Перейти к содержанию
Правила раздела

Бесконечная отправка пакетов [LOG+]

flagro

От flagro
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

flagro Новичок

flagro

Опубликовано
Опубликовано

Здравствуйте.

После подключения к интернету компьютер сразу начинает получать и передавать пакеты, когда число переданных и отправленных пакетов достигает 200, на компьютере на всех разделах жесткого диска появляются файлы авторана и файл sss.exe. Так же в процессах появляются процессы H001.exe, J001.exe, ijzab.exe, iyzab.exe и ещё какие-то (они все расположены в папке system32 виндовса) и Spyware-Process-Detector говорит, что три из процессов svchost.exe модифицированы (помимо 7 запущенных svchost'ов, которые Spyware-Process-Detector расценивает как системные процессы). После этого число отправленных пакетов начинает стремительно расти и за достаточно котороткое время число их достигает нескольких миллионов. При попытке запустить Касперского ничего не происходит.

Помогите пожалуйста. Логи приложил.

 

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\sss.exe','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('%SystemRoot%\system32\youming.dll','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\sss.exe','');
QuarantineFile('C:\WINDOWS\system32\KAVLA6UDLьnЂ\H002.exe','');
QuarantineFile('C:\WINDOWS\System32\smbsvc.dll','');
QuarantineFile('c:\windows\system32\smbctrl.dll','');
QuarantineFile('C:\WINDOWS\system32\4O8GNI4IZьnЂ\J001.exe','');
QuarantineFile('C:\WINDOWS\system32\4O8GNI4IZьnЂ\H001.exe','');
QuarantineFile('c:\windows\system32\iyzab.exe','');
TerminateProcessByName('c:\windows\system32\iyzab.exe');
QuarantineFile('c:\windows\system32\4o8gni4izьnЂ\j001.exe','');
TerminateProcessByName('c:\windows\system32\4o8gni4izьnЂ\j001.exe');
QuarantineFile('c:\windows\system32\ijzab.exe','');
TerminateProcessByName('c:\windows\system32\ijzab.exe');
QuarantineFile('c:\windows\system32\4o8gni4izьnЂ\h001.exe','');
TerminateProcessByName('c:\windows\system32\4o8gni4izьnЂ\h001.exe');
DeleteFile('c:\windows\system32\4o8gni4izьnЂ\h001.exe');
DeleteFile('c:\windows\system32\ijzab.exe');
DeleteFile('c:\windows\system32\4o8gni4izьnЂ\j001.exe');
DeleteFile('c:\windows\system32\iyzab.exe');
DeleteFile('C:\WINDOWS\system32\4O8GNI4IZьnЂ\H001.exe');
DeleteFile('C:\WINDOWS\system32\4O8GNI4IZьnЂ\J001.exe');
DeleteFile('C:\WINDOWS\system32\KAVLA6UDLьnЂ\H002.exe');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\sss.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\sss.exe');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\sss.exe');
DeleteFile('E:\autorun.inf');
DeleteFile('E:\sss.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес dbc22864ba2b.gif В теле письма укажите ссылку на тему.

 

2.Пофиксить в HijackThis следующие строчки

O2 - BHO: (no name) - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - (no file)

 

Повторите логи.

Ссылка на комментарий
Поделиться на другие сайты
flagro Новичок

flagro

Опубликовано
  • Автор
Опубликовано (изменено)

Все сделал, карантин отослал.

Вроде больше не появляется модифицированный svchost.exe, но при подключении к интернету все равно появляются новые процессы. Так же, сам по себе стал появляться процесс интернет експлорера (IEXPLORE.EXE), хотя я использую только гугл хром. Касперский по-прежнему не запускается, пакеты отправляются (но уже не так много). Файл sss.exe и автораны больше не создаются.

Новые логи приложил.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Изменено пользователем flagro
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Internet Explorer\Mfc42.tdm','');
QuarantineFile('c:\windows\system32\youming.dll','');
SetServiceStart('fhdos Service', 4); 
DeleteService('fhdos Service');
DeleteService('Memote');
SetServiceStart('iyzab', 4);
SetServiceStart('ijzab', 4);
DeleteService('iyzab');
DeleteService('ijzab');
TerminateProcessByName('c:\windows\system32\iyzab.exe');
TerminateProcessByName('c:\windows\system32\dkyz1krl3ьnЂ\j001.exe');
TerminateProcessByName('c:\windows\system32\ijzab.exe'); 
QuarantineFile('c:\windows\system32\dkyz1krl3ьnЂ\j001.exe','');
QuarantineFile('c:\windows\system32\iyzab.exe','');
QuarantineFile('c:\windows\system32\ijzab.exe','');
DeleteFile('c:\windows\system32\ijzab.exe');
DeleteFile('c:\windows\system32\iyzab.exe');
DeleteFile('c:\windows\system32\dkyz1krl3ьnЂ\j001.exe');
DeleteFile('c:\windows\system32\youming.dll');
DelWinlogonNotifyByFileName('c:\windows\system32\youming.dll');
DeleteFile('C:\Program Files\Internet Explorer\Mfc42.tdm');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(9);
BC_DeleteSvc('fhdos Service');
BC_DeleteSvc ('Memote');
BC_DeleteSvc ('iyzab');
BC_DeleteSvc ('ijzab');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь.

