Здравствуйте, точно такая же проблема, лог Sisinfo прикрепляю
точно такая же проблема: powershell.AVKILL.10
#1
Отправлено 09 Январь 2024 - 23:10
#2
Отправлено 09 Январь 2024 - 23:21
Здравствуйте, точно такая же проблема, лог Sisinfo прикрепляю
https://drive.google.com/file/d/1ETAFaEzublcRvBiOk3qLPrOFuQyKtgnI/view?usp=sharing
Большой архив получился, даже с учётом сжатия, тоже качал Активатор офиса, наверное даже с того же источника
Сообщение было изменено warkxeir: 09 Январь 2024 - 23:22
#3
Отправлено 10 Январь 2024 - 09:00
Отчет посмотрю, а пока напишите одно сообщение и тогда вам откроется функция отправки личных сообщений. После этого напишите мне в ЛС сайт, откуда качали активатор.
#4
Отправлено 10 Январь 2024 - 10:54
Заражение произошло лишь потому, что вы самостоятельно отключили SpiderGuard компонент перед запуском троянизированного активатора...
#5
Отправлено 10 Январь 2024 - 14:18
Спасибо за сайт. Что с проблемой? После ребута ушла?
#6
Отправлено 10 Январь 2024 - 14:25
Сообщение было изменено warkxeir: 10 Январь 2024 - 14:25
#7
Отправлено 10 Январь 2024 - 15:11
Спасибо за логи FRST , отправил Ivan Korolev ( в ЛС ) , разберется с вами. Есть три трой в системе лежит от KMS и один по них следы майнер остались , по моему KMS -плохая штуковина .
Сообщение было изменено Alexander007: 10 Январь 2024 - 15:11
Global Malware Hunting.
#8
Отправлено 10 Январь 2024 - 15:26
#11106080 номер тикета
#9
Отправлено 10 Январь 2024 - 16:47
#10
Отправлено 10 Январь 2024 - 16:52
#11
Отправлено 10 Январь 2024 - 18:58
пока жду ответа по первому тикету, как ответят отправлю ещё файлов
Тикет можно еще отправить как сказал VVYG , отправить в вирусную лабораторию , это процесс ускорение для массового лечение, когда есть троян .
Сообщение было изменено Alexander007: 10 Январь 2024 - 19:00
Global Malware Hunting.
#12
Отправлено 10 Январь 2024 - 19:51
Сам скрипт вот, а sukibas.exe (AutoIT)
"C:\Users\kapit\AppData\Roaming\ServiceData\Sukibas.jpg" - https://www.virustotal.com/gui/file/b45607fc7941f3e4b12f68607383b03434a6bffd5787529739e15b41322b0f28/detection
<file path="C:\users\kapit\appdata\roaming\servicedata\sukibas.jpg" size="563470" easize="104" links="1" device_type="7" device_characteristics="131104" ctime="07.01.2024 22:03:35.0480" atime="09.01.2024 22:38:29.0709" wtime="07.01.2024 22:03:35.0481">
<attrib archive="true" value="20" security="O:S-1-5-21-2727802355-4278831283-3519307028-1001G:S-1-5-21-2727802355-4278831283-3519307028-1001D:(A;;FA;;;SY)(A;;FA;;;BA)(A;;FA;;;S-1-5-21-2727802355-4278831283-3519307028-1001)" /><hash sha1="89aa99009e1e18a6a1ac2e25d6ae69bc1d88eff0" sha256="b45607fc7941f3e4b12f68607383b03434a6bffd5787529739e15b41322b0f28" />
Сэмпл не нашел (( , надеюсь аналитики заберут с VT
#13
Отправлено 10 Январь 2024 - 20:25
Нашел ПО, похожую на нем если входит по ветке : #11106319 , если что отправил.
Сообщение было изменено Alexander007: 10 Январь 2024 - 20:26
Global Malware Hunting.
#14
Отправлено 11 Январь 2024 - 13:27
Это в файле, который .jpg
#15
Отправлено 11 Январь 2024 - 15:23
1) Провести полную дезинфекцию вируса с помощью , CurEITУгроза: Trojan.AutoIt.1285
Это в файле, который .jpg
2) После дезинфекций вируса , прикрепить новый отчет Dr.Web Sysinfo .
3) Выполнить в конце свежую FRST , дополнение , чтобы узнать ли прошло с лечением ( в ЛС ).
Сообщение было изменено Alexander007: 11 Январь 2024 - 15:23
Global Malware Hunting.
#16
Отправлено 11 Январь 2024 - 15:55
>Провести полную дезинфекцию вируса с помощью , CurEIT
Какой в этом смысл, если там полноценный продукт стоит?....
#17
Отправлено 11 Январь 2024 - 16:01
#18
Отправлено 11 Январь 2024 - 16:15
Ой , не заметил извини за мою допущенную ошибку , променять слово CureIT , на Dr.Web Scanner ( основной продукт ) . Я в слепую не увидел его полноценную версию . Спасибо что сказал мне>Провести полную дезинфекцию вируса с помощью , CurEIT
Какой в этом смысл, если там полноценный продукт стоит?....
Dr.Web CureIT - это утилита и средство лечение , как в полноценном составе продукта Dr.Web Scanner , но имеют ограниченный функционал. Это вспомогательный сканер , когда необходимо уничтожить вирус , например на заблокированном системе например майнер , не дает запустить систему . Эта утилита разработанной специалистами Dr.Web . Dr.Web Rescue Disc входит в состав CureIT .CurEIT это что?
Сообщение было изменено Alexander007: 11 Январь 2024 - 16:17
Global Malware Hunting.
#19
Отправлено 11 Январь 2024 - 16:47
#20
Отправлено 11 Январь 2024 - 16:53
и в итоге что делать, просто заного сканером полностью проверить или что?
Сначала , обновить вирусную базу , потом провести полную проверку с помощью Dr.Web Scanner ( полный продукт ), а потом отчет .
Должно удалить эту заразу , потом перезагрузись систему и сообщите с результатом.
Сообщение было изменено Alexander007: 11 Январь 2024 - 16:55
Global Malware Hunting.
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых