Перейти к содержанию

Проводник тянет из сети вирус


Рекомендуемые сообщения

Добрый день!

 

Предистория. Пользователь жалуется, что через некоторое время работы пропадает интернет. После перезагрузки все опять работает, но только некоторое время 30-60 минут.

 

Обнаружил, что Касперский убивает во временной папке вирусы:

Trojan-Downloader.Win32.Agent.torm

Trojan.Win32.Jorik.IRCbot.efa

Trojan.Win32.Jorik.Tedroo.dr

Trojan-Dropper.Win32.Injector.adcz

Похоже когда Касперский убивает вирус пропадает сетевое подключение.

 

Сделал восстановление проводника с помощью команд AVZ - не помогло.

Сделал проверку компьютера. Результат в приложенных файлах. Backup.zip - ключи реестра созданные AVZ.

virusinfo_syscure.zip

virusinfo_syscheck.zip

avz.txt

hijackthis.log

Backup.zip

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\l.orlova\Application Data\Mafofa.exe','');
DeleteFile('C:\Documents and Settings\l.orlova\Application Data\Mafofa.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Mafofa');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

После проведённого лечения рекомендуется:

- установить все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

 

Сделайте новые логи по правилам.

т.е. кроме логов AVZ ещё требуются логи RSIT

перед созданием логов RSIT очистите временные файлы

Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner:

• скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

• если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

• нажмите No, если вы хотите оставить ваши сохраненные пароли

• если вы используете Opera, нажмите Opera - Select All - Empty Selected

нажмите No, если вы хотите оставить ваши сохраненные пароли.

 

+

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup-<current number>.exe

Обновите базы.

После окончания обновления баз откажитесь от использования пробной версии Malwarebytes' Anti-Malware Full (нажмите "Отклонить").

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Все сделал согласно инструкции.

AVZ обнаружил подмену проводника - сделал восстановление.

mbam подчистил вирусы.

После этого работает стабильно.

Ответа о вирусе пока не дождался.

 

Спасибо!

 

Одно не пойму, что означает "ошибка микропроцесса 385" при сканировании AVZ.

virusinfo_syscure.zip

virusinfo_syscheck.zip

mbam_log_2011_12_06__12_08_20_.txt

info.txt

log.txt

Ссылка на комментарий
Поделиться на другие сайты

Одно не пойму, что означает "ошибка микропроцесса 385" при сканировании AVZ.

не обращайте внимания

 

Удалите в MBAM:

 

Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A} (Trojan.BHO) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A} (Trojan.BHO) -> Value: {3F5A62E2-51F2-11D3-A075-CC7364CAE42A} -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A} (Trojan.BHO) -> Value: {3F5A62E2-51F2-11D3-A075-CC7364CAE42A} -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Worm.AutoRun) -> Value: Shell -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\zaber0 (Worm.Dorkbot) -> Value: zaber0 -> No action taken.

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe,explorer.exe) Good: (Explorer.exe) -> No action taken.

Зараженные файлы:
c:\documents and settings\l.orlova\application data\D.tmp (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP199\A0028841.exe (Trojan.Bmusic) -> No action taken.
c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP199\A0028853.exe (Trojan.Bmusic) -> No action taken.
c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP199\A0028862.exe (Trojan.Bmusic) -> No action taken.
c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP199\A0028906.exe (Trojan.Bmusic) -> No action taken.
c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP199\A0028913.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP202\A0029139.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP202\A0029147.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP202\A0029157.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP202\A0029167.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP202\A0029177.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP202\A0029185.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP202\A0029193.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP202\A0029202.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP202\A0029212.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP202\A0029268.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP203\A0029351.exe (Trojan.Agent) -> No action taken.
c:\system volume information\_restore{d55055d5-caa0-4c9f-af4c-3b428a669519}\RP205\A0030503.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\l.orlova\application data\16.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\l.orlova\application data\17.tmp (Trojan.Agent) -> No action taken.
c:\documents and settings\l.orlova\application data\18.tmp (Trojan.Agent) -> No action taken.

 

приложите новый отчёт.

c:\program files\TrafInsp\Agent\trafinspag_tollbar.dll

проверьте на virustotal.com

ссылку приложите.

Изменено пользователем Roman_Five
Ссылка на комментарий
Поделиться на другие сайты

Деинсталлируйте MBAM

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\l.orlova\Application Data\*.tmp','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
DeleteFileMask('C:\Documents and Settings\l.orlova\Application Data\','*.tmp ',false,' ');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zaber0');
RegKeyParamDel('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Сделайте контрольные логи AVZ и RSIT по правилам.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

При выполнении 1 скрипта, после предупреждения об отключении сетевых подключений, выходит синий экран смерти и сразу перезагружается компьютер. Попытку повторил 2 раза. Карантийных файлов соответственно нет.

