Перейти к содержанию
Правила раздела

[РЕШЕНО] Скачал и запустил Trojan

gulyeza

Автор gulyeza
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

gulyeza

gulyeza

Опубликовано
Опубликовано (изменено)

Здравствуйте, вчера умудрился попостятся на троян. Если рассказывать кратко, качал зип архив с UploadHeaven, но начались перебросы по ссылкам и по итогу скачался exe файл. Сразу закинуть его в проверку ума не хватило, да и повода сомневается не было, очень много в свое время оттуда качал, вот и подумал, может у них обновление какое то, что распаковщик теперь такой. Но стоило только открыть, сразу антивирус начал всю систему грузить, начал пытаться закрывать, но только через диспетчер смог. Так же в диспетчере появились 3 новые процесса, 1 из которых не запомнил, а остальные 2 были: reason cybersecurite и reason cybersecurite vpn. Начал через параметры их удалять, так то даже получилось. Затем зашел в виндоус дефендер, он как то странно тупил, подгружался постоянно, через пару секунд вообще выключился. Ну я и нажал снова включить, как я понял, это и была главная ошибка, потому что высветилось окно подтверждения с изменением файлов (стандартное когда запускаешь антивирусник) я и нажал на "Да". На первый взгляд вообще ничего не поменялось, подумал что пора винду сносить. Все переустановил, правда не с внешнего накопителя, а локально, с этого же ноута. И есть подозрения, что особо красок не поменяло, потому что при заходе в дефендер пишет, мол "Ваш системный администратор ограничил доступ", пытался это выключить по гайдам на сайте майкрасофта, ничего не сработало. Подумал надо и биос сбросить, зашел потыкался, не особо понял поменялось ли вообще что то.

Прикладываю скан того exe с вирус тотала:image.thumb.png.b71b48f56108489b3cbcac44c34318c7.png

Так же файл с логами:CollectionLog-2025.06.22-19.56.zip

Еще, после сбора логов, эта надпись "Ваш системный администратор ограничил доступ" в дефендере пропала, не знаю хорошо это или плохо.

Заранее Спасибо за ответ, надеюсь проблема решаема.

upd: после сброса винды, запускал скан доктор веба, ничего не нашел

Изменено пользователем gulyeza
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): 

O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = (missing)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorUser] = (missing)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [EnableLUA] = (missing)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = (missing)

Перезагрузите компьютер.

 

Дополнительно, пожалуйста:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

 

gulyeza

gulyeza

Опубликовано
  • Автор
Опубликовано
5 часов назад, Sandor сказал:

Здравствуйте!

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): 

O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = (missing)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorUser] = (missing)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [EnableLUA] = (missing)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = (missing)

Перезагрузите компьютер.

 

Дополнительно, пожалуйста:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

 

Здравствуйте, вроде все сделал. Только не понял, надо ли снова запускать логер после фикса, но подумал лишнем не будет, так что вот: CollectionLog-2025.06.23-13.53.zipHiJackThis_debug.zip.
Так же провел скан в FRST, прикрепляю файл: FRST.txtAddition.txt

Sandor

Sandor

Опубликовано
Опубликовано

Явных признаков заражения не видно.

Сделайте такую проверку:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
gulyeza

gulyeza

Опубликовано
  • Автор
Опубликовано
3 минуты назад, Sandor сказал:

Явных признаков заражения не видно.

Сделайте такую проверку:

 

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

 

 

Вот результат: SecurityCheck.txt.

А если заражения не было, почему у меня после переустановки виндоус был отключен и заблокирован дефендер? (Спрашиваю из интереса, а не попрекаю) 

Sandor

Sandor

Опубликовано
Опубликовано

Я не сказал "не было" :)

В системе сейчас установлен антивирус Касперского. Стандартно настроено так, что при установке стороннего антивируса встроенный отключается и остаётся, так сказать, на подхвате.

 

Исправьте по возможности:

Microsoft 365 - ru-ru v.16.0.14026.20302 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.44.35208 v.14.44.35208.0 Внимание! Скачать обновления
 

Читайте Рекомендации после удаления вредоносного ПО и старайтесь не скачивать, а тем более не запускать трояны :)

gulyeza

gulyeza

Опубликовано
  • Автор
Опубликовано
15 минут назад, Sandor сказал:

Я не сказал "не было" :)

В системе сейчас установлен антивирус Касперского. Стандартно настроено так, что при установке стороннего антивируса встроенный отключается и остаётся, так сказать, на подхвате.

