Перейти к содержанию

Подозрение на троян


Рекомендуемые сообщения

Касперский выдает сообщение, что svchost.exe пытается открыть вредоносную ссылку:

Сообщение от модератора Mark D. Pearlstone
Вредоносные ссылки удалены.

virusinfo_syscure.zip

virusinfo_syscheck.zip

info.txt

log.txt

Изменено пользователем Mark D. Pearlstone
Ссылка на сообщение
Поделиться на другие сайты

Nova, здравствуйте.

 

Проверьте эти файлы на virustotal

Раскрывающийся текст:

кнопка Обзор - ищите нужный файл у вас в системе - Открыть - Отправить файл (Send file). Нажать на кнопку Reanalyse (если будет). Дождитесь результата .

Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

C:\Program Files\Common Files\microsoft shared\ksu3api.sap
C:\WINDOWS\SETUP1.EXE
C:\WINDOWS\ISUN16.EXE

 

эти адреса в доверенную зону сами добавляли?

O15 - Trusted Zone: *.authority.ru

O15 - Trusted Zone: *.bankplus.ru

O15 - Trusted Zone: *.faktura.ru

 

Remote Administrator сами устанавливали?

 

Приложите отчет полного сканирования Malwarebytes' Anti-Malware -эта программа у вас установлена.

 

Запустите Malwarebytes' Anti-Malware, обновите базы. Откажитесь от использования пробной версии Malwarebytes' Anti-Malware Full. Выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Ссылка на сообщение
Поделиться на другие сайты
Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

http://www.virustotal.com/file-scan/report...ca77-1322731711

http://www.virustotal.com/file-scan/report...6c3c-1322731997

http://www.virustotal.com/file-scan/report...d4b4-1322731923

 

эти адреса в доверенную зону сами добавляли?

Это клиент-банк установлен.

 

Remote Administrator сами устанавливали?

да

mbam_log_2011_12_01__17_07_42_.txt

Ссылка на сообщение
Поделиться на другие сайты

ваш зловред

 

 

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Program Files\Common Files\microsoft shared\ksu3api.sap','');
DeleteFile('C:\Program Files\Common Files\microsoft shared\ksu3api.sap');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters','ServiceDll');
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\srvsvc.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

Пофиксите в HijackThis

 

R3 - URLSearchHook: (no name) -  - (no file)

 

 

удалять это или нет - на ваше усмотрение

c:\program files\globalscape\cuteftp 8 professional\Crack.exe
c:\program files\TC\Plugins\arc\sfx7z\Upack.exe 
c:\program files\TC\Plugins\arc\sfx7z.015\Upack.exe

 

 

Обязательно деинсталлируйте MBAM!

Пуск--Панель управления--Установка и удаление программ

Находим там Malwarebytes' Anti-Malware и нажимаем удалить.

 

- обновите Java до актуальной версии

 

Kaspersky Internet Security 2010

- желательно перейти на актуальную версию - KIS 2012

 

 

Повторите логи AVZ и RSIT

 

 

Что с проблемой?

 

 

 

P.S. рекомендую сменить все важные пароли, т.к. по определению одной из антивирусных компаний ваш зловред - Trojan.PWS.Turist (имеет функционал похитителя паролей).

Изменено пользователем Tiare
Ссылка на сообщение
Поделиться на другие сайты
P.S. рекомендую сменить все важные пароли, т.к. по определению одной из антивирусных компаний ваш зловред - Trojan.PWS.Turist (имеет функционал похитителя паролей).

 

Спасибо большое. Каспер перестал ругаться.

Есть еще вопросы:

1. С флэшкой этот троян может ходить?

2. Есть еще компьютер с точно такой же проблемой - этим скриптом решится проблема или все по новой?

virusinfo_syscure.zip

virusinfo_syscheck.zip

info.txt

log.txt

Изменено пользователем Nova
Ссылка на сообщение
Поделиться на другие сайты

Подчистим хвосты.

 

 

Закройте все программы, включая антивирусное программное обеспечение и firewall

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('c:\all-radio\allradio.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Rar$DI02.203\msvbvm60.dll','');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Rar$DI02.203\msvbvm60.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

 

После выполнения скрипта компьютер перезагрузится.

После перезагрузки выполнить второй скрипт.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

Ответ по отправленному карантину (1 и 2) обязательно покажите.

 

Повторите логи AVZ.

 

 

По другому компьютеру создавайте отдельную тему. Эти скрипты пишутся именно для вашего компьютера, на других компьютерах их выполнять нельзя!

Изменено пользователем Tiare
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...