Перейти к содержанию
Правила раздела

Не получается троян,нужна помощь

_ArxAngel_

От _ArxAngel_
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

_ArxAngel_ Новичок

_ArxAngel_

Опубликовано
Опубликовано (изменено)

Проблема собственно у меня обсальютно аналогична этой:

http://forum.kasperskyclub.ru/index.php?showtopic=12575

симптомы и отвратительное по тоже самое.

Нужна помощь как от этого избавиться.

Сообщение от модератора vasdas
Карантин выкладывать не следует! Удалено.

virusinfo_syscheck.zip

hijackthis.log

Изменено пользователем vasdas
Ссылка на комментарий
Поделиться на другие сайты
akoK Ветеран

akoK

Опубликовано
Опубликовано

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ExecuteAVUpdate;
SetServiceStart('windows_0', 4);
SetServiceStart('DescriptionHero2', 4);
SetServiceStart('tdryju', 4);
SetServiceStart('vrsf', 4);
SetServiceStart('djsak2', 4);
QuarantineFile('C:\SysFiles\aMbv8PqsyF.dll','');
QuarantineFile('C:\Windows\system32\PFY8DWJR0K\D001.exe','');
QuarantineFile('C:\Windows\system32\PFY8DWJR0K\M001.exe','');
QuarantineFile('C:\Windows\system32\7165ds.exe','');
QuarantineFile('c:\windows\system32\enumrunsrv.dll','');
QuarantineFile('C:\Windows\system32\upd3E3D.tmp.exe','');
QuarantineFile('c:\windows\system32\uuwfds.dll','');
QuarantineFile('c:\progra~1\vktaj\vkt.dll','');
QuarantineFile('c:\windows\system32\upd3e3d.tmp.exe','');
QuarantineFile('c:\windows\system32\hiods.exe','');
QuarantineFile('c:\program files\microsoft office\svchost.exe','');
QuarantineFile('c:\program files\oscar editor\oscareditor.exe','');
DeleteFile('c:\windows\system32\hiods.exe');
DeleteFile('c:\program files\microsoft office\svchost.exe');
DeleteFile('c:\windows\system32\upd3e3d.tmp.exe');
DeleteFile('c:\windows\system32\uuwfds.dll');
DeleteFile('C:\Windows\system32\upd3E3D.tmp.exe');
DeleteFile('c:\windows\system32\enumrunsrv.dll');
DeleteFile('C:\Windows\system32\hiods.exe');
DeleteFile('C:\Windows\system32\PnkBstrB.exe');
DeleteFile('C:\Windows\system32\7165ds.exe');
DeleteFile('C:\Windows\system32\PFY8DWJR0K\M001.exe');
DeleteFile('C:\Windows\system32\PFY8DWJR0K\D001.exe');
DeleteFile('C:\PROGRA~1\vktaj\vkt.dll');
DeleteFile('C:\SysFiles\aMbv8PqsyF.dll');
DeleteService('djsak2');
DeleteService('vrsf');
DeleteService('tdryju');
DeleteService('windows_0');
DeleteService('DescriptionHero2');
DelBHO('{765C5053-3C98-968B-2490-E4532BBB03E6}');
DelBHO('{88888888-8888-8888-8888-888888888888}');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

Повторите логи AVZ.

Ссылка на комментарий
Поделиться на другие сайты
Analyzer Новичок

Analyzer

Опубликовано
Опубликовано

Отключить антивирус/фаервол, интернет;

