Перейти к содержимому


Фото
- - - - -

троян powershell avkill

вирус лечение PowerShell.AV

  • Закрыто Тема закрыта
20 ответов в этой теме

#1 solleater

solleater

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 29 Январь 2024 - 20:56

при запуске пк dr.web блокирует эти файлы. При заходе в диспетчер задач, на короткий отрезок времени, процессор нагружается под 100% и потом становится низкая загрузка, ссылка на яндекс диск с логами собранными через dr.web sysinfo https://disk.yandex.ru/d/zTBRws8DBm60Zgи фото с отчета по заблокированным процессам из dr.web антивируса

 

 

 

Прикрепленные файлы:

  • Прикрепленный файл  вир.jpg   256,03К   0 Скачано раз


#2 Dr.Robot

Dr.Robot

    Poster

  • Helpers
  • 3 194 Сообщений:

Отправлено 29 Январь 2024 - 20:56

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), DrWeb SysInfo. Дождитесь окончания работы сканера Dr. Web или CureIt!, прежде, чем запускать DrWeb SysInfo. Без логов помочь Вам не сможет даже самый квалифицированный специалист. Так как логи могут иметь большой объём, превышающий ограничения форума, то рекомендуем закачать их на какой-нибудь файлообменник, а на форуме указать ссылку.

2. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];



#3 Alexander007

Alexander007

    Foreign Member

  • Posters
  • 1 393 Сообщений:

Отправлено 29 Январь 2024 - 21:09

Подождите и не уходите от темы.  Ожидайте Вирусного аналитика.


Global Malware Hunting.


#4 Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 655 Сообщений:

Отправлено 29 Январь 2024 - 21:21

Сделайте логи FRST.

https://forum.drweb.com/index.php?showtopic=337255&p=908867



#5 solleater

solleater

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 29 Январь 2024 - 21:28

 

Сделайте логи FRST.

https://forum.drweb.com/index.php?showtopic=337255&p=908867

 

 у меня закрывается редактор реестра(



#6 Alexander007

Alexander007

    Foreign Member

  • Posters
  • 1 393 Сообщений:

Отправлено 29 Январь 2024 - 21:29

Попробуйте без , соберите отчет хотя бы из FRST , который Dmitry_rus дал... Чтобы получилось....


Сообщение было изменено Alexander007: 29 Январь 2024 - 21:30

Global Malware Hunting.


#7 solleater

solleater

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 29 Январь 2024 - 22:39

 

Сделайте логи FRST.

https://forum.drweb.com/index.php?showtopic=337255&p=908867

 

Прикрепленные файлы:

  • Прикрепленный файл  FRST.txt   40,92К   2 Скачано раз

Сообщение было изменено solleater: 29 Январь 2024 - 22:39


#8 Alexander007

Alexander007

    Foreign Member

  • Posters
  • 1 393 Сообщений:

Отправлено 29 Январь 2024 - 23:13

Где второй отчет Addition.txt ? Тоже необходимо , для него . 


Сообщение было изменено Alexander007: 29 Январь 2024 - 23:14

Global Malware Hunting.


#9 solleater

solleater

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 29 Январь 2024 - 23:21

Где второй отчет Addition.txt ? Тоже необходимо , для него . 

Прикрепленные файлы:

  • Прикрепленный файл  FRST.txt   40,92К   6 Скачано раз
  • Прикрепленный файл  Addition.txt   72,44К   5 Скачано раз


#10 Alexander007

Alexander007

    Foreign Member

  • Posters
  • 1 393 Сообщений:

Отправлено 29 Январь 2024 - 23:27

C:\Program Files (x86)\AltServer\AltServer.exe    

C:\Users\suck cock\AppData\Local\Programs\Opera GX\launcher.exe 

C:\Program Files\Google\Libs\WR64.sys ( не известный )
 
Проверьте по наличии VirusTotal  ,  следует отправить в вирусную лабораторию Dr.Web - укажите номер тикета .
 
Task: {413543E4-DF45-49CD-8E2E-443F793F9C5E} - System32\Tasks\Oracle Corporation => C:\Users\suck cock\AppData\Roaming\dialer_JavaApps\jre1.8.0_341\bin\dialer_java.exe [9049088 2023-11-30] (Java™ Platform SE 8) [Файл не подписан]
 
Хм интересно , подмена ..   Тоже следует отправить на ВирусТотал и проверьте .
 
