Перейти к содержимому


Фото
* * * * - 2 Голосов

Скачал вирус вместе с программкой

вирус

  • Please log in to reply
95 ответов в этой теме

#81 ХХХ

ХХХ

    Newbie

  • Posters
  • 91 Сообщений:

Отправлено 25 Август 2017 - 18:54

Kaztur, А на сколько примерно процентов заполнена шкала?



#82 Kaztur

Kaztur

    Newbie

  • Posters
  • 49 Сообщений:

Отправлено 25 Август 2017 - 19:02

Желательно загрузить на virustotal.com и прислать нам результат.

Не могу загрузить на virustotal файлы - выбираю, а всё равно пишет, что файл не выбран.

При запуске Винды запускается сразу же процесс KMS Auto, расположение файла: /win/f:/Windows/System32/SppExtComObj.Exe

Cureit при попытке выбора файла для сканирования просто не видит его (и много других файлов не видит).

Можно его удалить или это виндовый какой-нибудь файл?

Также при запуске винды сразу пытается открыться браузер с рекламной ссылкой.


Сообщение было изменено Kaztur: 25 Август 2017 - 19:04


#83 Kaztur

Kaztur

    Newbie

  • Posters
  • 49 Сообщений:

Отправлено 25 Август 2017 - 19:03

Kaztur, А на сколько примерно процентов заполнена шкала?

 

Kaztur, А на сколько примерно процентов заполнена шкала?

Почти полностью была заполнена, и так на протяжении последних нескольких часов, при этом, скорость сканирования файлов упала (сканировались драйвера), но кол-во просканированных файлов росло.



#84 Kaztur

Kaztur

    Newbie

  • Posters
  • 49 Сообщений:

Отправлено 25 Август 2017 - 19:18

ХХХ, забыл упомянуть - я отдельно выбрал помимо директорий системные файлы (там две группы при выборе мест для сканирования) - может поэтому у меня долго сканируется...



#85 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 25 Август 2017 - 19:33

При запуске Винды запускается сразу же процесс KMS Auto, расположение файла: /win/f:/Windows/System32/SppExtComObj.Exe
Можно его удалить или это виндовый какой-нибудь файл?

SppExtComObj.Exe это системный модуль. а вот если есть еще SppExtComObjPatcher.Exe или как то так то это уже от кряка активации.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#86 Kaztur

Kaztur

    Newbie

  • Posters
  • 49 Сообщений:

Отправлено 25 Август 2017 - 19:42

Konstantin Yudin, не совсем понимаю, что показывает hijack, но вот думаю: при запуске винды снова открылся хром с рекламным сайтом. Я запустил hijacj и там пофиксил строку HKCU (если не ошибаюсь) со строчкой адреса этого сайта.

Вопрос в том, значит где-то зараза ещё сидит или это вирус ранее прописал (если я его уже удалил), а команда открывать этот сайт не стёрлась и, таким образом, я просто удалил его хвост?

 

ЗЫ Патчера нет вроде в папке.


Сообщение было изменено Kaztur: 25 Август 2017 - 19:43


#87 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 25 Август 2017 - 20:01

с этим хайджеком мы не все видим. устарел.

соберите отчет как написано тут: http://forum.esetnod32.ru/forum9/topic2798/
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#88 ХХХ

ХХХ

    Newbie

  • Posters
  • 91 Сообщений:

Отправлено 25 Август 2017 - 20:06

ХХХ, забыл упомянуть - я отдельно выбрал помимо директорий системные файлы (там две группы при выборе мест для сканирования) - может поэтому у меня долго сканируется...

Сканирование идёт или прервано?



#89 Kaztur

Kaztur

    Newbie

  • Posters
  • 49 Сообщений:

Отправлено 25 Август 2017 - 20:08

с этим хайджеком мы не все видим. устарел.

соберите отчет как написано тут: http://forum.esetnod32.ru/forum9/topic2798/

ХХХ, почти до конца было завершено)

Прикрепленные файлы:

  • Прикрепленный файл  Addition.txt   61,41К   3 Скачано раз
  • Прикрепленный файл  FRST.txt   75,86К   5 Скачано раз


#90 Kaztur

Kaztur

    Newbie

  • Posters
  • 49 Сообщений:

Отправлено 25 Август 2017 - 20:11

Keylogger, если что, это давно стояло, и я про прогу в курсе.



