Показано с 1 по 19 из 19.

Подхватил банер kbupdater utility, периодически в браузе открываются левые сайты. [not-a-virus:RiskTool.Python.Miner.b ] (заявка № 174660)

  1. #1
    Junior Member Репутация
    Регистрация
    14.01.2015
    Сообщений
    10
    Вес репутации
    34

    Thumbs up Подхватил банер kbupdater utility, периодически в браузе открываются левые сайты. [not-a-virus:RiskTool.Python.Miner.b ]

    При работе в браузере стали открываться посторонние сайты после нажатия на любую ссылку. В автозапуске обнаружил kbupdater utility и Safebrowser (с последним пока не понятно "с чем его едят"), пути нахождения exe'шников странные, размышление сразу навели на не хорошие мысли и появилась тяга к спиртному

    virusinfo_syscure.zip не нашел - видимо первый пункт диагностки пропустил (64битка)
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Deadlywoman, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.


    - выполните такой скрипт в AVZ
    Код:
    begin
     ClearQuarantineEx(true); 
     QuarantineFile('C:\Users\Yuriy\AppData\Local\Microsoft\Extensions\safebrowser.exe','');
     QuarantineFile('C:\Windows\x64\p1.exe','');
     QuarantineFile('C:\Users\Yuriy\AppData\Local\Microsoft\Extensions\extsetup.exe','');
    CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы.

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.

  5. #4
    Junior Member Репутация
    Регистрация
    14.01.2015
    Сообщений
    10
    Вес репутации
    34
    готово, накладываю.

    http://virusinfo.info/virusdetector/...EB5CB2CE8DC606

    p.s. неее, я столько ещё не выпил и не могу сразу вкурить некоторые фразы: "напишите в своём в сообщении здесь" и "Прикрепите отчет к своему следующему сообщению" - не хватает слова "вложением".

    Просветите, что стало с заголовком этой темы 0о
    Вложения Вложения
    Последний раз редактировалось Deadlywoman; 15.01.2015 в 11:35. Причина: вылез из танка - свежий воздух.

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от Deadlywoman Посмотреть сообщение
    готово, накладываю.
    надо прикреплять к сообщению вложением

    Цитата Сообщение от regist Посмотреть сообщение
    - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
    это сделали? Где ссылка на анализ?

    +
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
    • Прикрепите отчет к своему следующему сообщению

    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

  7. Это понравилось:


  8. #6
    Junior Member Репутация
    Регистрация
    14.01.2015
    Сообщений
    10
    Вес репутации
    34
    Re. Так что же стало с названием темы?
    Вложения Вложения
    Последний раз редактировалось Deadlywoman; 15.01.2015 в 21:23.

  9. #7

  10. #8
    Junior Member Репутация
    Регистрация
    14.01.2015
    Сообщений
    10
    Вес репутации
    34
    а всё, нашел его паразита.
    Вложения Вложения
    Последний раз редактировалось Deadlywoman; 16.01.2015 в 00:47.

  11. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    • Пожалуйста, запустите adwcleaner.exe
    • Нажмите Uninstall (Удалить).
    • Подтвердите удаление нажав кнопку: Да.


    что с проблемой?

  12. #10
    Junior Member Репутация
    Регистрация
    14.01.2015
    Сообщений
    10
    Вес репутации
    34
    Огромное спасибо за ваше участие - без спецов никуда.
    Позавчера обратил внимание на работу мышки - 2 раза в минуту происходила потеря связи через usb, на секунду не больше - полагаю, будет параноей звучать предположение о нашей с вами причастности в результате всех манипуляций к этому факту
    Сейчас на работе, часикам к 17.00 буду дома и гляну, кто из "злодеев" не убит. Вчера глянул меню автозапуска - галочки ещё мной сняты, но упоминание о них (злодееях) осталось. Особо не мешают, но не могу не поделиться.

  13. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    virusinfo_syscheck.zip - тогда свежий сделайте.
    P.S.
    Цитата Сообщение от Deadlywoman Посмотреть сообщение
    галочки ещё мной сняты
    не были бы сняты автоматом зачистились бы .

  14. #12
    Junior Member Репутация
    Регистрация
    14.01.2015
    Сообщений
    10
    Вес репутации
    34
    Я справился, наверное.
    Вложения Вложения

  15. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Здравствуйте!

