Перейти к содержанию
Правила раздела

Подозрение на троян

Nova

Автор Nova
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Nova

Nova

Опубликовано
Опубликовано (изменено)

Касперский выдает сообщение, что svchost.exe пытается открыть вредоносную ссылку:

Сообщение от модератора Mark D. Pearlstone
Вредоносные ссылки удалены.

virusinfo_syscure.zip

virusinfo_syscheck.zip

info.txt

log.txt

Изменено пользователем Mark D. Pearlstone
Ссылка на комментарий
Поделиться на другие сайты
Tiare

Tiare

Опубликовано
Опубликовано

Nova, здравствуйте.

 

Проверьте эти файлы на virustotal

Раскрывающийся текст:

кнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file). Нажать на кнопку Reanalyse (если будет). Дождитесь результата .

Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме. 

C:\Program Files\Common Files\microsoft shared\ksu3api.sap
C:\WINDOWS\SETUP1.EXE
C:\WINDOWS\ISUN16.EXE

 

эти адреса в доверенную зону сами добавляли?

O15 - Trusted Zone: *.authority.ru

O15 - Trusted Zone: *.bankplus.ru

O15 - Trusted Zone: *.faktura.ru

 

Remote Administrator сами устанавливали?

 

Приложите отчет полного сканирования Malwarebytes' Anti-Malware -эта программа у вас установлена.

 

Запустите Malwarebytes' Anti-Malware, обновите базы. Откажитесь от использования пробной версии Malwarebytes' Anti-Malware Full. Выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Ссылка на комментарий
Поделиться на другие сайты
Nova

Nova

Опубликовано
  • Автор
Опубликовано
Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

http://www.virustotal.com/file-scan/report...ca77-1322731711

http://www.virustotal.com/file-scan/report...6c3c-1322731997

http://www.virustotal.com/file-scan/report...d4b4-1322731923

 

эти адреса в доверенную зону сами добавляли?

Это клиент-банк установлен.

 

Remote Administrator сами устанавливали?

да

mbam_log_2011_12_01__17_07_42_.txt

Ссылка на комментарий
Поделиться на другие сайты
Tiare

Tiare

Опубликовано
Опубликовано (изменено)

ваш зловред

 

 

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Program Files\Common Files\microsoft shared\ksu3api.sap','');
DeleteFile('C:\Program Files\Common Files\microsoft shared\ksu3api.sap');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters','ServiceDll');
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\srvsvc.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

Пофиксите в HijackThis

 

R3 - URLSearchHook: (no name) -  - (no file)

 

 

удалять это или нет - на ваше усмотрение

c:\program files\globalscape\cuteftp 8 professional\Crack.exe
c:\program files\TC\Plugins\arc\sfx7z\Upack.exe 
c:\program files\TC\Plugins\arc\sfx7z.015\Upack.exe

 

 

Обязательно деинсталлируйте MBAM!

Пуск--Панель управления--Установка и удаление программ

Находим там Malwarebytes' Anti-Malware и нажимаем удалить.

 

- обновите Java до актуальной версии

 

Kaspersky Internet Security 2010

- желательно перейти на актуальную версию - KIS 2012

 

 

Повторите логи AVZ и RSIT

 

 

Что с проблемой?

 

 

 

P.S. рекомендую сменить все важные пароли, т.к. по определению одной из антивирусных компаний ваш зловред - Trojan.PWS.Turist (имеет функционал похитителя паролей).

Изменено пользователем Tiare
Ссылка на комментарий
Поделиться на другие сайты
Nova

Nova

Опубликовано
  • Автор
Опубликовано (изменено)
P.S. рекомендую сменить все важные пароли, т.к. по определению одной из антивирусных компаний ваш зловред - Trojan.PWS.Turist (имеет функционал похитителя паролей).

 

Спасибо большое. Каспер перестал ругаться.

Есть еще вопросы:

1. С флэшкой этот троян может ходить?