#91 ХХХ

ХХХ

    Newbie

  • Posters
  • 91 Сообщений:

Отправлено 25 Август 2017 - 20:12

 

с этим хайджеком мы не все видим. устарел.

соберите отчет как написано тут: http://forum.esetnod32.ru/forum9/topic2798/

ХХХ, почти до конца было завершено)

 

Не понял! Вы его прервали или оно ещё идёт?



#92 RomaNNN

RomaNNN

    Ковальски

  • Posters
  • 6 001 Сообщений:

Отправлено 25 Август 2017 - 20:19

ХХХ, хватит засорять тему бессмысленными вопросами, уже на страницу нафлудили. Какая разница сколько осталось процентов, сколько времени осталось? Это все неважно, осталось что-то неизвестное сканеру, что надо смотреть по логам других программ.

 

Если нечего сказать, лучше промолчите.

 

Модератор.


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#93 Dmitry Shutov

Dmitry Shutov

    Poster

  • Virus Hunters
  • 1 677 Сообщений:

Отправлено 25 Август 2017 - 20:23

 

с этим хайджеком мы не все видим. устарел.

соберите отчет как написано тут: http://forum.esetnod32.ru/forum9/topic2798/

ХХХ, почти до конца было завершено)

 

 

 

Теперь осталось найти человека кто напишет хороший скрипт ))) (утилита классная)

 

Вчера вроде много что убирали, а судя по логам все на местах ((

 

Вот это тоже не есть хорошо...вообщем ждите кто напишет норм скрипт.

 

 

AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [149]

AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [124]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [149]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [124]


#94 Kaztur

Kaztur

    Newbie

  • Posters
  • 49 Сообщений:

Отправлено 25 Август 2017 - 20:26

 

 

с этим хайджеком мы не все видим. устарел.

соберите отчет как написано тут: http://forum.esetnod32.ru/forum9/topic2798/

ХХХ, почти до конца было завершено)

 

 

 

Теперь осталось найти человека кто напишет хороший скрипт ))) (утилита классная)

 

Вчера вроде много что убирали, а судя по логам все на местах ((

 

Вот это тоже не есть хорошо...вообщем ждите кто напишет норм скрипт.

 

 

AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [149]

AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [124]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [149]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [124]

 

Не понял, что за скрипт?



#95 Dmitry Shutov

Dmitry Shutov

    Poster

  • Virus Hunters
  • 1 677 Сообщений:

Отправлено 25 Август 2017 - 20:30

 

 

 

с этим хайджеком мы не все видим. устарел.

соберите отчет как написано тут: http://forum.esetnod32.ru/forum9/topic2798/

ХХХ, почти до конца было завершено)

 

 

 

Теперь осталось найти человека кто напишет хороший скрипт ))) (утилита классная)

 

Вчера вроде много что убирали, а судя по логам все на местах ((

 

Вот это тоже не есть хорошо...вообщем ждите кто напишет норм скрипт.

 

 

AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [149]

AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [124]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [149]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [124]

 

Не понял, что за скрипт?

 

 

 

Пишется скрипт для этой утилиты, и в ней же применяться (чтобы вычистить malware) 



#96 Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 623 Сообщений:

Отправлено 26 Август 2017 - 12:00

FRST перечисляет ADS подобно этому:

==================== Alternate Data Streams (whitelisted) ==========
AlternateDataStreams: C:\Windows\System32\ЛегитимныйФайл:malware.exe [134]
AlternateDataStreams: C:\malware:malware.exe [134]

Размер ADS (количество содержащихся байт) отображается в квадратных скобках в конце пути.

Если поток присоединен к легитимному файлу или папке, то для фикса нужно целиком скопировать и вставить всю строку из лога в fixlist:

AlternateDataStreams: C:\Windows\System32\ЛегитимныйФайл:malware.exe [134]

Если поток во вредоносном файле / папке, то фикс будет выглядеть так:

C:\malware

В первом случае FRST удалит только сам поток из файла или папки.
Во втором случае файл или папка будет удалена.





Also tagged with one or more of these keywords: вирус

Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых