Страница 2 из 2 Первая 12
Показано с 21 по 27 из 27.

Подозрительное поведение файлов (заявка № 215855)

  1. #21
    Junior Member Репутация
    Регистрация
    21.11.2009
    Адрес
    UA
    Сообщений
    19
    Вес репутации
    53
    16 engines detected this file
    SHA-256 383fb20a85ae8113f429107b2148e88de5fc5df7878c9d5dc8 169fab326943b2
    File name ESET NOD32 Antivirus 1012100 License Keys (x86x64) [Latest].iso
    File size 1.26 MB
    Last analysis 2017-11-02 06:11:43 UTC

    Удален

    2 engines detected this file
    SHA-256 c4241de801297f2f068851667f50fa0b237c2610799b96e1d5 e7b6b483523ed3
    File name Microsoft_Toolkit_2.6.6_Free_Activator.iso
    File size 840 KB
    Last analysis 2017-09-21 21:29:20 UTC
    Удален


    FRST Fixlog прикреплен

    DESKTOP-RMIG4N8_2017-11-02_02-52-14.7z - на Google Drive
    https://drive.google.com/open?id=0B-...Tg5SWxTd0VLZkE
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #22
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Скопируйте скрипт из окна "код" ниже в буфер обмена:
    Код:
    ;uVS v4.0.10 [http://dsrt.dyndns.org]
    ;Target OS: NTv10.0
    v400c
    OFFSGNSAVE
    cexec tools\CreateRestorePoint.exe BeforeCure
    
    sreg
    
    zoo %SystemDrive%\USERS\DAD\APPDATA\LOCAL\IMEKCVP\UNIZPVC.EXE
    addsgn 1AC68E9A5583338CF42BFB3A884BFE15DAFFF07BC40AF72F7F3C3A371D26F2355716BD4FB3106D194387859F46E93CF2955F127255597420A6BF4F3C4C8FB273 8 Trojan:Win32/Tiggre!plock [Microsoft] 7
    
    zoo %SystemDrive%\USERS\DAD\APPDATA\LOCAL\IMEKCVP\IMEKCVP.EXE
    addsgn 1A7E709B55834C720BD4C4A50C28AA492562154689FAF72B09C3C5B3E7261B4ECB32C4563E0C2504718084F97F1349FA3DDF9C7666015B1F8C4BA46FC7879A73 8 TrojanProxy:Win32/Wonknod.A [Microsoft] 7
    
    zoo %Sys32%\DRIVERS\MSIDNTFS.SYS
    addsgn BA652BBE5D3D04F1E7F4E63ABE8099FCCD49A5F789B294ABCD480AF4DB8A557C6B94077761BC1BF6D47F48538ADA8536B11324BE9916D64A2268202FC7062273 48 Rootkit.Agent.PUA [Malwarebytes] 7
    
    chklst
    delvir
    
    deldir %SystemDrive%\USERS\DAD\APPDATA\LOCAL\IMEKCVP\
    deldir C:\WINDOWS\system32\utcvrez
    zoo %SystemRoot%\TEMP\MSCZLKDSRV.EXE
    delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\LOCAL\HOST APP SERVICE\ENGINE\HOSTAPPSERVICE.EXE
    delref %SystemRoot%\SYSWOW64\DRIVERS\UZI2ODKY.SYS
    delref %SystemDrive%\PROGRAM FILES (X86)\TOSHIBA\TOSHIBA BLUETOOTH DEVICE PROFILE UTILITY\TOSBT_NOTIFICATIONSCHEDULER.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\GOOGLEUPDATE.EXE
    deltmp
    czoo
    apply
    areg
    Закройте все броузеры, запустите командный файл script.cmd из папки с uVS. Когда откроется окно со скриптом, нажмите "Выполнить".
    Компьютер перезагрузится.

