Подозрение на троян

[Nova]

Касперский выдает сообщение, что svchost.exe пытается открыть вредоносную ссылку:

Сообщение от модератора Mark D. Pearlstone

Вредоносные ссылки удалены.

virusinfo_syscure.zip

virusinfo_syscheck.zip

info.txt

log.txt

Изменено 1 декабря, 2011 пользователем Mark D. Pearlstone

[Tiare]

Nova, здравствуйте.

 

Проверьте эти файлы на virustotal

Раскрывающийся текст:

кнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file). Нажать на кнопку Reanalyse (если будет). Дождитесь результата .

Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

C:\Program Files\Common Files\microsoft shared\ksu3api.sap
C:\WINDOWS\SETUP1.EXE
C:\WINDOWS\ISUN16.EXE

 

эти адреса в доверенную зону сами добавляли?

O15 - Trusted Zone: *.authority.ru

O15 - Trusted Zone: *.bankplus.ru

O15 - Trusted Zone: *.faktura.ru

 

Remote Administrator сами устанавливали?

 

Приложите отчет полного сканирования Malwarebytes' Anti-Malware -эта программа у вас установлена.

 

Запустите Malwarebytes' Anti-Malware, обновите базы. Откажитесь от использования пробной версии Malwarebytes' Anti-Malware Full. Выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

[Nova]

Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

http://www.virustotal.com/file-scan/report...ca77-1322731711

http://www.virustotal.com/file-scan/report...6c3c-1322731997

http://www.virustotal.com/file-scan/report...d4b4-1322731923

 

эти адреса в доверенную зону сами добавляли?

Это клиент-банк установлен.

 

Remote Administrator сами устанавливали?

да

mbam_log_2011_12_01__17_07_42_.txt

[Tiare]

ваш зловред

 

 

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Program Files\Common Files\microsoft shared\ksu3api.sap','');
DeleteFile('C:\Program Files\Common Files\microsoft shared\ksu3api.sap');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters','ServiceDll');
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\srvsvc.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

Пофиксите в HijackThis

 

R3 - URLSearchHook: (no name) -  - (no file)

 

 

удалять это или нет - на ваше усмотрение

c:\program files\globalscape\cuteftp 8 professional\Crack.exe
c:\program files\TC\Plugins\arc\sfx7z\Upack.exe 
c:\program files\TC\Plugins\arc\sfx7z.015\Upack.exe

 

 

Обязательно деинсталлируйте MBAM!

Пуск--Панель управления--Установка и удаление программ

Находим там Malwarebytes' Anti-Malware и нажимаем удалить.

 

- обновите Java до актуальной версии

 

Kaspersky Internet Security 2010

- желательно перейти на актуальную версию - KIS 2012

 

 

Повторите логи AVZ и RSIT

 

 

Что с проблемой?

 

 

 

P.S. рекомендую сменить все важные пароли, т.к. по определению одной из антивирусных компаний ваш зловред - Trojan.PWS.Turist (имеет функционал похитителя паролей).

Изменено 6 декабря, 2011 пользователем Tiare

[Nova]

P.S. рекомендую сменить все важные пароли, т.к. по определению одной из антивирусных компаний ваш зловред - Trojan.PWS.Turist (имеет функционал похитителя паролей).

 

Спасибо большое. Каспер перестал ругаться.

Есть еще вопросы:

1. С флэшкой этот троян может ходить?

2. Есть еще компьютер с точно такой же проблемой - этим скриптом решится проблема или все по новой?

virusinfo_syscure.zip

virusinfo_syscheck.zip

info.txt

log.txt

Изменено 1 декабря, 2011 пользователем Nova

[Tiare]

Подчистим хвосты.

 

 

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('c:\all-radio\allradio.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Rar$DI02.203\msvbvm60.dll','');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Rar$DI02.203\msvbvm60.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

Ответ по отправленному карантину (1 и 2) обязательно покажите.

 

Повторите логи AVZ.

 

 

По другому компьютеру создавайте отдельную тему. Эти скрипты пишутся именно для вашего компьютера, на других компьютерах их выполнять нельзя!

Изменено 6 декабря, 2011 пользователем Tiare

[Nova]

Tiare, а AllRadio будет после этого скрипта работать?

[Tiare]

Tiare, а AllRadio будет после этого скрипта работать?

будет, я его не удаляю, просто беру файл на проверку