Ссылка на комментарий
Поделиться на другие сайты

не выполнили!

Деинсталлируйте MBAM

 

выполните скрипт в AVZ:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Documents and Settings\l.orlova\Application Data\*.tmp','');
DeleteFileMask('C:\Documents and Settings\l.orlova\Application Data\','*.tmp ',false,' ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Перезагрузка.

 

повторите логи RSIT

Ссылка на комментарий
Поделиться на другие сайты

MBAM удалил через панель управления. Теперь его там нет. Установочной папки в c:\Program Files тоже нет.

 

запустил скрипт. успел увидеть "stop tcpip /y", после чего вышел синий экран смерти и компьютер перезагрузился. Касперский в этот момент был выгружен. Файрвол не установлен.

 

Новые логи приложены.

info.txt

log.txt

Ссылка на комментарий
Поделиться на другие сайты

пофиксите в Hijackthis:

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

 

вручную удалите

C:\Documents and Settings\l.orlova\Application Data\9.tmp

 

avz- файл - стандартные скрипты - скрипт № 6 - выполнить

 

сделайте новые логи RSIT

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Serhio0606
      Автор Serhio0606
      Здравствуйте, столкнулся с такой проблемой. На компьютере подхватил вирус, предполагаю, что майнер. Он маскируется под проводник explorer.exe и его не видит ни один антивирус, когда нажимаю расположение файла, переходит на обыкновенный проводник, но это вирус: во первых при всех закрытых приложениях (и в трее) по какой-то причине он всегда стабильно загружает процессор на 30% и конечно же при входе в диспетчер задач резко перестаёт, также я читал, что в диспетчере задач не может быть более одного проводника, а у меня их два. При закрытии задачи или перезагрузки компьютер полностью перезагружается (мгновенно выключается). Но по видимому он не самый мощный (вирус) и он не умеет как более продвинутые закрывать диспетчер задач через время, и можно пользоваться компьютером с открытым диспетчером. Так же ещё после него почему-то не всегда запускается, видимо совсем не качественный. Но при открытии диспетчера задач, во вкладке сведения, он не появляется в состоянии приостановлен, как делают некоторые майнеры, а видимо просто по тихому прекращает работать, но остаётся активным съедая максимум 1% цп. Но при всех нюансах он никаким пока, что образом не исчез, удалился и т.п. Пробовал кучу разных антивирусов с разными функциями и не один его не видит. Прошу помочь, но думаю уже просто не морочиться и снести винду.


      CollectionLog-2025.04.06-22.46.zip
    • sasaks11
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • kirill1121
      Автор kirill1121
      не знаю вирус ли но возможно майнер. скачивал вот с этого сайта https://remote-client.ru/?utm_source=direct&utm_medium=cpc&utm_campaign=anydesk&utm_content=0&utm_term=---autotargeting&yclid=200680025329867161

    • Mutabor
      Автор Mutabor
      Здравствуйте, моя домашняя сеть подключена к ботсети. Я узнал об этом из Касперского, зайдя в мониторинг умного дома увидел, что к моей домашней сети подключено 250 устройств.
      Ранее хакер взломал мой роутер и почту, поменяв пороли. Я все пароли поменял,
      на сложные, использовав генератор паролей, на почту смог войти по отпечатку пальца через смарфон, а роутер перезагрузил.
      Для того чтобы выйти из этой бот сети я создал в роутере белый список, привезав мак адреса моих устройств, так же создал гостевую сеть и перенаправил в нее устройства которые не поддерживают шифрования WAN 3 personal, это две колонки Алиса и телевизор. Три устройства поддерживающие это шифрование я оставил в основной сети. Это два смартфона и андроид телевизор.
      После этого Касперский показал что я вышел из ботсети, однако на следующее утро я снова увидел, что являюсь её участником.
      Так же на компьютере Касперский пишет, что у меня открыт 22 SSH порт, как его закрыть на моем роутере TP-Link Archer C80 я не знаю, перерыл всё меню. интернет, задавал вопрос ии, ответа так и не нашёл.
      Хотя я заходил на  https://www.yougetsignal.com/tools/open-ports/ чтобы проверить открыт ли этот порт у меня, пишет что порт закрыт.
      Осталась единственная надежда на вас, может вы сможете помочь, пожалуйста помогите выйти из этой ботсети.
    • kopia_921
      Автор kopia_921
      не могу удалить его, в doctor web curent в безопасном режиме не находит нечего,помогите

×
×
  • Создать...