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\System32\R9AVYGDMVZ\M001.exe','');
QuarantineFile('C:\Windows\System32\R9AVYGDMVZ\D001.exe','');
QuarantineFile('C:\Windows\System32\R0O4RVRRJ0\D001.exe','');
QuarantineFile('C:\Windows\System32\QOZL4RS02N\D001.exe','');
QuarantineFile('C:\Windows\System32\Q5BO0OOCPY\M001.exe','');
QuarantineFile('C:\Windows\System32\Q5BO0OOCPY\D001.exe','');
QuarantineFile('C:\Windows\System32\iIpc\M001.exe','');
QuarantineFile('C:\Windows\System32\iIpc\D001.exe','');
QuarantineFile('C:\Program Files\Microsoft Office\svchost.exe','');
QuarantineFile('Ehrmd_ceodu.sys','');
DeleteFile('C:\Program Files\Microsoft Office\svchost.exe');
DeleteFile('C:\PROGRA~1\vktaj\vkt.dll');
DeleteFile('C:\Windows\System32\iIpc\D001.exe');
DeleteFile('C:\Windows\System32\iIpc\M001.exe');
DeleteFile('C:\Windows\System32\Q5BO0OOCPY\D001.exe');
DeleteFile('C:\Windows\System32\Q5BO0OOCPY\M001.exe');
DeleteFile('C:\Windows\System32\QOZL4RS02N\D001.exe');
DeleteFile('C:\Windows\System32\R0O4RVRRJ0\D001.exe');
DeleteFile('C:\Windows\System32\R9AVYGDMVZ\D001.exe');
DeleteFile('C:\Windows\System32\R9AVYGDMVZ\M001.exe');
DelCLSID('LMS03AB-B707-11d2-9CBD-0000F87A369E');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.

после перезагрузки выполнить второй скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Сделайте новые логи.

Ссылка на комментарий
Поделиться на другие сайты
_ArxAngel_ Новичок

_ArxAngel_

Опубликовано
  • Автор
Опубликовано (изменено)

Находит в меньшем кол-ве но находит.

ee058a1202887331a61dea69e63333fc.jpeg

Повидемому нужно есчё раз проделать похожие процедуры,ога?)

:lol:

Изменено пользователем _ArxAngel_
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Hendehog
      Помощь в определении функциональности трояна
      От Hendehog
      Здравствуйте.
      Вирус замаскированный под файл от госорганов.
      Просканировал KVRT, DR.Web, и сняты логи автологгером.
      Прошу подсказки - что именно делается вирус, куда внедряется, как ворует деньги с банковских счетов?
      Ну и понять, чист сейчас ПК или нет.
      CollectionLog-2025.02.07-10.57.zip KVRT2020_Data.zip
    • Alexk6
      Нужна помощь. *.datastore@cyberfear.com
      От Alexk6
      После криворукого админа возникли проблемы. Поймали шифровальщик. Админ сделал терминальный сервер из Win 11 Home на котором работали 6-7 человек, все с админскими правами. Браузером пользовались все с этого сервера. Файлы меньше 8 мб не затронуты. Ссылка на шифрованный файл и его орегинал https://cloud.mail.ru/public/a4nf/zJDX69Qs9
    • orpham
      троян .kwx8
      От orpham
      Добрый день.
      15.02 вечером, зашифровало все файлы. Комп настроен для удаленного подключения по RDP, включен круглосуточно. Все файлы с расширением .kwx8/
      Помогите пож-та.
      Лог сканирования KVRT во вложении.
      report_2025.02.17_15.55.29.klr.rar
    • iaoioa
      вирус найден, но удалить его не получается
      От iaoioa
      Всем день добрый. Не понимаю, что делать: обнаружено несколько лишних файлов после сканирования, но как их удалить неясно. Если я захожу по пути, который указал антивирус, то там этих файлов у меня нет, даже если показать скрытые элементы. Буду рад любой помощи
    • vasili_rb
      Прошу помощи
      От vasili_rb
      Добрый день.
      Очень нужна помощь. Хватанул какого то трояна скорее всего.
      Не запускаются виртуальные машины в Hyper-V, перестали работать обновления 
      SRVMAIN_2025-02-12_11-59-20_v4.99.8v x64.7z
       
      HyperV восcтановил путем удаления роли и установкой по новому.
×
×
  • Создать...