Перейти к содержанию
Правила раздела

Вирус Trojan.Win32.Agent.nexurs

fet.web

Автор fet.web
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

fet.web

fet.web

Опубликовано
Опубликовано

Здравствуйте! После проверки  PC был обнаружен вирус Trojan.Win32.Agent.nexurs который в принципе не мешал жить.. был успешно удален файл с вирусом и помещен в карантин. Хотелось бы узнать что делал этот вирус и нужно ли что-то еще предпринять??

CollectionLog-2017.01.10-22.23.zip

SQ

SQ

Опубликовано
Опубликовано

Здравствуйте,

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Windows\Temp\ctpxinst.exe','');
 BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Подготовьте лог AdwCleaner и приложите его в теме.
 

fet.web

fet.web

Опубликовано
  • Автор
Опубликовано

Здравствуйте,

 

AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Windows\Temp\ctpxinst.exe','');
 BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

 

После перезагрузки:

- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Подготовьте лог AdwCleaner и приложите его в теме.

 

Ответ был таков)) я что-то не так сделал???

 

We did not receive any files to analyze. They were probably disinfected by the mail server antivirus.

Please try to send them again in an archive with the password 'infected' (without quotes).

 

You can also upload the files to any popular file hosting service or FTP.

 

This is an automatically generated message. Please, do not reply to it.

 

Anti-Virus Lab, Kaspersky Lab HQ

[KLAN-5638976163]

я так понял надо еще раз оправить архив, только запаролить его...Правильно??

AdwCleanerS0.txt

Soft

Soft

Опубликовано
Опубликовано

я так понял надо еще раз оправить архив, только запаролить его...Правильно??

всё верно. Вам необходимо за архивировать файл с паролем  'infected' (без кавычек).

SQ

SQ

Опубликовано
Опубликовано

Возможно архив был пустой.

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


 

SQ

SQ

Опубликовано
Опубликовано

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
CloseProcesses:
CHR Extension: (Tampermonkey) - C:\Users\Moonwalker\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2016-12-29]
CHR HKU\S-1-5-21-153600768-3781599564-2323237657-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
C:\Users\Moonwalker\AppData\Local\Temp\dl21101C65-54B7-3E43-AF3B-DFFC194C3AB1.exe
C:\Users\Moonwalker\AppData\Local\Temp\_unps.exe
Task: {2B779F63-B02E-4FF5-9EF2-B849BA2C42DD} - System32\Tasks\{6C4D49F8-1DC9-4D97-AA19-42579DF7E16D} => pcalua.exe -a C:\Windows\Temp\ctpxinst.exe -d C:\Windows\temp -c /file:CTXFISPI.EXE <==== ATTENTION
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.




Обратите внимание на системные события, похоже у диска (hdd) имеются битые сектора либо аппаратные проблемы:

Error: (01/10/2017 09:17:39 PM) (Source: Disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk0\DR0.

Error: (01/10/2017 09:17:36 PM) (Source: Disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk0\DR0.

Error: (01/10/2017 09:17:33 PM) (Source: Disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk0\DR0.

Error: (01/10/2017 09:17:30 PM) (Source: Disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk0\DR0.

Error: (01/10/2017 09:17:27 PM) (Source: Disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk0\DR0.

Error: (01/10/2017 09:17:25 PM) (Source: Disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk0\DR0.

Error: (01/10/2017 09:17:21 PM) (Source: Disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk0\DR0.

Error: (01/10/2017 09:17:19 PM) (Source: Disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk0\DR0.

Error: (01/10/2017 09:17:15 PM) (Source: Disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk0\DR0.

Error: (01/10/2017 09:17:13 PM) (Source: Disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk0\DR0.
SQ

SQ

Опубликовано
Опубликовано

Я не совсем усвоил инфу про HDD)) его пора выкидывать или менять??

по этому вопросу, Вам следует обратиться в соседний раздел "Компьютерная помощь". Тут не посредственно разбираем проблемы касаемо лечения.