    В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

    Сделайте новый полный образ автозапуска uVS, загрузите в доступное облачное хранилище и дайте ссылку.
    WBR,
    Vadim

  4. Это понравилось:


  5. #23
    Junior Member Репутация
    Регистрация
    21.11.2009
    Адрес
    UA
    Сообщений
    19
    Вес репутации
    53
    Лог выполнения прикреплен

    Архив загружен в карантин
    Файл сохранён как 171104_044703_ZOO_2017-11-03_20-58-04_59fd1c17ca0c6.zip
    Размер файла 963099
    MD5 35ddab72aa8025fa993d87bcae7fe05e


    Новый полный образ автозапуска UVS
    https://drive.google.com/open?id=0B-...TlVVl85Uk9MVms
    Вложения Вложения

  6. #24
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Загрузите Windows 10 в безопасном режиме.

    Скопируйте скрипт из окна "код" ниже в буфер обмена:
    Код:
    ;uVS v4.0.10 [http://dsrt.dyndns.org]
    ;Target OS: NTv10.0
    v400c
    OFFSGNSAVE
    
    sreg
    
    addsgn 1A7E709B55834C720BD4C4A50C28AA492562154689FAF72B09C3C5B3E7261B4ECB32C4563E0C2504718084F97F1349FA3DDF9C7666015B1F8C4BA46FC7879A73 8 TrojanProxy:Win32/Wonknod.A [Microsoft] 7
    addsgn 1AC68E9A5583338CF42BFB3A884BFE15DAFFF07BC40AF72F7F3C3A371D26F2355716BD4FB3106D194387859F46E93CF2955F127255597420A6BF4F3C4C8FB273 8 Trojan:Win32/Tiggre!plock [Microsoft] 7
    addsgn BA652BBE5D3D04F1E7F4E63ABE8099FCCD49A5F789B294ABCD480AF4DB8A557C6B94077761BC1BF6D47F48538ADA8536B11324BE9916D64A2268202FC7062273 48 Rootkit.Agent.PUA [Malwarebytes] 7
    delall %SystemRoot%\TEMP\MSCZLKDSRV.EXE
    
    chklst
    delvir
    zoo %Sys32%\DRIVERS\RASLPSVY.SYS
    delall %Sys32%\DRIVERS\RASLPSVY.SYS
    apply
    
    areg
    Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
    Компьютер перезагрузится.

    Лог выполнения скрипта прикрепите, новый ZOO_ - в карантин, новый образ автозапуска сделайте тоже в безопасном режиме.

    Живучие трояны попались...
    WBR,
    Vadim

  7. Это понравилось:


  8. #25
    Junior Member Репутация
    Регистрация
    21.11.2009
    Адрес
    UA
    Сообщений
    19
    Вес репутации
    53
    Лог прикреплен


    Образ автозапуска на GDrive
    https://drive.google.com/open?id=0B-...lBZU2hMempTVEk

    ZOO - не создавался, пробовал несколько раз, даже изменил ваш скрипт - добавил 'czoo' - но архив не создался..
    Вложения Вложения

  9. #26
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Тяжёлый случай. Какой-то LiveCD/LiveUSB под рукой есть?

    Попробуйте пролечиться этим:
    https://www.esetnod32.ru/download/utilities/livecd/
    Последний раз редактировалось Vvvyg; 06.11.2017 в 21:54.
    WBR,
    Vadim

  10. #27
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 11
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Leecher, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 2 из 2 Первая 12

    Похожие темы

    1. Подозрительное поведение ПК
      От Turbograph в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 04.09.2017, 20:46
    2. Подозрительное поведение ОС
      От BooZ в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 05.09.2011, 23:56
    3. Подозрительное поведение ПК
      От Genie в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 08.06.2010, 09:45
    4. Подозрительное поведение
      От SlavikS70 в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 02.03.2010, 08:53
    5. Подозрительное поведение
      От refs в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 01.11.2009, 13:24

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00679 seconds with 19 queries