуть ответит, не зря у меня под ником стоит "новичёк" - с нашими то вирусо писателями с вами много придется работать :blink:

 

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

 

нееее мужики вы издеваетесь чтоли - опять ошибка - позиция 2:10

Ссылка на комментарий
Поделиться на другие сайты

а там есть проверка на синтаксис

post-5767-1235498019_thumb.jpg

нееее мужики вы издеваетесь чтоли - опять ошибка - позиция 2:10

begin
// Создание архива с содержимым карантина за текущий день
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

пофиксить не удалось - нет записи, иль я не понял как это делать!?!

значит данные строчки были пофиксины во время работы AVZ

Изменено пользователем User
Ссылка на комментарий
Поделиться на другие сайты

post-5767-1235498019_thumb.jpg

 

begin
// Создание архива с содержимым карантина за текущий день
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

значит данные строчки были пофиксины во время работы AVZ

 

опять Ошибка скрипта: '.' expected, позиция [5:1]

Ссылка на комментарий
Поделиться на другие сайты

опять Ошибка скрипта: '.' expected, позиция [5:1]

Предлагаю запустить ОС в безопасном режиме и попробывать выполнить данный скрипт, и повоторите логи - по моему зараза еще есть

Ссылка на комментарий
Поделиться на другие сайты

Предлагаю запустить ОС в безопасном режиме и попробывать выполнить данный скрипт, и повоторите логи - по моему зараза еще есть

а как лучше все бросить у меня просто каспер на макс проверяет 40% "мой комп" и делать логи, иль завтра выложить

 

а еще 2-е логи я выкладывал ни кто и не посмотрел, как подозреваете що есть зараза?