C:\Users\suck cock\AppData\Roaming\dialer_JavaApps\jre1.8.0_341\bin\dialer_java.exe -  подозреваю на слово dialer - как Шпион или как там называют Дозвон....
 
Следует отправить vms.drweb.ru -указать номер тикета.

Сообщение было изменено Alexander007: 29 Январь 2024 - 23:31

Global Malware Hunting.


#11 solleater

solleater

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 29 Январь 2024 - 23:32

C:\Program Files (x86)\AltServer\AltServer.exe

 

8c0625e8a583aadf95e604a53480eaf11d717647cfb1457eefafcebb226d7c82 altserver.exe

 

130d0eaa6758b5683e92dd78dd143db51ed965a3b6d4482c5150c1098c4556ba launcher.exe

 

11bd2c9f9e2397c9a16e0990e4ed2cf0679498fe0fd418a3dfdac60b5c160ee5 wr64.sys



#12 Alexander007

Alexander007

    Foreign Member

  • Posters
  • 1 393 Сообщений:

Отправлено 29 Январь 2024 - 23:34

C:\Users\suck cock\AppData\Roaming\dialer_JavaApps\jre1.8.0_341\bin\dialer_java.exe - что по ним результату? по VT

 

Нашел кое левый хитрый сидит драйвер :

 

C:\Windows\xhunter1.sys - проверьте по наличии VT .


Сообщение было изменено Alexander007: 29 Январь 2024 - 23:38

Global Malware Hunting.


#13 solleater

solleater

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 29 Январь 2024 - 23:41

C:\Users\suck cock\AppData\Roaming\dialer_JavaApps\jre1.8.0_341\bin\dialer_java.exe - что по ним результату? по VT

 

Нашел кое левый хитрый сидит драйвер :

 

C:\Windows\xhunter1.sys - проверьте по наличии VT .

 

0d1fd685dc98d0c193529df3ddde7144d839f56b7b38251fd7039c33c0fcf760
 
ff0c7e0c924bef4ac0f9501148ce8dcd7fbd05b4f1563679c88be05bb9bdf159


#14 Alexander007

Alexander007

    Foreign Member

  • Posters
  • 1 393 Сообщений:

Отправлено 29 Январь 2024 - 23:45

C:\Users\suck cock\AppData\Roaming\dialer_JavaApps\jre1.8.0_341\bin\dialer_java.exe

C:\Program Files\Google\Libs\WR64.sys ( по ним частенько в системе лежит левые )

 

Оформите номер запроса для вирусного аналитика , раз есть подозрительные  - необходимо оформить vms.drweb.ru и с номер укажите тикета.


Сообщение было изменено Alexander007: 29 Январь 2024 - 23:46

Global Malware Hunting.


#15 solleater

solleater

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 29 Январь 2024 - 23:46

C:\Users\suck cock\AppData\Roaming\dialer_JavaApps\jre1.8.0_341\bin\dialer_java.exe

C:\Program Files\Google\Libs\WR64.sys

 

Оформите номер запроса для вирусного аналитика , раз есть подозрительные  - необходимо оформить vms.drweb.ru и с номер укажите тикета.

а мне их удалять просто или что с ними делать?



#16 Alexander007

Alexander007

    Foreign Member

  • Posters
  • 1 393 Сообщений:

Отправлено 29 Январь 2024 - 23:48

 

C:\Users\suck cock\AppData\Roaming\dialer_JavaApps\jre1.8.0_341\bin\dialer_java.exe

C:\Program Files\Google\Libs\WR64.sys

 

Оформите номер запроса для вирусного аналитика , раз есть подозрительные  - необходимо оформить vms.drweb.ru и с номер укажите тикета.

а мне их удалять просто или что с ними делать?

 

Ждать вирусного аналитика .  Оформите тикета.  Отправьте подозрительный файл в вирусную лабораторию Dr.Web (drweb.ru) и укажите номер тикета.


Сообщение было изменено Alexander007: 29 Январь 2024 - 23:51

Global Malware Hunting.