 

Если эта запись внесена не вами, тогда пофиксить в HiJack

 O1 - Hosts: 208.109.46.212 www.driver-soft.com

 

Сделайте новые логи. Логи AVZ сделать с помощью полиморфного AVZ из моей подписи

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Денис Н
      Как отключить сбор и отправку телеметрии.
      От Денис Н
      Добрый день!
      В организации используется KSC 14 + KES 12.
      Как отключить сбор и отправку телеметрии самих продуктов Касперского?
    • KL FC Bot
      В репозитории PyPI найдены пакеты с инфостилером | Блог Касперского
      От KL FC Bot
      Наши эксперты из Global Research and Analysis Team (GReAT) обнаружили два вредоносных пакета в The Python Package Index (PyPI), популярном репозитории софта для программирования на Python. Согласно описанию, пакеты представляли собой библиотеки для работы с популярными языковыми моделями. Однако, на самом деле они имитировали заявленную функциональность при помощи демоверсии ChatGPT, а основной их целью была установка зловреда JarkaStealer.
      Пакеты были доступны для скачивания больше года и, судя по статистике репозитория, за это время они были скачаны более 1700 раз пользователями из более чем 30 стран.
      Что за пакеты и для чего они использовались
      Вредоносные пакеты были загружены в репозиторий одним автором и отличались друг от друга только названием и описанием. Первый назывался gptplus и якобы позволял реализовать доступ к API GPT-4 Turbo от OpenAI; второй — claudeai-eng и, согласно описанию, по аналогии обещал доступ к API Claude AI от компании Anthropic PBC.

      В описаниях обоих пакетов были примеры использования, которые объясняли, как создавать чаты и посылать сообщения языковым моделям. Но в действительности операторы этой атаки встроили в код механизм взаимодействия с демо-прокси ChatGPT, чтобы убедить жертву в работоспособности пакета. А содержавшийся, тем временем, в пакетах файл __init__.py декодировал содержавшиеся внутри данные и скачивал из репозитория на GitHub файл JavaUpdater.jar. Если на машине жертвы не обнаруживалась Java, то он также скачивал и устанавливал среду выполнения для Java (JRE) из Dropbox. Сам jar-файл содержал зловред JarkaStealer, который использовался злоумышленниками для компрометации среды разработки и незаметной эксфильтрации похищенных данных.
       
      View the full article
    • Anix
      log работы ELPACO-team
      От Anix
      Отключил винт и подцепил его к виртуалке,
      нашёл лог работы заразы.
      Может поможет в создании лекарства
      temp.rar
    • MASolomko
      [Сувенир] Пакет в фирменном стиле
      От MASolomko
      В данной теме представлен обзор с подробным описанием подарочного сувенира, который можно получить из магазина клуба по бонусной программе, за форумное бета-тестирование и т. п.
      .
      Пожалуйста, не обсуждайте в этой теме другие сувениры.
      .
      ПАКЕТ В ФИРМЕННОМ СТИЛЕ
      .
      Фирменные бумажные, картонные и полиэтиленовые бумажные пакеты.
      Макет модели пакета: «банан». Рекламная компания: , , «В надёжных руках». Размеры полиэтиленового пакета (длина — ширина), мм: 500 × 400. Фотографии полиэтиленовых пакетов:
      Фотографии картонных пакетов:
       
    • NikitaDob
      Бесконечное завершение работы на компьютере с Windows 7.
      От NikitaDob
      Есть старенький компьютер с Windows 7 на борту. С недавних пор по каким-то неведомым причинам компьютер перестал корректно выключаться - надпись "Завершение работы" бесконечно висит и не пропадает, приходится выключать компьютер через удержание кнопки питания. Грешил на установленный Kaspersky 21.18 с патчем (а), сначала попробовал способ на форуме с изменением значения параметра "EnableDiskEvents" на 0 - не помогло. Потом и вовсе удалил Kaspersky, но это также не дало результатов.
       
      Выполнял команду sfc /scannow, писало, что найдены и успешно восстановлены какие-то файлы. Также выполнял команду dism /online /cleanup-image /scanhealth, результат сканирования на фото. Подскажите, пожалуйста, что можно попробовать ещё?

×
×
  • Создать...