Перейти к содержанию
Правила раздела

Троян [LOG?]

Dgeday

От Dgeday
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Dgeday Новичок

Dgeday

Опубликовано
Опубликовано (изменено)

Подцепили судя по всему трояна. В трее вылез красный круг с белым крестом и выдаёт переодически сообщение типа: "Ваш компьютер инфицирован ..." и всё такое, на форуме уже писали о подобном. Проблема в следующем: на компьютере стоял КАВ 2009, который сразу перестал работать и вручную тоже не запускается. Также не запускаются ни avz ни HiJackThis, такое ощущение, что эта гадость просто срубает эти процессы, по крайней мере на экране ни чего не появляется :yes: ...

 

Подскажите плз, что сделать можно ...

 

Нда, стоило глаза открыть ... :huh:

 

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

 

Сразу добавлю, удалось поставить NOD32, пытался им лечить, толк был но очень мало. R_server установлен намеренно ...

Изменено пользователем Falcon
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано (изменено)

1. Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\system32\cru629.dat','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Ntfs.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
TerminateProcessByName('c:\windows\system32\braviax.exe');
QuarantineFile('c:\windows\system32\braviax.exe','');
DeleteFile('c:\windows\system32\braviax.exe');
DeleteFile('C:\WINDOWS\system32\cru629.dat');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

2. Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

3. Файлы ntfs.sys и beep.sys нужно заменить на чистые из дистрибутива:

- Загрузитесь в консоли восстановления

- На приглашение введите строку:

expand X:\i386\ntfs.sy_ C:\WINDOWS\system32\drivers\ntfs.sys

Вместо Х подставьте букву драйва, где лежит дистрибутив.

Переписывание подтвердите.

 

- На приглашение введите строку:

expand X:\i386\beep.sy_ C:\WINDOWS\system32\drivers\beep.sys

Вместо Х подставьте букву драйва, где лежит дистрибутив.

Переписывание подтвердите.

 

- Выйдите из консоли восстановления командой exit + клавиша ВВОД.

- Загрузитесь нормально.

 

Альтернативная замена готовым файлом с аналогичной ОС может быть произведена при загрузке в консо-ли восстановления (см. выше), с Live CD (BartPE, Knoppix etc.) или с установкой диска в другой ПК.

 

Дальнейшее лечение будет эффективным только после выполнения вышенаписанного

 

4. Сделайте новые логи

Изменено пользователем thyrex
Ссылка на комментарий
Поделиться на другие сайты
Dgeday Новичок

Dgeday

Опубликовано
  • Автор
Опубликовано (изменено)

Всё сделал.

 

Файл quarantine.zip отпарвил на newvirus@kaspersky.com. Жду ответа.

 

Из консоли восстановления заменить файлы не удалось.

В первом случае было сообщение: "Не удаётся найти указанный файл или папку". Потом понял почему, в дистрибутиве нет файла ntfs.sy_, а есть ntfs.sys.

 

Во втором случае выдал сообщение: "Не удаётся создать файл beep.sys. 0 файлов скопировано".

 

Грузанул Live CD и ручками всё заменил.

 

После перезагрузки красный круг с белым крестом исчез, но по состоянию сетевого подключения видно, что обмен трафиком просто огромный. Поэтому на время отрубил Инет и сюда пишу с другого компа.

 

post-11087-1250075662_thumb.jpg

 

Также выкладываю новые логи:

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено пользователем Dgeday
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано (изменено)

Вместо команды expand можно использовать обычный архиватор (например, Winrar).

Попробуйте сделать следующее:

 

1. Вставить диск с дистрибутивом и распаковать beep.sy_ в какую-либо папку

 

2. Загрузиться с LiveCD и скопировать распакованный файл в папку C:\WINDOWS\System32\Drivers

 

3. Пофиксить в HiJack

 O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O20 - AppInit_DLLs: cru629.dat

 

4. Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C:\WINDOWS\system32\cru629.dat','');
DeleteFile('C:\WINDOWS\system32\cru629.dat');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

5. Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

6. Сделайте новые логи

Изменено пользователем thyrex
Ссылка на комментарий
Поделиться на другие сайты
Dgeday Новичок

Dgeday

Опубликовано
  • Автор
Опубликовано (изменено)
Вместо команды expand можно использовать обычный архиватор (например, Winrar).

Попробуйте сделать следующее:

 

1. Вставить диск с дистрибутивом и распаковать beep.sy_ в какую-либо папку

 

2. Загрузиться с LiveCD и скопировать распакованный файл в папку C:\WINDOWS\System32\Drivers

 

Всё это я уже сделал, описал это в предыдущем посте.

 

Грузанул Live CD и ручками всё заменил.

 

Я так понимаю, что пункты 1 и 2 можно пропустить ?!...

Изменено пользователем Dgeday
Ссылка на комментарий
Поделиться на другие сайты
Dgeday Новичок

Dgeday

Опубликовано
  • Автор
Опубликовано

Всё сделал, жду очередного ответа от ЛК.

