В работе Хотелось бы знать, что за срабатывания по переходу по ссылкам Curl.exe

Переводчик Google
Здравствуйте!

Программа ScreenConnect Client вам известна? Ставили самостоятельно?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код: 
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\Adm\AppData\Local\Temp\radA230C.ps1', '');
 QuarantineFile('C:\Users\Adm\AppData\Roaming\0113.exe', '');
 QuarantineFile('C:\Users\Public\Libraries\f694b002-3b0e-468e-97dc-65e98d6cf035\GoogleChromeUpdate.exe', '');
 QuarantineFile('C:\Windows\Setup\Scripts\MoveActiveHours.vbs', '');
 DeleteSchedulerTask('GoogleUpdater\GoogleCrashHandler');
 DeleteSchedulerTask('MoveActiveHours');
 DeleteSchedulerTask('WindowsTaskbarTrayUpdater1.2.1.1');
 DeleteFile('C:\Users\Adm\AppData\Local\Temp\radA230C.ps1', '32');
 DeleteFile('C:\Users\Adm\AppData\Local\Temp\radA230C.ps1', '64');
 DeleteFile('C:\Users\Adm\AppData\Roaming\0113.exe', '64');
 DeleteFile('C:\Users\Public\Libraries\f694b002-3b0e-468e-97dc-65e98d6cf035\GoogleChromeUpdate.exe', '64');
 DeleteFile('C:\Windows\Setup\Scripts\MoveActiveHours.vbs', '64');
 RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'Update Drivers NVIDEO_jjn', '32');
 RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'Update Drivers NVIDEO_jjn', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код: 
begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.
 
Хорошо, в ближайшее время выполню, только хотел добавить, что снова появилось срабатывание
.

Sandor написал(а):
Здравствуйте!

Программа ScreenConnect Client вам известна? Ставили самостоятельно?
Нажмите для раскрытия...
Возможно случайно запустил.
 
Последнее редактирование:
Да, есть заражение. Ждём.
 
Решил убрать некоторые строки из скрипта, т. к. передвижение «активных часов» было заложено в систему из файла ответов, созданного на основе конструктора от Christoph Schneegans. Было решено это сделать для предотвращения перезагрузки системы в неожиданное время.
 

Вложения

Хорошо. Далее:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3153524077-2464038285-4271191275-1001\...\MountPoints2: {39f55d90-82e2-11f0-b5e6-d43d7e93ef64} - "G:\setup\rsrc\Autorun.exe" 
HKU\S-1-5-21-3153524077-2464038285-4271191275-1002\...\MountPoints2: {39f55d90-82e2-11f0-b5e6-d43d7e93ef64} - "G:\setup\rsrc\Autorun.exe" 
HKU\S-1-5-21-3153524077-2464038285-4271191275-1003\...\MountPoints2: {39f55d90-82e2-11f0-b5e6-d43d7e93ef64} - "G:\setup\rsrc\Autorun.exe" 
CHR StartupUrls: Default -> "hxxp://yacdn.ru"
AV: Dr.Web Security Space (Enabled - Up to date) {250CDD7E-926B-AEFC-24F0-E203A6F6D244}
StartPowerShell:
Remove-MpPreference -ExclusionExtension ".exe"
Remove-MpPreference -ExclusionPath "C:\Users\Public"
Remove-MpPreference -ExclusionPath "C:\Windows"
Remove-MpPreference -ExclusionPath "C:\ProgramData"
Remove-MpPreference -ExclusionPath "C:\Users"
Remove-MpPreference -ExclusionPath "C:\Program Files (x86)"
Remove-MpPreference -ExclusionPath "C:\"
Remove-MpPreference -ExclusionPath "C:\Users\Adm\AppData\Local\Temp\456314ef-06db-4915-8e9d-639eea322995"
Remove-MpPreference -ExclusionPath "C:\Users\Adm\AppData\Local\Temp"
EndPowerShell:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора (если уже его закрыли).
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Последнее редактирование:
Sandor написал(а):
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Нажмите для раскрытия...


Мне не нужно, чтобы очищались эти данные браузера кроме, возможно, кеша.
 
Убрал очистку, выполняйте.
 
Хорошо. Последите, будет ли ещё детект и сообщите через некоторое время.

Пока проделайте завершающие шаги:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
А какова судьба тех файлов, которые я отправил по электронной почте? Они будут отправлены на анализ в Лаб. Касперского?
 
Да, карантин отправлен в ЛК, а также другим вендорам.
Но результат анализа появится не сразу.
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху Снизу