Изменено пользователем dimdeposit
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • foroven
      Автор foroven
      Добрый день. После того как мы словили вирус шифровальщик и был установлен антивирусный продукт лаборатории Касперского, в его журнале каждый час стали появляться записи о сетевой атаке. Причем адрес атакующего компьютера это Linux-система с установленным Kerio Control. Может ли Касперсий так реагировать на его работу? Или он может быть заражен? Спасибо.
    • KL FC Bot
      Автор KL FC Bot
      Многие сотрудники компаний используют в повседневной работе внешние онлайн-сервисы, доступные через браузер. Некоторые помнят адреса часто используемых сайтов и набирают их по памяти, другие сохраняют закладки. Но есть люди, которые каждый раз вбивают название сайта в поисковик и переходят по первой ссылке в выдаче. Именно на них, по всей видимости, и рассчитывают злоумышленники, продвигающие фишинговые сайты через платформу Google Ads. За счет этого фальшивые страницы выдаются в поиске выше, чем ссылка на легитимный сайт.
      Согласно отчету Ads Safety Report, за 2024 год Google заблокировала или удалила 415 миллионов рекламных объявлений Google Ads за нарушения правил, преимущественно связанных с мошенничеством. Компания также заблокировала 15 миллионов рекламных аккаунтов, размещавших подобную рекламу. Эта статистика дает возможность представить масштаб проблемы — Google Ads является невероятно популярным среди преступников инструментом для продвижения вредоносных ресурсов. Большая часть таких схем направлена на домашних пользователей, но в последнее время в новостях появлялись заметки с описаниями случаев охоты за корпоративными аккаунтами в таких сервисах, как Semrush, или даже в самом сервисе Google Ads.
      Поддельные страницы Semrush
      Semrush — популярная платформа для подбора ключевых слов, анализа сайтов конкурентов, отслеживания обратных ссылок и тому подобного. Ей пользуются SEO-специалисты по всему миру. Для большей эффективности Semrush часто интегрируется с Google Analytics и Google Search Console — а аккаунты в этих сервисах могут содержать массу конфиденциальной информации о бизнесе компаний. Например, показатели доходов, сведения о маркетинговых стратегиях, анализ поведения клиентов и многое другое.
      Если злоумышленники смогут получить доступ к аккаунту Semrush, то эта информация может быть использована для проведения новых атак на других сотрудников или просто продана в даркнете.
      Неудивительно, что нашлись злоумышленники, затеявшие фишинговую кампанию, нацеленную на SEO-специалистов. Они создали серию сайтов, оформление которых достаточно точно повторяет страницу входа в аккаунт Semrush. Для убедительности преступники использовали целый ряд доменных имен, содержащих название имитируемой компании: «semrush[.]click», «semrush[.]tech», «auth.seem-rush[.]com», «semrush-pro[.]co», «sem-rushh[.]com» и так далее. И все эти сайты продвигались с помощью объявлений в Google Ads.
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Ransomware-группировка Interlock начала использовать технику ClickFix для проникновения в инфраструктуру своих жертв. В одном из недавних постов мы уже рассказывали об общей идее ClickFix, а сегодня поговорим о конкретном примере использования этой тактики одной из группировок. Исследователи кибербезопасности обнаружили, что Interlock использует поддельную CAPTCHA якобы от Cloudflare на странице, маскирующейся под сайт Advanced IP Scanner — популярного бесплатного сетевого сканера.
      Исходя из этого можно предположить, что атаки нацелены на ИТ-специалистов, работающих в потенциально интересующих группировку организациях. Судя по всему, Interlock находится на этапе тестирования новых инструментов, в частности техники ClickFix.
      Как Interlock использует ClickFix для распространения вредоносного ПО
      Злоумышленники из Interlock заманивают жертву на страницу, адрес которой имитирует адрес сайта Advanced IP Scanner. Описавшие атаку исследователи нашли одну и ту же страницу, размещенную по нескольким адресам в Сети.
      При переходе по ссылке пользователь видит извещение о необходимости пройти CAPTCHA, якобы от Cloudflare. В сопутствующем тексте мошенники рассказывают жертве о том, что Cloudflare «помогает компаниям восстановить контроль над своими технологиями». За этим достаточно типичным бизнесовым текстом, скопированным со страницы «Что такое Cloudflare?» настоящего веб-сайта компании, следует указание: нажать сочетание [Win] + [R], затем [Ctrl] + [V] и, наконец, [Enter]. После этой инструкции находятся кнопки Fix it (Исправить проблему) и Retry (Повторить попытку).
      Внизу следует объяснение: якобы ресурс, на который пытается войти жертва, должен проверить безопасность соединения.
      На практике, когда жертва нажимает кнопку Fix it, в буфер обмена автоматически копируется вредоносная команда
      PowerShell. После этого пользователь сам открывает консоль с помощью сочетания клавиш [Win] + [R] и сам же вставляет эту команду через [Ctrl] + [V]. После нажатия [Enter] вредоносная команда выполняется.
      В результате выполнения команды на компьютер жертвы загружается 36-мегабайтный файл поддельного установщика PyInstaller,. Для отвлечения внимания жертвы при этом в браузере открывается окно с настоящим сайтом Advanced IP Scanner.
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Исследователи обнаружили целую серию серьезных дырок в технологии Apple AirPlay. Это семейство уязвимостей и потенциальные эксплойты на их основе они назвали AirBorne. Данные баги могут быть использованы по отдельности или в сочетании для проведения беспроводных атак на разнообразную технику, поддерживающую AirPlay.
      Речь в первую очередь идет об устройствах Apple, но не только о них: существует целый ряд гаджетов от сторонних производителей, в которые внедрена данная технология, — от умных колонок до автомобилей. Рассказываем подробнее о том, чем эти уязвимости опасны и как защитить свою технику с поддержкой AirPlay от возможных атак.
      Что такое Apple AirPlay
      Для начала немного поговорим о матчасти. AirPlay — это разработанный Apple набор протоколов, которые используются для стриминга аудио и (все чаще) видео между пользовательскими устройствами. Например, с помощью AirPlay можно стримить музыку со смартфона на умную колонку или дублировать экран ноутбука на телевизоре.
      Все это без дополнительных проводов — для стриминга чаще всего используется Wi-Fi или, на худой конец, проводная локальная сеть. Отметим, что AirPlay может работать и без централизованной сети (проводной или беспроводной), используя Wi-Fi Direct, то есть прямое подключение между устройствами.
      Логотипы AirPlay для видеостриминга (слева) и аудиостриминга (справа) — если у вас есть техника Apple, то вы их наверняка видели. Источник
      Изначально в качестве приемников AirPlay могли выступать только некоторые специализированные устройства. Сначала это были роутеры AirPort Express, которые могли выводить на встроенный аудиовыход музыку из iTunes. Позже к ним присоединились ТВ-приставки Apple TV, умные колонки HomePod и похожие устройства от сторонних производителей.
      Однако в 2021 году в Apple решили пойти несколько дальше и встроили приемник AirPlay в macOS — таким образом пользователи получили возможность дублировать экран iPhone или iPad на свои «Маки». В свою очередь, несколько позже функцией приемника AirPlay наделили iOS и iPadOS — на сей раз для вывода на них изображения с VR/AR-очков Apple Vision Pro.
      AirPlay позволяет использовать для стриминга как централизованную сеть (проводную или беспроводную), так и устанавливать прямое подключение между устройствами Wi-Fi Direct. Источник
      Также следует упомянуть технологию CarPlay, которая, по сути, представляет собой тот же AirPlay, доработанный для использования в автомобилях. В случае с CarPlay приемниками, как несложно догадаться, выступают головные устройства машин.
      В итоге за 20 лет своего существования AirPlay из нишевой фичи iTunes превратилась в одну из магистральных технологий Apple, на которую теперь завязан целый набор функций «яблочной» экосистемы. Ну и самое главное: на данный момент AirPlay поддерживается сотнями миллионов, если не миллиардами, устройств, значительная часть которых может выступать в качестве приемников AirPlay.
       
      View the full article
    • Мурат Профит
      Автор Мурат Профит
      Здравствуйте!
      Сегодня утром 17.05.2025, чуть позже 9.00 нас атаковала программа-шифровальщик.
      У файлов изменено расширение. И их невозможно открыть, как это делалось обычно.
      На сервере, где были зашифрованы файлы, установленный антивирус злоумышленники каким-то образом удалили.
      Файл шифровальщика не обнаружен.
      Addition.txt FRST.txt Shortcut.txt Файлы и требования.rar
×
×
  • Создать...