Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » После копирования номера, вставляется другой из буферки.

Ответить
Настройки темы
После копирования номера, вставляется другой из буферки.

Новый участник


Сообщения: 24
Благодарности: 0

Профиль | Отправить PM | Цитировать


Доброго времени суток, уважаемые доктора)) случилась проблема, словил где то нежелетальный вирус, где оказался спуф.. После того как копирую какой либо номер для оплаты, при вставке происходит подмена номера на другой. Благо всегда проверяю при оплате, заметил это только недавно, т.к. до этого ничего не копировал. Прикладываю к этой теме свои логи. Буду весьма благодарен за вашу помощь! CollectionLog-2022.10.02-20.28.zip

Отправлено: 20:34, 02-10-2022

 

Аватара для Sandor

Ветеран


Консультант


Сообщения: 5310
Благодарности: 1328

Профиль | Отправить PM | Цитировать


Здравствуйте!

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
Цитата:
promo-provinces
Кнопка "Яндекс" на панели задач
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ из папки Автологера (Файл - Выполнить скрипт):

Код: Выделить весь код
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\PostClear\PostClear.bat', '');
 QuarantineFile('C:\ProgramData\propose-progress\bin.exe', '');
 QuarantineFile('C:\Users\486B~1\AppData\Local\Temp\4zr.exe', '');
 QuarantineFile('C:\Users\Данил\AppData\Local\Programs\AdLock\054ac7a0ae.msi', '');
 QuarantineFile('C:\Users\Данил\AppData\Local\Temp\hiZJGlEfBdSlFJAuc\BGzGjGsvOtenFWD\aDJJinN.exe', '');
 DeleteSchedulerTask('AdLock Update Task-S-1-5-21-2526475123-1100838001-1066468635-1001');
 DeleteSchedulerTask('bmgBVpqOflHGOSqbhq');
 DeleteSchedulerTask('C:\Windows\Task\bmgBVpqOflHGOSqbhq.job');
 DeleteSchedulerTask('C:\Windows\Task\wow64.job');
 DeleteSchedulerTask('promo-provinces');
 DeleteSchedulerTask('wow64');
 DeleteFile('C:\ProgramData\PostClear\PostClear.bat', '32');
 DeleteFile('C:\ProgramData\PostClear\PostClear.bat', '64');
 DeleteFile('C:\ProgramData\propose-progress\bin.exe', '64');
 DeleteFile('C:\Users\486B~1\AppData\Local\Temp\4zr.exe', '32');
 DeleteFile('C:\Users\486B~1\AppData\Local\Temp\4zr.exe', '64');
 DeleteFile('C:\Users\Данил\AppData\Local\Programs\AdLock\054ac7a0ae.msi', '64');
 DeleteFile('C:\Users\Данил\AppData\Local\Temp\hiZJGlEfBdSlFJAuc\BGzGjGsvOtenFWD\aDJJinN.exe', '32');
 DeleteFile('C:\Users\Данил\AppData\Local\Temp\hiZJGlEfBdSlFJAuc\BGzGjGsvOtenFWD\aDJJinN.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'OneDriveSetup', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'OneDriveSetup', '64');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код: Выделить весь код
begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Файл CheckBrowserLnk.log
из папки
Цитата:
...\AutoLogger\CheckBrowserLnk
перетащите на утилиту ClearLNK.



Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.


Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите свежий CollectionLog.

-------


Отправлено: 08:07, 03-10-2022 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Новый участник


Сообщения: 24
Благодарности: 0

Профиль | Отправить PM | Цитировать



Ещё раз добрый день, отсуствовал пк, все действия проделаны, promo province неудалялось через unins, удалил с самого пк нашел его папку. Прикрепляю ClearLNK лог.
clearlnk : Check_Browsers_LNK.log

Последний раз редактировалось iskander-k, 07-10-2022 в 19:14. Причина: Удалил карантин


Отправлено: 15:20, 07-10-2022 | #3


Аватара для Sandor

Ветеран


Консультант


Сообщения: 5310
Благодарности: 1328

Профиль | Отправить PM | Цитировать


Вы всё "правильно перепутали"

Цитата Sandor:
Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению »
А вы прикрепили CheckBrowserLnk.log

Карантин нужно отправить по форме или на почту, а не прикреплять к сообщению.
Если ещё возможно, удалите его из сообщения.

Цитата Sandor:
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите свежий CollectionLog. »
Этого тоже нет.

-------

Это сообщение посчитали полезным следующие участники:

Отправлено: 15:24, 07-10-2022 | #4


Новый участник


Сообщения: 24
Благодарности: 0

Профиль | Отправить PM | Цитировать



Ну, такая моя внимательность xD. Приношу извинения что сделал все наоборот. Отправил папку карантина по форме. Прикладываю логи ClearLNK и CollectionLog ClearLNK-2022.10.07_16.18.27.log CollectionLog-2022.10.07-16.33.zip

Отправлено: 16:36, 07-10-2022 | #5


Аватара для Sandor

Ветеран


Консультант


Сообщения: 5310
Благодарности: 1328

Профиль | Отправить PM | Цитировать


Хорошо, продолжаем.

"Пофиксите" в HijackThis только следующее:
Код: Выделить весь код
O17 - HKLM\System\CCS\Services\Tcpip\..\{d2f85437-c640-458e-bb57-14411b7fa024}: [NameServer] = 193.37.68.40
O17 - HKLM\System\CCS\Services\Tcpip\..\{d2f85437-c640-458e-bb57-14411b7fa024}: [NameServer] = 45.95.11.175
O22 - Task (.job): wow64.job - C:\Users\Данил\AppData\Local\Temp\4zr.exe (file missing)
O22 - Tasks: \S-7-6-95-1015281129-1166877725-1195279204-5143\{BICYZTIH-Z4QE-NDZ3-PIO3-5U13FW32ROW6} - C:\Users\Данил\AppData\Roaming\amd64_microsoft-windows-s..llercommandlinetool_31bf3856ad364e35_10.0.19041.1_none_2a5f489c740a390b\mfxplugin32_hw.exe
O23 - Service S2: 3proxy tiny proxy server - (3proxy) - C:\Users\Данил\Desktop\3proxy-0.9.3-x64\bin64\3proxy.exe "C:\Users\Данил\Desktop\3proxy-0.9.3-x64\bin64\3proxy.cfg" --service (file missing)
Перезагрузите компьютер.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

-------


Отправлено: 11:07, 09-10-2022 | #6



Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » После копирования номера, вставляется другой из буферки.

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
2010 - Хочу все знать о WORD 2010 часть 10: Не вставляется автоматически пробел после слова test2235 Microsoft Office (Word, Excel, Outlook и т.д.) 2 01-11-2013 08:54
PowerShell - Копирования шары с одного сервера на другой ejik_off Скриптовые языки администрирования Windows 3 24-01-2013 06:46
CMD/BAT - [решено] Скрипт для копирования стуктуры AD из одного OU в другой Outlaw_UA Скриптовые языки администрирования Windows 2 21-06-2012 17:59
Установка - [решено] Беспрерывно пищит после перезагрузки (которая после копирования установочных файлов) Артем Ковальчук Microsoft Windows 2000/XP 2 06-03-2011 18:46
Разное - Замена легального номера активации на другой легальный для XP Home Edition keen-set Лицензирование продуктов Microsoft 3 25-06-2009 10:24




 
Переход