 

Сообщите, что с проблемой?

fet.web

fet.web

Опубликовано
  • Автор
Опубликовано

Не совсем понял вопроса...Я ж изначально писал что жил с этим вирусом и не замечал никаких проблем...если бы я не просканировал компьютер так бы и жил с ним.. Вирус был удален KVRT изначально. Мой вопрос заключался в том нужно ли мне еще что-то сделать) Все ваши действия выполнил..Хотелось узнать что он делал этот вирус)

SQ

SQ

Опубликовано
Опубликовано

Не совсем понял вопроса...Я ж изначально писал что жил с этим вирусом и не замечал никаких проблем...если бы я не просканировал компьютер так бы и жил с ним.. Вирус был удален KVRT изначально. Мой вопрос заключался в том нужно ли мне еще что-то сделать) Все ваши действия выполнил..Хотелось узнать что он делал этот вирус)

Ничего плохого не замечено в логах. Из-за этого спрашиваю, если проявляются какие-то проблемы?

fet.web

fet.web

Опубликовано
  • Автор
Опубликовано (изменено)

Я так понял, еще мы удалили расширение Tampermonkey, оно тоже вредоносное?

Изменено пользователем Soft
убран дубль
SQ

SQ

Опубликовано
Опубликовано

Хотелось узнать что он делал этот вирус)

Что касается самого вредоносного файла, Вам лучше обратиться в тех. поддержку ЛК за деталями.

Я так понял, еще мы удалили расширение Tampermonkey, оно тоже вредоносное?

Часто с этим расширением, появляется различная реклама в браузерах.

fet.web

fet.web

Опубликовано
  • Автор
Опубликовано

Да вроде ничего не замечаю)) Я вот сейчас подумал, а это важно что я его подхватил примерно 5 месяцев назад??


Огромное спасибо за Вашу помощь. Не знал до этого что есть такой прекрасный форум!! Я в восторге от вашей работы!

SQ

SQ

Опубликовано
Опубликовано

Да вроде ничего не замечаю)) Я вот сейчас подумал, а это важно что я его подхватил примерно 5 месяцев назад??

Обычно подмена происходит во время установки вредоносного ПО.

 

Если пользуетесь этим расширение, то можете его заново установить с google официальной странички расширения.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • segeyAA
      [РЕШЕНО] Не удаляются вирусы Trojan.Win32.Miner.pef и Trojan.Win32.SEPEH.gen
      Автор segeyAA
      Здравствуйте.
       
      KES постоянно ругается на
      и
      "Проверка важных областей" бесконечно висит на 1% и 0 файлов.
      В безопасном режиме прогнал KVRT и CureIT. Они удалили winserv.exe, rdpwrap.dll, appmodule.exe, amd.exe и при повторном сканировании больше ничего подозрительного не видят. При перезагрузке в обычном режиме ничего не изменилось. Данные вирусы также знатно покорежили систему - перестал работать центр обновления (заметил что имена служб bits и wuauserv изменены на bits_bkp и wuauserv_bkp), удаленный рабочий стол, восстановление системы (это из того что заметил). Лог сканирования AutoLogger-а прилагаю.
       
      CollectionLog-2024.04.24-13.37.zip
    • GRM_GRM
      trojan.win32.sepeh.gen как удалить вирус
      Автор GRM_GRM
      Добрый день, прошу помочь. ОС Windows SRV 2008 R2 64. KVRT  обнаруживает вирус но не удляет.
      Просканировал TRST, логи приложил.
      FRST.txt Addition.txt
    • redgg
      trojan.win32.sepeh.gen удалить вирус
      Автор redgg
      Здравствуйте! 
      Антивирус Kaspersky Premium обнаружил trojan.win32.sepeh.gen. Несколько раз его удалял, но каждый раз после перезагрузки антивирус находил его снова. Прекпрепляю логи
      CollectionLog-2023.09.25-22.28.zip
    • segeyAA
      [РЕШЕНО] Устранение последствий вирусов Trojan.Win32.Miner.pef и Trojan.Win32.SEPEH.gen
      Автор segeyAA
      Здравствуйте.
       
      Еще один компьютер попал под действие данных вирусов, но в этот раз (вроде бы) им не удалось заблокировать KES и он их удалил. По крайней мере полная проверка больше ничего подозрительного не находит. Единственное (из того что заметил), также поломался "Центр обновления Windows". Лог сканирования AutoLogger-а прилагаю.
      CollectionLog-2024.04.25-17.06.zip
    • woi12
      [РЕШЕНО] Не удаляется вирус Trojan.win32.Agentb.adkr
      Автор woi12
      Здравствуйте, проблема решилась таким образом? И на каком этапе? Вроде как программа kaspersky сама справилась с удалением файла и я пока не заметил никаких проблем, но для безопасности сделал все пункты до скана FRCT (включительно).
       
      Сообщение от модератора thyrex Перенесено из темы
×
×
  • Создать...