#17 solleater

solleater

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 29 Январь 2024 - 23:56

 

 

C:\Users\suck cock\AppData\Roaming\dialer_JavaApps\jre1.8.0_341\bin\dialer_java.exe

C:\Program Files\Google\Libs\WR64.sys

 

Оформите номер запроса для вирусного аналитика , раз есть подозрительные  - необходимо оформить vms.drweb.ru и с номер укажите тикета.

а мне их удалять просто или что с ними делать?

 

Ждать вирусного аналитика .  Оформите тикета.  Отправьте подозрительный файл в вирусную лабораторию Dr.Web (drweb.ru) и укажите номер тикета.

 

как узнать номер тикета?


 

 

C:\Users\suck cock\AppData\Roaming\dialer_JavaApps\jre1.8.0_341\bin\dialer_java.exe

C:\Program Files\Google\Libs\WR64.sys

 

Оформите номер запроса для вирусного аналитика , раз есть подозрительные  - необходимо оформить vms.drweb.ru и с номер укажите тикета.

а мне их удалять просто или что с ними делать?

 

Ждать вирусного аналитика .  Оформите тикета.  Отправьте подозрительный файл в вирусную лабораторию Dr.Web (drweb.ru) и укажите номер тикета.

 

это он? drweb.com #11127920



#18 Alexander007

Alexander007

    Foreign Member

  • Posters
  • 1 393 Сообщений:

Отправлено 30 Январь 2024 - 00:01

 

 

 

C:\Users\suck cock\AppData\Roaming\dialer_JavaApps\jre1.8.0_341\bin\dialer_java.exe

C:\Program Files\Google\Libs\WR64.sys

 

Оформите номер запроса для вирусного аналитика , раз есть подозрительные  - необходимо оформить vms.drweb.ru и с номер укажите тикета.

а мне их удалять просто или что с ними делать?

 

Ждать вирусного аналитика .  Оформите тикета.  Отправьте подозрительный файл в вирусную лабораторию Dr.Web (drweb.ru) и укажите номер тикета.

 

как узнать номер тикета?


 

 

C:\Users\suck cock\AppData\Roaming\dialer_JavaApps\jre1.8.0_341\bin\dialer_java.exe

C:\Program Files\Google\Libs\WR64.sys

 

Оформите номер запроса для вирусного аналитика , раз есть подозрительные  - необходимо оформить vms.drweb.ru и с номер укажите тикета.

а мне их удалять просто или что с ними делать?

 

Ждать вирусного аналитика .  Оформите тикета.  Отправьте подозрительный файл в вирусную лабораторию Dr.Web (drweb.ru) и укажите номер тикета.

 

это он? drweb.com #11127920

 

Все верно , ждите и завтра ответят..


Global Malware Hunting.


#19 solleater

solleater

    Newbie

  • Posters
  • 10 Сообщений:

Отправлено 30 Январь 2024 - 00:02

 

 

 

 

C:\Users\suck cock\AppData\Roaming\dialer_JavaApps\jre1.8.0_341\bin\dialer_java.exe

C:\Program Files\Google\Libs\WR64.sys

 

Оформите номер запроса для вирусного аналитика , раз есть подозрительные  - необходимо оформить vms.drweb.ru и с номер укажите тикета.

а мне их удалять просто или что с ними делать?

 

Ждать вирусного аналитика .  Оформите тикета.  Отправьте подозрительный файл в вирусную лабораторию Dr.Web (drweb.ru) и укажите номер тикета.

 

как узнать номер тикета?


 

 

C:\Users\suck cock\AppData\Roaming\dialer_JavaApps\jre1.8.0_341\bin\dialer_java.exe

C:\Program Files\Google\Libs\WR64.sys

 

Оформите номер запроса для вирусного аналитика , раз есть подозрительные  - необходимо оформить vms.drweb.ru и с номер укажите тикета.

а мне их удалять просто или что с ними делать?

 

Ждать вирусного аналитика .  Оформите тикета.  Отправьте подозрительный файл в вирусную лабораторию Dr.Web (drweb.ru) и укажите номер тикета.

 

это он? drweb.com #11127920

 

Все верно , ждите и завтра ответят..

 

спасибо большое за помощь и потраченное на меня время!!!



#20 AEV

AEV

    Newbie

  • Posters
  • 24 Сообщений:

Отправлено 30 Январь 2024 - 04:53

Интересна предыстория, какие действия привели к заражению?





Also tagged with one or more of these keywords: вирус лечение, PowerShell.AV

Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых