Перейти к содержанию
Правила раздела

[РЕШЕНО] Скачал и запустил Trojan

gulyeza

Автор gulyeza
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

gulyeza Новичок

gulyeza

Опубликовано
Опубликовано (изменено)

Здравствуйте, вчера умудрился попостятся на троян. Если рассказывать кратко, качал зип архив с UploadHeaven, но начались перебросы по ссылкам и по итогу скачался exe файл. Сразу закинуть его в проверку ума не хватило, да и повода сомневается не было, очень много в свое время оттуда качал, вот и подумал, может у них обновление какое то, что распаковщик теперь такой. Но стоило только открыть, сразу антивирус начал всю систему грузить, начал пытаться закрывать, но только через диспетчер смог. Так же в диспетчере появились 3 новые процесса, 1 из которых не запомнил, а остальные 2 были: reason cybersecurite и reason cybersecurite vpn. Начал через параметры их удалять, так то даже получилось. Затем зашел в виндоус дефендер, он как то странно тупил, подгружался постоянно, через пару секунд вообще выключился. Ну я и нажал снова включить, как я понял, это и была главная ошибка, потому что высветилось окно подтверждения с изменением файлов (стандартное когда запускаешь антивирусник) я и нажал на "Да". На первый взгляд вообще ничего не поменялось, подумал что пора винду сносить. Все переустановил, правда не с внешнего накопителя, а локально, с этого же ноута. И есть подозрения, что особо красок не поменяло, потому что при заходе в дефендер пишет, мол "Ваш системный администратор ограничил доступ", пытался это выключить по гайдам на сайте майкрасофта, ничего не сработало. Подумал надо и биос сбросить, зашел потыкался, не особо понял поменялось ли вообще что то.

Прикладываю скан того exe с вирус тотала:image.thumb.png.b71b48f56108489b3cbcac44c34318c7.png

Так же файл с логами:CollectionLog-2025.06.22-19.56.zip

Еще, после сбора логов, эта надпись "Ваш системный администратор ограничил доступ" в дефендере пропала, не знаю хорошо это или плохо.

Заранее Спасибо за ответ, надеюсь проблема решаема.

upd: после сброса винды, запускал скан доктор веба, ничего не нашел

Изменено пользователем gulyeza
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): 

O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = (missing)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorUser] = (missing)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [EnableLUA] = (missing)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = (missing)

Перезагрузите компьютер.

 

Дополнительно, пожалуйста:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

 

Ссылка на комментарий
Поделиться на другие сайты
gulyeza Новичок

gulyeza

Опубликовано
  • Автор
Опубликовано
5 часов назад, Sandor сказал:

Здравствуйте!

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): 

O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = (missing)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorUser] = (missing)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [EnableLUA] = (missing)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = (missing)

Перезагрузите компьютер.

 

Дополнительно, пожалуйста:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

 

Здравствуйте, вроде все сделал. Только не понял, надо ли снова запускать логер после фикса, но подумал лишнем не будет, так что вот: CollectionLog-2025.06.23-13.53.zipHiJackThis_debug.zip.
Так же провел скан в FRST, прикрепляю файл: FRST.txtAddition.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Явных признаков заражения не видно.

Сделайте такую проверку:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на комментарий
Поделиться на другие сайты
gulyeza Новичок

gulyeza

Опубликовано
  • Автор
Опубликовано
3 минуты назад, Sandor сказал:

Явных признаков заражения не видно.

Сделайте такую проверку:

 

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

 

 

Вот результат: SecurityCheck.txt.

А если заражения не было, почему у меня после переустановки виндоус был отключен и заблокирован дефендер? (Спрашиваю из интереса, а не попрекаю) 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Я не сказал "не было" :)

В системе сейчас установлен антивирус Касперского. Стандартно настроено так, что при установке стороннего антивируса встроенный отключается и остаётся, так сказать, на подхвате.

 

Исправьте по возможности:

Microsoft 365 - ru-ru v.16.0.14026.20302 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.44.35208 v.14.44.35208.0 Внимание! Скачать обновления
 

Читайте Рекомендации после удаления вредоносного ПО и старайтесь не скачивать, а тем более не запускать трояны :)

Ссылка на комментарий
Поделиться на другие сайты
gulyeza Новичок

gulyeza

Опубликовано
  • Автор
Опубликовано
15 минут назад, Sandor сказал:

Я не сказал "не было" :)

В системе сейчас установлен антивирус Касперского. Стандартно настроено так, что при установке стороннего антивируса встроенный отключается и остаётся, так сказать, на подхвате.

