task.vbs, taskIC.vns, task.xml в user/Documents - Форум технической поддержки ESET NOD32

Сообщений: 5

Баллов: 2

Регистрация: 22.10.2024

Размещено 22.10.2024 08:52:06

Приветствую,

Стали появляться файлы задач в user/Documents: tsk.vbs, taskIC.vns, task.xml. Помогите, пожалуйста, очистить и понять что из паролей и доступов могло быть скомпрометировано, если это возможно.

Лог uvs прилагаю

Прикрепленные файлы

MSI_2024-10-22_08-41-15_v4.99.2v x64.7z (643.02 КБ)

Сообщений: 5270

Баллов: 8441

Регистрация: 12.05.2010

Размещено 22.10.2024 17:29:40

1. Запустите файл Start.exe из папки с программой uVS, скаченной Вами ранее.
2. В стартовом окне программы - нажмите "Запустить под текущим пользователем".
3. Скопируйте текст скрипта ниже (перед выполнением скрипта закройте все браузеры ):

Код
;uVS v4.99.2v x64 [http://dsrt.dyndns.org:8888] ;Target OS: NTv11.0 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- delall %SystemDrive%\USERS\PERKO\APPDATA\LOCAL\TEMP\0700B085-00F4-4737-A545-8DF3C8144585.TMP.NODE delall %SystemDrive%\USERS\PERKO\APPDATA\LOCAL\TEMP\A0201835-C39A-4176-8FE4-FC2913545963.TMP.NODE delall %SystemDrive%\USERS\PERKO\APPDATA\LOCAL\TEMP\AF645061-342A-457A-BEA0-E4DCA3668B47.TMP.NODE delall %SystemDrive%\PROGRAM FILES\QBITTORRENTPRO\RESOURCES\APP.ASAR.UNPACKED\DIST\ELECTRON\B67B4AB7EBBAC637CF6C.DLL delall %SystemDrive%\USERS\PERKO\APPDATA\LOCAL\TEMP\F3DA1F58-365C-45FB-B87C-3923B119E30A.TMP.NODE delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DACBCHKAHFMNDKENEFKCKLOFJMIPGHJJP%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOHEDCGLHBBFDGAOGJHCCLACOCCBAGKJG%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://EXTENSION-UPDATES.OPERA.COM/API/OMAHA/UPDATE/?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEPEBFCEHMDEDOGNDHLCACAFJAACKNBCM%26INSTALLSOURCE%3DONDEMAND%26UC delall %SystemDrive%\PROGRAM FILES\QBITTORRENTPRO\QBITTORRENTPRO.EXE delall %SystemDrive%\USERS\PERKO\DOCUMENTS\TASK.VBS delall %SystemDrive%\USERS\PERKO\DOCUMENTS\TASKIC.VBS zoo %SystemDrive%\USERS\PERKO\APPDATA\LOCAL\PROGRAMS\COM.GAMETOP.LAUNCHER\GT-LAUNCHER.EXE addsgn BA6F9BB2BD614C720B9C2D754C2168FBDA75303AC173435CA5968D37BC9EF2A0035F48524E2C374D633BB63D993BD0D17DDFA04996AFC464AE12BC2F8F8B6F6B 37 AdWare.Win32.ExtInstaller.ep 7 chklst delvir delref D:\AUTORUN.EXE apply regt 27 deltmp delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID] delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] ;------------------------------------------------------------- czoo restart

Код


;uVS v4.99.2v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\PERKO\APPDATA\LOCAL\TEMP\0700B085-00F4-4737-A545-8DF3C8144585.TMP.NODE
delall %SystemDrive%\USERS\PERKO\APPDATA\LOCAL\TEMP\A0201835-C39A-4176-8FE4-FC2913545963.TMP.NODE
delall %SystemDrive%\USERS\PERKO\APPDATA\LOCAL\TEMP\AF645061-342A-457A-BEA0-E4DCA3668B47.TMP.NODE
delall %SystemDrive%\PROGRAM FILES\QBITTORRENTPRO\RESOURCES\APP.ASAR.UNPACKED\DIST\ELECTRON\B67B4AB7EBBAC637CF6C.DLL
delall %SystemDrive%\USERS\PERKO\APPDATA\LOCAL\TEMP\F3DA1F58-365C-45FB-B87C-3923B119E30A.TMP.NODE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DACBCHKAHFMNDKENEFKCKLOFJMIPGHJJP%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOHEDCGLHBBFDGAOGJHCCLACOCCBAGKJG%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://EXTENSION-UPDATES.OPERA.COM/API/OMAHA/UPDATE/?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEPEBFCEHMDEDOGNDHLCACAFJAACKNBCM%26INSTALLSOURCE%3DONDEMAND%26UC
delall %SystemDrive%\PROGRAM FILES\QBITTORRENTPRO\QBITTORRENTPRO.EXE
delall %SystemDrive%\USERS\PERKO\DOCUMENTS\TASK.VBS
delall %SystemDrive%\USERS\PERKO\DOCUMENTS\TASKIC.VBS
zoo %SystemDrive%\USERS\PERKO\APPDATA\LOCAL\PROGRAMS\COM.GAMETOP.LAUNCHER\GT-LAUNCHER.EXE
addsgn BA6F9BB2BD614C720B9C2D754C2168FBDA75303AC173435CA5968D37BC9EF2A0035F48524E2C374D633BB63D993BD0D17DDFA04996AFC464AE12BC2F8F8B6F6B 37 AdWare.Win32.ExtInstaller.ep 7

