Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

task.vbs, taskIC.vns, task.xml в user/Documents

1
RSS
 
Сергей Коп
Сергей Коп
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 22.10.2024
Размещено 22.10.2024 08:52:06
Приветствую,

Стали появляться файлы задач в user/Documents: tsk.vbs, taskIC.vns, task.xml. Помогите, пожалуйста, очистить и понять что из паролей и доступов могло быть скомпрометировано, если это возможно.

Лог uvs прилагаю
 
Валентин Поляков
Валентин Поляков
Администратор
Сообщений: 5270
Баллов: 8441
Регистрация: 12.05.2010
Размещено 22.10.2024 17:29:40
1. Запустите файл Start.exe из папки с программой uVS, скаченной Вами ранее.
2. В стартовом окне программы - нажмите "Запустить под текущим пользователем".
3. Скопируйте текст скрипта ниже (перед выполнением скрипта закройте все браузеры ):

Код

;uVS v4.99.2v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\PERKO\APPDATA\LOCAL\TEMP\0700B085-00F4-4737-A545-8DF3C8144585.TMP.NODE
delall %SystemDrive%\USERS\PERKO\APPDATA\LOCAL\TEMP\A0201835-C39A-4176-8FE4-FC2913545963.TMP.NODE
delall %SystemDrive%\USERS\PERKO\APPDATA\LOCAL\TEMP\AF645061-342A-457A-BEA0-E4DCA3668B47.TMP.NODE
delall %SystemDrive%\PROGRAM FILES\QBITTORRENTPRO\RESOURCES\APP.ASAR.UNPACKED\DIST\ELECTRON\B67B4AB7EBBAC637CF6C.DLL
delall %SystemDrive%\USERS\PERKO\APPDATA\LOCAL\TEMP\F3DA1F58-365C-45FB-B87C-3923B119E30A.TMP.NODE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DACBCHKAHFMNDKENEFKCKLOFJMIPGHJJP%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOHEDCGLHBBFDGAOGJHCCLACOCCBAGKJG%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://EXTENSION-UPDATES.OPERA.COM/API/OMAHA/UPDATE/?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEPEBFCEHMDEDOGNDHLCACAFJAACKNBCM%26INSTALLSOURCE%3DONDEMAND%26UC
delall %SystemDrive%\PROGRAM FILES\QBITTORRENTPRO\QBITTORRENTPRO.EXE
delall %SystemDrive%\USERS\PERKO\DOCUMENTS\TASK.VBS
delall %SystemDrive%\USERS\PERKO\DOCUMENTS\TASKIC.VBS
zoo %SystemDrive%\USERS\PERKO\APPDATA\LOCAL\PROGRAMS\COM.GAMETOP.LAUNCHER\GT-LAUNCHER.EXE
addsgn BA6F9BB2BD614C720B9C2D754C2168FBDA75303AC173435CA5968D37BC9EF2A0035F48524E2C374D633BB63D993BD0D17DDFA04996AFC464AE12BC2F8F8B6F6B 37 AdWare.Win32.ExtInstaller.ep 7

chklst
delvir

delref D:\AUTORUN.EXE
apply

regt 27
deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
;-------------------------------------------------------------
czoo
restart


4. Далее выберите меню Скрипт - Выполнить скрипт, находящийся в буфере обмена. Вставьте скопированный ранее скрипт и выполните его.
5. Компьютер перезагрузится. После перезагрузки, пришлите, пожалуйста, мне в личные сообщения папку или содежимое папки zoo, которая находится в папке с утилитой uVs, предварительно поместив её в архив с паролем infected.
6. Скачайте и запустите Farbar Recovery Scan Tool (выберите программу для своей разрядности системы: 32-битную или 64-битную). Если появится предупреждение о запуске - нажмите "Подробнее" - "Выполнить в любом случае". Нажмите "Scan/Сканировать". После окончания сканирования в папке, из которой запускалась программа, появятся файлы логов FRST.txt и Addition.txt. Прикрепите их к ответному письму.

Ссылка на скачивание FRST: https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/
ESET Technical Support
 
Сергей Коп
Сергей Коп
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 22.10.2024
Размещено 25.10.2024 12:51:42
все выслал в личку
 
Валентин Поляков
Валентин Поляков
Администратор
Сообщений: 5270
Баллов: 8441
Регистрация: 12.05.2010
Размещено 25.10.2024 13:19:33
Цитата
написал:
все выслал в личку

Сергей, здравствуйте! Добавили файлы в базу данных сигнатур вирусов, спасибо. Что с проблемой? Получилось собрать лог FRST?
ESET Technical Support
 
Сергей Коп
Сергей Коп
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 22.10.2024
Размещено 25.10.2024 13:55:05
Цитата
написал:
Цитата
написал:
все выслал в личку

Сергей, здравствуйте! Добавили файлы в базу данных сигнатур вирусов, спасибо. Что с проблемой? Получилось собрать лог FRST?
Я вам выложил его тоже на шейрпоинт.

Сейчас при перезапуске компьютера выскакивает ошибка (сами скрипты из папки я снес):

---------------------------Windows Script Host
---------------------------
Не удается найти файл сценария "C:\Users\perko\Documents\task.vbs".

---------------------------
ОК  
---------------------------
 
Валентин Поляков
Валентин Поляков
Администратор
Сообщений: 5270
Баллов: 8441
Регистрация: 12.05.2010
Размещено 25.10.2024 15:48:09
Цитата
написал:
Я вам выложил его тоже на шейрпоинт.
Запустите повторно FRST.exe от имени Администратора. Скопируйте приложенный файл скрипта fixlist.txt из вложения в папку, откуда запускается FRST.exe, закройте браузер. Нажмите в FRST кнопку "Исправить". Скрипт автоматически очистит систему, и перезагрузит ее. После перезагрузки системы пришлите файл Fixlog.txt из папки откуда запускали FRST и сообщите о результатах. Спасибо!
ESET Technical Support
 
Сергей Коп
Сергей Коп
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 22.10.2024
Размещено 25.10.2024 16:28:49
фикслог прилагаю, спасибо
ошибка про таску больше не показывается, других проявлений не вижу

скажите, есть понимание откуда могла залететь проблема и что могло быть скомпрометировано в системе?
 
Валентин Поляков
Валентин Поляков
Администратор
Сообщений: 5270
Баллов: 8441
Регистрация: 12.05.2010
Размещено 28.10.2024 15:38:02
Цитата
написал:
скажите, есть понимание откуда могла залететь проблема и что могло быть скомпрометировано в системе?

Здравствуйте, по источнику заражения не подскажу, но в списке установленных программ не увидел у вас антивируса.

По рекомендациям:

1. Установить антивирус, например: https://lp.esetnod32.ru/pro32

2. В качестве профилактики можно поменять пароли на критичных для вас сервисах - электронная почта, личные кабинеты для банковских приложений, особенно тех, на которых вы проходили авторизацию с данного компьютера уже после возникновения проблемы.
ESET Technical Support
 
Сергей Коп
Сергей Коп
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 22.10.2024
Размещено 28.10.2024 20:28:55
Спасибо!
 
1
Читают тему