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол

    Выполните скрипт в АВЗ -

    Код:
    begin
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ClearQuarantineEx(true);
     QuarantineFile('C:\Windows\x64\p1.exe', '');
     QuarantineFile('C:\ProgramData\Kbupdater Utility\kbupdater-utility.exe', '');
     QuarantineFile('C:\Users\Yuriy\AppData\Local\Microsoft\Extensions\extsetup.exe', '');
     DeleteFile('C:\Windows\system32\Tasks\Kbupdater Utility', '64');
     DeleteFile('C:\Users\Yuriy\AppData\Local\Microsoft\Extensions\extsetup.exe', '32');
     DeleteFile('C:\Windows\system32\Tasks\extsetup', '64');
     DeleteFile('C:\ProgramData\Kbupdater Utility\kbupdater-utility.exe', '32');
     DeleteFile('C:\Windows\x64\p1.exe', '32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KometaLaunchPanel', 'command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kometaup', 'command');
    ExecuteSysClean;
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    - Сделайте повторные лог virusinfo_syscheck.zip

    +
    Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код:
    %appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

  16. #14
    Junior Member Репутация
    Регистрация
    14.01.2015
    Сообщений
    10
    Вес репутации
    34
    WoW, выполнение скрипта впервый раз вызвало синий экран смерти
    Второй раз обошлось - памперс не понадобился.
    Вложения Вложения

  17. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    1) - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы.
    Правда если вы скрипт два раза запускали, то карантин скорее всего будет пустой.

    2) AVZ от имени админа запускали? Антивирус перед выполнением скрипта отключали? Запустите ещё раз от имени админа и свежий лог virusinfo_syscheck.zip

    3) MBAM деинсталируйте.

  18. #16
    Junior Member Репутация
    Регистрация
    14.01.2015
    Сообщений
    10
    Вес репутации
    34
    1) карантин действительно пустой.
    2) AVZ был запущен только с включенным интернетом - востановившись после экрана смерти забыл его отрубить, простите.
    3) MBAM у меня стоит уже месяца 4 - не знаю насколько это важная инфа.
    Да и жалко его убивать =) честно они друг другу с Avast'ом особо не мешают.
    4) уже порываюсь teamviewer запустить =)
    Вложения Вложения

  19. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Код:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KometaLaunchPanel
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kometaup
    Эти ключи реестра удалите вручную, либо если стоит какая-то программа типа CCleaner то можно из автозапуска удалить их через неё.


    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    Советы и рекомендации после лечения компьютера

  20. #18
    Junior Member Репутация
    Регистрация
    14.01.2015
    Сообщений
    10
    Вес репутации
    34
    Стоя победителям моей дремучести, благодарсности в ОНН. Огромное спасибо за терпение и помощь.

  21. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\x64\p1.exe - not-a-virus:RiskTool.Python.Miner.b ( DrWEB: Tool.BtcMine.292 )


  • Уважаемый(ая) Deadlywoman, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Карантин A30959CFFFF9C37651C22C80C5715B80 [not-a-virus:RiskTool.Win32.BitCoinMiner.hxln, not-a-virus:RiskTool.Win32.BitCoinMiner.jtz ]
      От CyberHelper в разделе VirusDetector - Бесплатный онлайн-сервис проверки компьютера
      Ответов: 2
      Последнее сообщение: 11.02.2017, 20:43
    2. Ответов: 9
      Последнее сообщение: 08.10.2014, 13:55
    3. Карантин 3FC15277A5FB7F4496DF0D20EF5E19BA [not-a-virus:RiskTool.Python.Miner.b, not-a-virus:RiskTool.Win32.BitCoinMiner.mxx ]
      От CyberHelper в разделе VirusDetector - Бесплатный онлайн-сервис проверки компьютера
      Ответов: 1
      Последнее сообщение: 27.06.2014, 03:50
    4. Карантин 11C025C458ACDC7F129190D706975095 [not-a-virus:RiskTool.Win32.BitCoinMiner.mxx, not-a-virus:RiskTool.Win3= 2.HackKMS.g]
      От CyberHelper в разделе VirusDetector - Бесплатный онлайн-сервис проверки компьютера
      Ответов: 2
      Последнее сообщение: 31.05.2014, 03:34
    5. Ответов: 4
      Последнее сообщение: 17.12.2012, 23:37

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01042 seconds with 20 queries