 

Трафик прилично снизился, но всёравно выражается шести-семизначными числами.

 

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Уж не знаю, как Вы его заменяли...

 

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Beep');
DeleteFile('C:\WINDOWS\system32\Drivers\Beep.sys');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Сделать новые логи. Что с трафиком?

Ссылка на комментарий
Поделиться на другие сайты
Dgeday Новичок

Dgeday

Опубликовано
  • Автор
Опубликовано

Ответ на перый файл, отправленный в ЛК:

 

"В присланном Вами файле обнаружено новое вредоносное программное обеспечение.

Его детектирование будет включено в очередное обновление антивирусных баз.

Благодарим за оказанную помощь.

Backdoor.Win32.Small.ejx"

 

Вот логи:

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

 

Трафик, к сожалению, по прежнему большой :lol: ...

Ссылка на комментарий
Поделиться на другие сайты
Falcon Ветеран

Falcon

Опубликовано
Опубликовано

- Скачайте GMER по одной из указанных ссылок:

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

  • Sections
  • IAT/EAT
  • Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Включите AVZPM (в AVZ выбрать первую строчку в соответствующем меню программы). Сделайте новые логи.

 

Дополнительно сделайте отчет утилиты GSI (ссылка в моей подписи)

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • orpham
      троян .kwx8
      От orpham
      Добрый день.
      15.02 вечером, зашифровало все файлы. Комп настроен для удаленного подключения по RDP, включен круглосуточно. Все файлы с расширением .kwx8/
      Помогите пож-та.
      Лог сканирования KVRT во вложении.
      report_2025.02.17_15.55.29.klr.rar
    • GLORYX
      скачал какой то вирус вроде троян
      От GLORYX
      не знаю как но где словил троян в диспечере задай просто находится пустой проц с аватаркой шестеренки пробовал через все програму успехом не увенчалось.
    • Hendehog
      Помощь в определении функциональности трояна
      От Hendehog
      Здравствуйте.
      Вирус замаскированный под файл от госорганов.
      Просканировал KVRT, DR.Web, и сняты логи автологгером.
      Прошу подсказки - что именно делается вирус, куда внедряется, как ворует деньги с банковских счетов?
      Ну и понять, чист сейчас ПК или нет.
      CollectionLog-2025.02.07-10.57.zip KVRT2020_Data.zip
    • SuPeR_1
      Словил вирус-майнер-троян до приобретения касперского стандарта пробной подписки и он не видит вирус-майнер-троян
      От SuPeR_1
      Когда играл заметил что ФПС низкий почему то, решил быстро клавишами Ctrl+Shift+Esc диспетчер задач и ЦП со 100% резко падал до дна, и не надо как в прошлый раз писать что диспетчер задач не означает что есть вирус-майнер-троян, у меня ведь и ФПС низкий, раньше в Minecraft были 100-200 ФПС, сейчас 60 и даже меньше. Провёл сканером Dr web и логи собрал. Пол года назад тоже тут обращался, помогли, надеюсь и в этот раз помогут и буду теперь все файлы проверять онлайн-сканером
      CollectionLog-2025.02.23-15.08.zip
    • KL FC Bot
      SparkCat — первый троян-стилер, пробравшийся в App Store | Блог Касперского
      От KL FC Bot
      В галерее вашего смартфона почти наверняка найдется важная информация, сфотографированная для надежности и удобства — например, фото документов, банковских договоров или сид-фраз, позволяющих восстановить доступ к криптокошелькам. Все эти данные могут быть украдены вредоносным приложением, подобным обнаруженному нами стилеру SparkCat. В текущей конфигурации этот зловред обучен красть данные криптокошельков, но с другими настройками он может мгновенно перейти к краже любой другой ценной информации.
      Самое неприятное — этот зловред пробрался в официальные магазины приложений, и только из Google Play зараженные им аппы суммарно загрузили почти 250 тысяч раз. И если в Google Play вредоносные приложения не единожды обнаруживались и до этого, то в App Store троян-стилер обнаружен впервые. Как же устроена эта угроза и что сделать для защиты?
      Довесок к легитимным приложениям
      Приложения, содержащие вредоносные компоненты SparkCat, делятся на две группы. Некоторые из них — например, многочисленные схожие мессенджеры с заявленными функциями ИИ от одного и того же разработчика — очевидно, опубликованы сугубо как приманка. Но есть и другие — легитимные приложения сервисов доставки еды, чтения новостей, утилиты для владельцев криптокошельков. Как в них появилась троянская функциональность, мы не знаем. Возможно, это была атака на цепочку поставок, при которой был заражен один из вспомогательных компонентов — «кирпичиков», из которых собрано готовое приложение, или же разработчики намеренно встраивали трояна в свои приложения.
      Первое приложение, в котором мы обнаружили SparkCat — это сервис для доставки еды в ОАЭ и Индонезии под названием ComeCome. Зараженное приложение было обнаружено как в Google Play, так и в App Store
       
      View the full article
×
×
  • Создать...