Закрыто Зловред создаёт папку Skypee...

Статус
В этой теме нельзя размещать новые ответы.

Razey

Активный пользователь
Сообщения
666
Реакции
30
Баллы
408
Здравствуйте!

Снова мой компьютер и снова заражение. Прошу вылечить. Логи во вложении.
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,752
Реакции
1,735
Баллы
503
Соседнюю тему будем закрывать?
Post automatically merged:

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('\\domain3.npo\SYSVOL\DOMAIN3.NPO\scripts\LYT-SRV13.vbs', '');
 QuarantineFile('C:\Google\GoogleUpdate.lnk', '');
 QuarantineFile('C:\Google\omO.EXE', '');
 QuarantineFile('C:\Google\Windowsupdate.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\CLEAN.BAT', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\install.bat', '');
 DeleteFile('C:\Google\GoogleUpdate.lnk', '32');
 DeleteFile('C:\Google\omO.EXE', '32');
 DeleteFile('C:\Google\Windowsupdate.lnk', '32');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-1445806581-3462994987-2488258624-2853\Software\Microsoft\Windows\CurrentVersion\Run', 'AdopeFlash', 'x32');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-1445806581-3462994987-2488258624-2853\Software\Microsoft\Windows\CurrentVersion\Run', 'AdopeFlash', 'x64');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-1445806581-3462994987-2488258624-2853\Software\Microsoft\Windows\CurrentVersion\Run', 'AdopeUpdate', 'x32');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-1445806581-3462994987-2488258624-2853\Software\Microsoft\Windows\CurrentVersion\Run', 'AdopeUpdate', 'x64');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-1445806581-3462994987-2488258624-2853\Software\Microsoft\Windows\CurrentVersion\Run', 'Windows Update', 'x32');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-1445806581-3462994987-2488258624-2853\Software\Microsoft\Windows\CurrentVersion\Run', 'Windows Update', 'x64');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.



Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.
 
Последнее редактирование:

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,752
Реакции
1,735
Баллы
503
Надо понимать, что тот компьютер больше вам недоступен, верно?
Пожалуйста, доводите лечение до конца, т.е. когда об этом скажет консультант.
 

Razey

Активный пользователь
Сообщения
666
Реакции
30
Баллы
408
Надо понимать, что тот компьютер больше вам недоступен, верно?
Пожалуйста, доводите лечение до конца, т.е. когда об этом скажет консультант
Доступен. Я просто ждал, не появится ли сообщения о появлении зловред снова, и забыл об этом написать в теме. И просто забыл.
Если необходимо, готов выполнить дальнейшие рекомендации в той теме
 

Razey

Активный пользователь
Сообщения
666
Реакции
30
Баллы
408
Все вышеописанное выполнил, карантин отправил, новые логи во вложении
Post automatically merged:

Из личных наблюдений: папка skypee в корнях всех локальных дисков осталась...
 

Вложения

Последнее редактирование:

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,752
Реакции
1,735
Баллы
503
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

akok

Команда форума
Администратор
Сообщения
16,399
Реакции
13,033
Баллы
2,203

Razey

Активный пользователь
Сообщения
666
Реакции
30
Баллы
408
Если папки удалить вручную, после перезагрузки они восстанавливаются?
Нет... Вот уже минут 15-20 после перезагрузки прошло и папки не создаются после того, как их удалил до перезагрузки...

Логи FRST во вложении.
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,752
Реакции
1,735
Баллы
503
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    GroupPolicy: Restriction ? <==== ATTENTION
    Folder: C:\Google
    2019-01-09 13:55 - 2019-01-22 17:51 - 000000000 _RSHD C:\Google
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Razey

Активный пользователь
Сообщения
666
Реакции
30
Баллы
408
Fixlog.txt во вложении.
 

Вложения

Razey

Активный пользователь
Сообщения
666
Реакции
30
Баллы
408
Сейчас все норм... Давайте закрывать тему...

P.S. заражение появилось снова из-за того, что человек вставил заражённых флешку в мой комп и вместо нормальной папки запустил ярлык, который ссылался на файл в папке Skypee...
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,752
Реакции
1,735
Баллы
503
Поясните - сейчас опять та же проблема? Если да, делайте свежий CollectionLog.
 

akok

Команда форума
Администратор
Сообщения
16,399
Реакции
13,033
Баллы
2,203
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу