Перейти к содержанию

Троянская программа


Pavel Гундышев

Рекомендуемые сообщения

Касперский постоянно обнаруживает трояна в программе Google Chrome.  Помогите пожалуйста.

CollectionLog-2017.09.25-08.50.zip

Изменено пользователем Pavel Гундышев
Ссылка на сообщение
Поделиться на другие сайты

"Пофиксите" в HijackThis:

O8 - Extra context menu item: &Отправить в OneNote - C:\PROGRA~1\MICROS~1\Office16\ONBttnIE.dll (file missing)
O8 - Extra context menu item: &Экспорт в Microsoft Excel - C:\PROGRA~1\MICROS~1\Office16\EXCEL.EXE (file missing)
O21 - ShellIconOverlayIdentifiers:  SkyDrivePro1 (ErrorConflict) - {8BA85C75-763B-4103-94EB-9470F12FE0F7} - (no file)
O21 - ShellIconOverlayIdentifiers:  SkyDrivePro2 (SyncInProgress) - {CD55129A-B1A1-438E-A425-CEBC7DC684EE} - (no file)
O21 - ShellIconOverlayIdentifiers:  SkyDrivePro3 (InSync) - {E768CD3B-BDDC-436D-9C13-E1B39CA257B1} - (no file)
O21-32 - ShellIconOverlayIdentifiers:  SkyDrivePro1 (ErrorConflict) - {8BA85C75-763B-4103-94EB-9470F12FE0F7} - (no file)
O21-32 - ShellIconOverlayIdentifiers:  SkyDrivePro2 (SyncInProgress) - {CD55129A-B1A1-438E-A425-CEBC7DC684EE} - (no file)
O21-32 - ShellIconOverlayIdentifiers:  SkyDrivePro3 (InSync) - {E768CD3B-BDDC-436D-9C13-E1B39CA257B1} - (no file)
O22 - Task (Ready): \ASUS\USB 3.0 Boost Service - C:\Program Files (x86)\ASUS\AI Suite II\USB 3.0 Boost\U3BoostSvr.exe (file missing)
O22 - Task (Ready): \Microsoft\Feafd - C:\Users\123pa\AppData\Roaming\Aaddc\Ddcdd.exe /start (file missing)
O22 - Task (Ready): \Microsoft\Office\Office 15 Subscription Heartbeat - C:\Program Files\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe (file missing)
O22 - Task (Ready): \Microsoft\Office\OfficeTelemetryAgentFallBack2016 - C:\Program Files\Microsoft Office\Office16\msoia.exe scan upload mininterval:2880 (file missing)
O22 - Task (Ready): \Microsoft\Office\OfficeTelemetryAgentLogOn2016 - C:\Program Files\Microsoft Office\Office16\msoia.exe scan upload (file missing)

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.

 

Ссылка на сообщение
Поделиться на другие сайты

  • Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Tools ->Options (Инструменты ->Настройки) отметьте:
    • Сброс политик IE
    • Сброс политик Chrome

    [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Затем отключите в Хроме все расширения и проверьте проблему.

Ссылка на сообщение
Поделиться на другие сайты

отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt

Обратите внимание, в имени файла должен быть символ [C], а не .

 

Проблема решена

Каким образом, отключением расширений? Если да, сообщите каких именно.
Ссылка на сообщение
Поделиться на другие сайты

Каким образом проблема решена не знаю. После включения расширений проблема не появляеться. Лог сейчас переделаю.


Лог

AdwCleanerC0.txt

Ссылка на сообщение
Поделиться на другие сайты

Хорошо, в завершение:

1.

  • Пожалуйста, запустите adwcleaner.exe
  • В меню File (Файл) - выберите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.
2.

Выполните скрипт в AVZ при наличии доступа в интернет:

 

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

 

3. Прочтите и выполните Рекомендации после удаления вредоносного ПО

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Алексей Викторович
      От Алексей Викторович
      Приветствую! Возник вопрос – голову неделю ломаю. И не только голову:
      Сбербанк-онлайн 14.6.0. Включил антивирус. После сканирования обнаружил HEUR:Trojan-Dropper.AndroidOS.Triada.rq MIUI Global 12.5.3 Андроид 11 (регион Великобритания стоял) путь расположения вируса: /cust/app/customized/partner-com.engloryintertech.caping_43//cust/app/customized/partner-com.engloryintertech.caping_43.apk

      А дальше самое интересное:
      1. Hard Reset с полным Wipe не помог.
      2. Обновление по воздуху на MIUI Global 13.0.6 Андроид 12 не помогло.
      3. Полная прошивка через Fastboot через разблокировку/блокировку загрузчика не помогло.

      Но название вируса чуть изменилось: HEUR:Trojan-Dropper.AndroidOS.Triada.az путь тот же с названием файла.
      Регион я поменял обратно на Россию. Не помогло.
      Вообще не понимаю куда копать. ROOT делать и копаться ручками вырезать пока не научился. Что за бред собачий не понимаю. Может кто сталкивался?

      Как вообще полная замена прошивки может не помочь не понимаю...



    • alf
      От alf
      Здравствуйте. Прошу помочь мне в удалении MEM:Trojan.Win64.Generic.mem. Kaspersky Virus Removal Tool его видит, но лечение не помогает.
      CollectionLog-2022.03.27-00.03.zip
    • OrtoChi
      От OrtoChi
      Здравствуйте, прошу помочь мне в удалении MEM:Trojan.Win64.Generic.mem , использовал Kaspersky Virus Removal Tool, он его видит но лечение с перезагрузкой не помогает избавиться от трояна. 
      CollectionLog-2022.03.04-16.15.zip
    • IsoPn=wedUser
      От IsoPn=wedUser
      Привет.
      Наткнулся на проблему при установке чита (Espense DLL roblox injector)
      Скачиваю архив с Oxy Cloud , разархивирую архив , запускаю чит и...
      Заблокировано подключение к сайту Pastebin (Там проверяет обновления)
      И заблокирован объект Espense.exe (Не сказал что за вирус пришлось лезть в отчёты)
      Он обнаружил Win32.Trojan.Generic .
      1. Что за вирус?
      2. Ложное срабатывание или по правде вирус?
      (Ссылка oxy.st/d/Hcnc)
       
    • krazy_killer
      От krazy_killer
      с горем пополам через транзитного китайца вциганил с облака pan.baidu.com
       по  для  управление  ватт вольт амперметром
       
      но касперски  интернет  секурики  на него  сагрился по черному. валит  не медля.
      вот думаю дюже ли опасный файл и ведь брат китаец его запускал. причем не продавец а совсем левый которого япопросил помочь скачать из байды файл потому что на прямую требуется регистрация и у меня не вышло с русской симкой  зарегаться.
       
      запрос в тп я создал но не факт что в ближайшую неделю на него ответят.
      сам же китаец продавец  молчит как рыба об лед
       
      https://ru.aliexpress.com/item/32844522748.html?spm=a2g0s.9042311.0.0.274233edK5Jyg5
       
      вот  сей прибор в конце описания  и ссылка на  байду где  хранится  программа. 
      как то перспектива вспоминать как кодить  для  меня  не  радужна чтоб прибор сей закоммуницировать


×
×
  • Создать...