2. Есть еще компьютер с точно такой же проблемой - этим скриптом решится проблема или все по новой?

virusinfo_syscure.zip

virusinfo_syscheck.zip

info.txt

log.txt

Изменено пользователем Nova
Ссылка на комментарий
Поделиться на другие сайты
Tiare

Tiare

Опубликовано
Опубликовано (изменено)

Подчистим хвосты.

 

 

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('c:\all-radio\allradio.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Rar$DI02.203\msvbvm60.dll','');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Rar$DI02.203\msvbvm60.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

Ответ по отправленному карантину (1 и 2) обязательно покажите.

 

Повторите логи AVZ.

 

 

По другому компьютеру создавайте отдельную тему. Эти скрипты пишутся именно для вашего компьютера, на других компьютерах их выполнять нельзя!

Изменено пользователем Tiare
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • DonorRaboti
      [РЕШЕНО] Подозрение на троян Trojan:Win32/Wacatac.B!ml
      Автор DonorRaboti
      Добрый день, по своей глупости скачал файл exe и запустил его после чего на компьютере появились рекламные ярлыки на рабочем столе и как будто часть сайтов с антивирусным по затормозились. Сканировал Dr.Web CureIt и KVRT, но ничего не было найдено того, что ранее не видел. Возможно, видел новый созданный профиль в Windows, подписанный как неизвестный или что-то такое и удалил его. Проверки Антивирусами ничего не выявляли, кроме пары файлов в корзине. Сам компьютер, как мне показалось, иногда подвисал, словно был загружен, но в диспетчере задач, как и в resmon ничего не выявил. На VirusTotal при проверке файла указывало на вредоносное ПО, содержащее Trojan:Win32/Wacatac.B!ml. Также заметил, что не могу попасть на сайт safezone.cc, скачивал автологер через 2 зеркало
      CollectionLog-2025.06.19-02.13.zip
    • Amurkin
      Подозрение на майнер
      Автор Amurkin
      Добрый день! Новый ноутбук стал сильно греться даже в простое. Подозреваю майнер. Прошу помочь!CollectionLog-2025.08.09-12.09.zip
    • Екатерина12165
      Троян не удалился
      Автор Екатерина12165
      Всем привет. У меня винда 11.
      Недавно появились такие файлы и папки с иконкой моего антивирусника, но со странными названия, внутри папок был текст на латинице. Мой антивирусник "pro 32 ultimate security" не нашел вирусов. Прогнала ноут через DR.WEB он нашел вирус, после удаления и перезарузки ноута, файлы остались. Скачала касперского, тот нашел троян, также три раза прогнала через проверку, в первый раз якобы удалился троян и вирусы, а в след. разы пыталась таким способом удалить файлы, которые остались, также 0 результата, хотя вирусы вроде бы удалились, но что меня пугает это остаточные файлы и папки, они обновляются ежедневно. 
      Ранее скачивала через проверенный торрент игрушки... Мб из-за этого словила вирусы.
      Также Ярлыки и игрушки купленные в стиме открываются раз через раз, + иногда рабочий стол не откликается, просто не кликается.
      По поводу ярлыков и приложений, через диспетчер задач снимала их, после пыталась открыть, но без результата, помогала только перезагрузка на +- 2-3 раз. 
      Помогите, пожалуйста, убрать всё таки вирусы или трояны.  



    • Isik
      Подозрение на майнер
      Автор Isik
      Малварбайт обнаружил процесс исходящего траффика в пути- C:\Users\user\AppData\Local\Temp\2xzjMMUGjeobOYtjoc0gOuMKKHC, потом это появлялось снова и снова. В диспетчере задач обнаружил три процесса Setup, которые ведут к папке 2xzjMMUGjeobOYtjoc0gOuMKKHC в Temp. Что это такое не пойму, никогда ничего подобного не видел. Заранее благодарю.
    • Шораан
      Подозрение на Trojan.Win32.Penguish.bzb
      Автор Шораан
      Здравствуйте! У меня подозрения на тот же вирус. Проверил сканером предложенным выше , посмотрите пожалуйста отчет
      Addition.zip
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...