файл заражен - Форум технической поддержки ESET NOD32

Сообщений: 24

Баллов: 12

Регистрация: 04.01.2018

Размещено 04.01.2018 10:47:06

Здравствуйте.

Помогите пожалуйста.

При скачивание файла с инета в виде файла зип архива ( другие пока не пробовал ) антивирус пишет что файл заражен.

Установлена пробная версия ESET Smart Security

Операционная система Windows 10 Pro

Прикрепленные файлы

2018-01-04_102030.png (14.38 КБ)

DESKTOP-S9CRD6I_2018-01-04_11-04-48.7z (861.61 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 04.01.2018 10:55:10

Вениамин,
добавьте образ автозапуска системы.

[ Как создать образ автозапуска? ]

Сообщений: 24

Баллов: 12

Регистрация: 04.01.2018

Размещено 04.01.2018 11:26:33

Образ автозапуска не прикреплялся.

Писал что файл заражен. Просканировал антивирусом и он прикрепился.

Прикрепленные файлы

DESKTOP-S9CRD6I_2018-01-04_11-04-48.7z (861.61 КБ)

Изменено: Вениамин Шульц - 04.01.2018 11:27:58

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 04.01.2018 11:45:07

Вениамин,
сделайте еще раз полный образ автозапуска (с проверкой по цифровым сертификатам)
слишком много сейчас подозрительных файлов по причине, что системные файлы без проверки по сертификатам.

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 04.01.2018 12:00:24

+
похоже у вас левые настройки DNS:
35.177.46.238,46.101.28.31,82.202.226.203,192.168.0.1

https://www.nic.ru/whois/?query=35.177.46.238

Цитата
OrgName: Amazon Technologies Inc. OrgId: AT-88-Z Address: 410 Terry Ave N. City: Seattle StateProv: WA PostalCode: 98109 Country: US

[ Как создать образ автозапуска? ]

Сообщений: 24

Баллов: 12

Регистрация: 04.01.2018

Размещено 04.01.2018 12:12:57

В списке есть просто - сохранить полный образ автозапуска... - и есть - сохранить полный образ автозапуска без проверки ЭЦП -

Прикрепляю архив выполненный - сохранить полный образ автозапуска... -

Прикрепленные файлы

DESKTOP-S9CRD6I_2018-01-04_12-02-52.7z (872.04 КБ)
Doc1.pdf (291.41 КБ)

Сообщений: 24

Баллов: 12

Регистрация: 04.01.2018

Размещено 04.01.2018 12:19:27

И что мне делать с DNS ?

Может вот это что то скажет?

Прикрепленные файлы

2018-01-04_122310.png (47.59 КБ)

Изменено: Вениамин Шульц - 04.01.2018 12:24:06

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 04.01.2018 12:26:09

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.0.10 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v400c OFFSGNSAVE setdns Ethernet\4\{D85768F7-8EC9-4299-9854-8AE967C73E88}\8.8.8.8,8.8.4.4 ;------------------------autoscript--------------------------- delref %SystemDrive%\USERS\VENIA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OPNDLMOLNPFIPNGOJIFOLIFOJJNJEODC\1.1.8_0\RU SAVEFROM NET delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC apply deltmp delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL delref %SystemRoot%\SYSWOW64\APPVETWCLIENTRES.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCLR.SYS delref %SystemRoot%\SYSWOW64\W32TIME.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL delref %SystemRoot%\SYSWOW64\CSCSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL delref %SystemRoot%\SYSWOW64\LSM.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS delref %SystemRoot%\SYSWOW64\BLANK.HTM delref %Sys32%\DRIVERS\VMBUSR.SYS delref %Sys32%\BLANK.HTM delref HELPSVC\[SERVICE] delref SACSVR\[SERVICE] delref TBS\[SERVICE] delref VMMS\[SERVICE] delref MESSENGER\[SERVICE] delref RDSESSMGR\[SERVICE] delref %Sys32%\TETHERINGSETTINGHANDLER.DLL delref %Sys32%\QUICKACTIONSPS.DLL delref %Sys32%\CHTADVANCEDDS.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL delref %SystemRoot%\SYSWOW64\TTLSEXT.DLL delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE delref %SystemRoot%\SYSWOW64\TAPILUA.DLL delref %SystemRoot%\SYSWOW64\WBEM\KEYBOARDFILTERWMI.DLL delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL delref %SystemRoot%\SYSWOW64\LISTSVC.DLL delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE delref %SystemRoot%\SYSWOW64\GPSVC.DLL delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL ;------------------------------------------------------------- restart

Код


;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
setdns Ethernet\4\{D85768F7-8EC9-4299-9854-8AE967C73E88}\8.8.8.8,8.8.4.4
;------------------------autoscript---------------------------

delref %SystemDrive%\USERS\VENIA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OPNDLMOLNPFIPNGOJIFOLIFOJJNJEODC\1.1.8_0\RU SAVEFROM NET
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\APPVETWCLIENTRES.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCLR.SYS
delref %SystemRoot%\SYSWOW64\W32TIME.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\BLANK.HTM
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %Sys32%\CHTADVANCEDDS.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemRoot%\SYSWOW64\TTLSEXT.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemRoot%\SYSWOW64\WBEM\KEYBOARDFILTERWMI.DLL
delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL
delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Сообщений: 24

Баллов: 12

Регистрация: 04.01.2018

Размещено 04.01.2018 13:56:38

Результаты.

Применил скрип. Запустил Malwarebytes . Поместил найденные угрозы в карантин. Удалил в карантине. Перезагрузил.

Опять запустил Malwarebytes, обнаружились опять угрозы ( тоже самые ), опять поместил в карантин, в карантине удалил. Перезагрузил

Получил, отключение банковской карты без возможности включения.

Запустил Malwarebytes ( третий раз ) обнаружились опять угрозы ( тоже самые ), опять поместил в карантин, не удаляю.

Прикрепляю срин, меню банковской карты, файл результата сканирования Malwarebytes и т.д.

:cry:

Прошу прощение прикрепил не последний отчет Malwarebytes

Прикрепляю

Прикрепленные файлы

Три проверки три одни и теже угрозы.jpg (193.79 КБ)

Включить не получается.jpg (122.27 КБ)

Отключилась защита банковской карты.jpg (123.8 КБ)

Три проверки три одинаковые угрозы.txt (2.54 КБ)
Результат сканировани.txt (2.54 КБ)
последний отчет.txt (2.42 КБ)

Изменено: Вениамин Шульц - 04.01.2018 14:05:54

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 04.01.2018 15:20:56

защиту банковской карты просто включите через интерфейс.
по малваребайт мы ведь не просим вас все найденное удалить, просто покажите текстовый лог, что он там находит.
----------
лог малваребайт посмотрел, удалять ничего не надо.

кратко опишите что сейчас с первоначальной проблемой.

[ Как создать образ автозапуска? ]

[ Закрыто ] файл заражен