Перейти к содержанию
Правила раздела

Подозрение на троян

Nova

Автор Nova
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Nova Новичок

Nova

Опубликовано
Опубликовано (изменено)

Касперский выдает сообщение, что svchost.exe пытается открыть вредоносную ссылку:

Сообщение от модератора Mark D. Pearlstone
Вредоносные ссылки удалены.

virusinfo_syscure.zip

virusinfo_syscheck.zip

info.txt

log.txt

Изменено пользователем Mark D. Pearlstone
Ссылка на комментарий
Поделиться на другие сайты
Tiare Профи

Tiare

Опубликовано
Опубликовано

Nova, здравствуйте.

 

Проверьте эти файлы на virustotal

Раскрывающийся текст:

кнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file). Нажать на кнопку Reanalyse (если будет). Дождитесь результата .

Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме. 

C:\Program Files\Common Files\microsoft shared\ksu3api.sap
C:\WINDOWS\SETUP1.EXE
C:\WINDOWS\ISUN16.EXE

 

эти адреса в доверенную зону сами добавляли?

O15 - Trusted Zone: *.authority.ru

O15 - Trusted Zone: *.bankplus.ru

O15 - Trusted Zone: *.faktura.ru

 

Remote Administrator сами устанавливали?

 

Приложите отчет полного сканирования Malwarebytes' Anti-Malware -эта программа у вас установлена.

 

Запустите Malwarebytes' Anti-Malware, обновите базы. Откажитесь от использования пробной версии Malwarebytes' Anti-Malware Full. Выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Ссылка на комментарий
Поделиться на другие сайты
Nova Новичок

Nova

Опубликовано
  • Автор
Опубликовано
Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

http://www.virustotal.com/file-scan/report...ca77-1322731711

http://www.virustotal.com/file-scan/report...6c3c-1322731997

http://www.virustotal.com/file-scan/report...d4b4-1322731923

 

эти адреса в доверенную зону сами добавляли?

Это клиент-банк установлен.

 

Remote Administrator сами устанавливали?

да

mbam_log_2011_12_01__17_07_42_.txt

Ссылка на комментарий
Поделиться на другие сайты
Tiare Профи

Tiare

Опубликовано
Опубликовано (изменено)

ваш зловред

 

 

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Program Files\Common Files\microsoft shared\ksu3api.sap','');
DeleteFile('C:\Program Files\Common Files\microsoft shared\ksu3api.sap');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters','ServiceDll');
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\srvsvc.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

Пофиксите в HijackThis

 

R3 - URLSearchHook: (no name) -  - (no file)

 

 

удалять это или нет - на ваше усмотрение

c:\program files\globalscape\cuteftp 8 professional\Crack.exe
c:\program files\TC\Plugins\arc\sfx7z\Upack.exe 
c:\program files\TC\Plugins\arc\sfx7z.015\Upack.exe

 

 

Обязательно деинсталлируйте MBAM!

Пуск--Панель управления--Установка и удаление программ

Находим там Malwarebytes' Anti-Malware и нажимаем удалить.

 

- обновите Java до актуальной версии

 

Kaspersky Internet Security 2010

- желательно перейти на актуальную версию - KIS 2012

 

 

Повторите логи AVZ и RSIT

 

 

Что с проблемой?

 

 

 

P.S. рекомендую сменить все важные пароли, т.к. по определению одной из антивирусных компаний ваш зловред - Trojan.PWS.Turist (имеет функционал похитителя паролей).

Изменено пользователем Tiare
Ссылка на комментарий
Поделиться на другие сайты
Nova Новичок

Nova

Опубликовано
  • Автор
Опубликовано (изменено)
P.S. рекомендую сменить все важные пароли, т.к. по определению одной из антивирусных компаний ваш зловред - Trojan.PWS.Turist (имеет функционал похитителя паролей).

 

Спасибо большое. Каспер перестал ругаться.

Есть еще вопросы:

1. С флэшкой этот троян может ходить?