 

Исправьте по возможности:

Microsoft 365 - ru-ru v.16.0.14026.20302 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.44.35208 v.14.44.35208.0 Внимание! Скачать обновления
 

Читайте Рекомендации после удаления вредоносного ПО и старайтесь не скачивать, а тем более не запускать трояны :)

Все сделал! Спасибо за помощь!

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Erhogg
      Kaspersky Plus скачал обновление, но не обновляется
      Автор Erhogg
      Здравствуйте, такая проблема: сегодня заметил, что Kaspersky Plus скачал обновление, но почему-то не обновился и не обновляется. Что делать? Может, есть какая-то возможность запустить обновление вручную? 
    • Sergsob98
      Kaspersky Security Center web как запустить Wake on lan
      Автор Sergsob98
      Доброго времени суток!
      У меня установлен сервер администрирования Kaspersky Security Center 15.2 на Linux, доступ к нему осуществляется через веб-интерфейс. Подскажите, где найти функцию Wake on LAN, чтобы можно было удалённо включать компьютеры? 
       
      Сообщение от модератора thyrex Перенесено из технического раздела
    • The_LastNight
      Словил MEM: Trojan. Multi.Agent.Gen
      Автор The_LastNight
      Добрый день! После посещения несколько сайтов словил вирус MEM: TROJAN. MULTI.AGENT.GEN. Касперский его видит, но удалить не может, появляется снова. Некоторые способы с форума уже пробовал, не помогли.
    • KL FC Bot
      Что произойдет с компьютером, если скачать пиратскую программу | Блог Касперского
      Автор KL FC Bot
      Что вы делаете, когда нужно скачать программу, но возможности купить официальную лицензию пока нет? Правильный ответ: «Выбираю пробную версию» или «Ищу бесплатные аналоги». Неправильный: «Ищу в поисковике взломанную версию необходимого ПО».
      Альтернативные неизвестные источники зачастую предлагают взломанную версию программы… и еще кое-что. В итоге пользователь, продираясь сквозь напичканные рекламой сайты, зачастую все-таки получает нужную программу (чаще всего — без возможности последующего обновления и сетевых функций), а в довесок — майнер, стилер или что еще туда положили хакеры.
      Сегодня на примере реальных кейсов расскажем, что не так с ресурсами, которые предлагают скачать любое ПО здесь и сейчас.
      Майнер и стилер на SourceForge
      SourceForge — это некогда крупнейший сайт, посвященный Open Source, в некотором смысле прародитель GitHub. Но не подумайте плохого: сейчас SourceForge по-прежнему активен, он предоставляет услуги хостинга и распространения программного обеспечения. На сайте софт-портала большое количество проектов, при этом любой желающий может загрузить туда свой.
      И эта возможность, как и в случае с GitHub, — камень преткновения на пути к высокому уровню безопасности. Рассмотрим лишь один пример: наши эксперты обнаружили на SourceForge проект с названием officepackage. На первый взгляд выглядит безобидно: понятное описание, хорошее название и даже один положительный отзыв.
      Страница officepackage на софт-портале SourceForge
      А если мы скажем, что описание и файлы полностью скопированы с чужого проекта на GitHub? Уже подозрительно! При этом никаких зловредов при клике на кнопку Скачать загружено не будет — проект условно чистый. Условно, потому что вредоносная нагрузка распространялась не напрямую через проект officepackage, а через ассоциированную с ним веб-страницу. Но как это возможно?
      Дело в том, что каждый проект, созданный на SourceForge, получает свое доменное имя и хостинг на сайте sourceforge.io. Так, проект с названием officepackage получит веб-страницу по адресу officepackage.sourceforge[.]io. Подобные страницы великолепно индексируются поисковиками и зачастую занимают топовые места в выдаче. Именно таким образом злоумышленники и привлекают жертв.
       
      View the full article
    • Implex
      Recoverifiles, Trojan Siggen20 38036, зашифрованы файлы
      Автор Implex
      Добрый день, взлом произошел по RDP по порту 3389, получили доступ к учетку Администратор
      Запуск произошел C:\Users\Администратор\Desktop\Recoverifiles@gmail.com.exe

      Dr.Web обнаружил Trojan.Siggen20.38036 (приложил в файле exe virus)
      key id pkey rsakey.7z зашифрованные docx.7z FRST.7z
      Строгое предупреждение от модератора thyrex Вредоносное вложение удалено
×
×
  • Создать...