chklst
delvir

delref D:\AUTORUN.EXE
apply

regt 27
deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
;-------------------------------------------------------------
czoo
restart

4. Далее выберите меню Скрипт - Выполнить скрипт, находящийся в буфере обмена. Вставьте скопированный ранее скрипт и выполните его.
5. Компьютер перезагрузится. После перезагрузки, пришлите, пожалуйста, мне в личные сообщения папку или содежимое папки zoo, которая находится в папке с утилитой uVs, предварительно поместив её в архив с паролем infected.
6. Скачайте и запустите Farbar Recovery Scan Tool (выберите программу для своей разрядности системы: 32-битную или 64-битную). Если появится предупреждение о запуске - нажмите "Подробнее" - "Выполнить в любом случае". Нажмите "Scan/Сканировать". После окончания сканирования в папке, из которой запускалась программа, появятся файлы логов FRST.txt и Addition.txt. Прикрепите их к ответному письму.

Ссылка на скачивание FRST: https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/

ESET Technical Support

Сообщений: 5

Баллов: 2

Регистрация: 22.10.2024

Размещено 25.10.2024 12:51:42

все выслал в личку

Сообщений: 5270

Баллов: 8441

Регистрация: 12.05.2010

Размещено 25.10.2024 13:19:33

Цитата
написал: все выслал в личку

Сергей, здравствуйте! Добавили файлы в базу данных сигнатур вирусов, спасибо. Что с проблемой? Получилось собрать лог FRST?

ESET Technical Support

Сообщений: 5

Баллов: 2

Регистрация: 22.10.2024

Размещено 25.10.2024 13:55:05

Цитата

написал:

Цитата
написал: все выслал в личку

Сергей, здравствуйте! Добавили файлы в базу данных сигнатур вирусов, спасибо. Что с проблемой? Получилось собрать лог FRST?

Я вам выложил его тоже на шейрпоинт.

Сейчас при перезапуске компьютера выскакивает ошибка (сами скрипты из папки я снес):

---------------------------Windows Script Host
---------------------------
Не удается найти файл сценария "C:\Users\perko\Documents\task.vbs".

---------------------------
ОК
---------------------------

Сообщений: 5270

Баллов: 8441

Регистрация: 12.05.2010

Размещено 25.10.2024 15:48:09

Цитата
написал: Я вам выложил его тоже на шейрпоинт.

Запустите повторно FRST.exe от имени Администратора. Скопируйте приложенный файл скрипта fixlist.txt из вложения в папку, откуда запускается FRST.exe, закройте браузер. Нажмите в FRST кнопку "Исправить". Скрипт автоматически очистит систему, и перезагрузит ее. После перезагрузки системы пришлите файл Fixlog.txt из папки откуда запускали FRST и сообщите о результатах. Спасибо!

Прикрепленные файлы

fixlist.txt (616 Б)

ESET Technical Support

Сообщений: 5

Баллов: 2

Регистрация: 22.10.2024

Размещено 25.10.2024 16:28:49

фикслог прилагаю, спасибо
ошибка про таску больше не показывается, других проявлений не вижу

скажите, есть понимание откуда могла залететь проблема и что могло быть скомпрометировано в системе?

Прикрепленные файлы

Fixlog.txt (2.24 КБ)

Сообщений: 5270

Баллов: 8441

Регистрация: 12.05.2010

Размещено 28.10.2024 15:38:02

Цитата
написал: скажите, есть понимание откуда могла залететь проблема и что могло быть скомпрометировано в системе?

Здравствуйте, по источнику заражения не подскажу, но в списке установленных программ не увидел у вас антивируса.

По рекомендациям:

1. Установить антивирус, например: https://lp.esetnod32.ru/pro32

2. В качестве профилактики можно поменять пароли на критичных для вас сервисах - электронная почта, личные кабинеты для банковских приложений, особенно тех, на которых вы проходили авторизацию с данного компьютера уже после возникновения проблемы.

ESET Technical Support

Сообщений: 5

Баллов: 2

Регистрация: 22.10.2024

Размещено 28.10.2024 20:28:55

Спасибо!