2. Есть еще компьютер с точно такой же проблемой - этим скриптом решится проблема или все по новой?

virusinfo_syscure.zip

virusinfo_syscheck.zip

info.txt

log.txt

Изменено пользователем Nova
Ссылка на комментарий
Поделиться на другие сайты
Tiare Профи

Tiare

Опубликовано
Опубликовано (изменено)

Подчистим хвосты.

 

 

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('c:\all-radio\allradio.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Rar$DI02.203\msvbvm60.dll','');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Rar$DI02.203\msvbvm60.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

Ответ по отправленному карантину (1 и 2) обязательно покажите.

 

Повторите логи AVZ.

 

 

По другому компьютеру создавайте отдельную тему. Эти скрипты пишутся именно для вашего компьютера, на других компьютерах их выполнять нельзя!

Изменено пользователем Tiare
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • DonorRaboti
      [РЕШЕНО] Подозрение на троян Trojan:Win32/Wacatac.B!ml
      Автор DonorRaboti
      Добрый день, по своей глупости скачал файл exe и запустил его после чего на компьютере появились рекламные ярлыки на рабочем столе и как будто часть сайтов с антивирусным по затормозились. Сканировал Dr.Web CureIt и KVRT, но ничего не было найдено того, что ранее не видел. Возможно, видел новый созданный профиль в Windows, подписанный как неизвестный или что-то такое и удалил его. Проверки Антивирусами ничего не выявляли, кроме пары файлов в корзине. Сам компьютер, как мне показалось, иногда подвисал, словно был загружен, но в диспетчере задач, как и в resmon ничего не выявил. На VirusTotal при проверке файла указывало на вредоносное ПО, содержащее Trojan:Win32/Wacatac.B!ml. Также заметил, что не могу попасть на сайт safezone.cc, скачивал автологер через 2 зеркало
      CollectionLog-2025.06.19-02.13.zip
    • FMEKLW
      [РЕШЕНО] Подозрение на майнер
      Автор FMEKLW
      Как-то просто решил зайти в диспетчер задач и посмотреть процессы, и увидел 3 процесса Setup, которые ведут к папке 2xzjMMUGjeobOYtjoc0gOuMKKHC в Temp. Сам просто решил пока ничего не делать, а поискать информации об этой теме. И вот я здесь нашёл обсуждения с помощью по данной теме. Честно не знаю, что мог скачать, из-за чего это появилось: либо игры, либо русификаторы, либо что-то другое. Все скачивал по прямой ссылке, с облаков, с MediaGet и uTorrent. Никаких проблем я особо не увидел, как у других. Т.е. люди писали про проблемы с расширениями в Chrome, коих у себя я не обнаружил, ведь я пользуюсь из браузеров только Яндексом, в котором ничего странного тоже нету.CollectionLog-2025.07.11-23.07.zip
    • varzi_73
      Троян trojan.multi.aum
      Автор varzi_73
      Добрый день! подцепил троян. Как восстановить данные?
      RDesk_Backup.rar
    • Vovkaproshka
      Подозрение на майнер
      Автор Vovkaproshka
      После установки лоадера впнов появился процесс setup нагружает только оперативку.
      Doctor  web antivirus удаляет три трояна, после сетап пропадает из процессов, после перезагрузки процесс снова появляется, думаю прикрепился к какому-то приложению, через безопасный режим также после удаления и перезагрузки загружается,  находится по пути AppData\Local\Temp\2xzjMMUGjeobOYtjoc0gOuMKKHC
    • Milink
      Подозрение на майнер
      Автор Milink
      скачал игру с торрента, после чего в браузере Chrome после каждого перезапуска пк начало устанавливаться левое расширение якобы Adblock. Так же в temp появляется папка 2xzjMMUGjeobOYtjoc0gOuMKKHC. Пробовал чистить антивирусами - не помогло.
      Нашел решение, avz скачал, Autologger я так понимаю тоже надо качать: 
      Актуально ли оно?
       
×
×
  • Создать...