 

Исправьте по возможности:

Microsoft 365 - ru-ru v.16.0.14026.20302 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.44.35208 v.14.44.35208.0 Внимание! Скачать обновления
 

Читайте Рекомендации после удаления вредоносного ПО и старайтесь не скачивать, а тем более не запускать трояны :)

Все сделал! Спасибо за помощь!

Sandor

Sandor

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Dmitry2811
      [РЕШЕНО] trojanstarter,keysender, Трояны, майнеры, нацеплял за много лет
      Автор Dmitry2811
      сегодня играл в игру и обратил внимание, что в целом комп стал совсем слабо тянуть по производительности, потыкался в диспетчере задач с ЦП, все стало норм, обратил внимание что снова появились просадки, когда открывал диспетчер то все было ок, дальше самое интересное)))
      я начал изучать подробности и процессы и диспетчер сам начал закрываться, я сразу же полез в браузер качать антивирусы и все такое прочее, как вдруг браузер резко начал сам выключаться)) с командной строкой и диспетчером задач то же самое, после перезагрузки еле как успел врубить безопасный режим, скачал cureit, нашло 28 пунктов, далее будут на фото, сори что в таком качестве, я не знаю правильно сделал или нет что удалил их, но на нервяке был сильном, через AV block remover прогнал, удалил пользователя John, потом на второй раз прошел cureit, нашло одного трояна, и второй раз шлифанул через AVBR, через скрытый файл hosts вернул доступ к сайтам, прошу прощения что так расписал, но на таком нервяке сейчас…помогите пожалуйста, добить этот треш
       
    • MrKrutoy
      [РЕШЕНО] Toool.btcMine.2782
      Автор MrKrutoy
      Столкнулся с вирусом. Прикрепляю логи.
      AV_block_remove_2025.12.04-20.35.log
    • Graf_Bender
      Словил майнер
      Автор Graf_Bender
      Добрый день. Скачал какойCollectionLog-2025.12.03-09.49.zip-то файл на комп и заметил что он стал сильно греться, проверил утилитой Dr.Web и обнаружил что на компе вирусня. Помогите плиз

    • Kaross
      [РЕШЕНО] Компьютер стал работать на 100% интернет проседает.
      Автор Kaross
      Компьютер стал работать на 100% интернет проседает, вентиляторы работают на всю мощь , интернет работает сначала 10мб потом скидывается до 3мб у соседа нормально всеCollectionLog-2025.12.02-21.41.zip
      report1.log report2.log report1.log
    • Георгий123
      MEM: Trojan-PSW.Win32. Mimikatz.gen и Backdoor.Win32.Gulpix.gen
      Автор Георгий123
      Здравствуйте, уважаемые эксперты. Прошу вашей помощи, так как сам уже не справляюсь. Ситуация запутанная
       
      Моя история и что я делал:
       
       У меня установлен антивирус Huorong Internet Security. Пару месяцев недель назад он начал обнаруживать и отправлять в карантин подозрительные файлы по пути вроде C:\Windows\System Temp\chrome_Unpacker_BeginUnzipping...\UpdaterSetup.exe. Они появлялись пачками по 3-4 файла 
      Сегодня я выключил интернет кабель по рекомендациям, запустил Kaspersky Virus Removal Tool (KVRT). Он нашёл трояны и я попытался вылечить угрозу: MEM:Backdoor.Win32.Gulpix.gen.
      После лечения и перезагрузки KVRT снова проверил систему и обнаружил уже ДРУГИЕ угрозы:
         · Trojan.Win32.Dorma.aeph — расположение: C:\Users\[Моё_Имя]\Downloads\CCleaner Soft download load.exe 
         · MEM:Trojan-PSW.Win32.Mimikatz.gen 
      Я пробовал лечить и эти угрозы через KVRT, но после перезагрузки ситуация повторяется: антивирус снова находит Mimikatz.
      После 3 проверки опять появился тот самый бэкдор..
      Интернет кабель ещё не включал я думаю что если я включу обратно или там перезагружу компьютер и начну им пользоваться то это все появится лбратно
      Прошу вас помочь! Буду очень благодарен, не разбираюсь особо в этом, но жалко компьютер.. 
       
×
×
  • Создать...