Перейти к содержанию
Правила раздела

Трояны и прочее

stillwill

От stillwill
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

stillwill Новичок

stillwill

Опубликовано
Опубликовано

Здравствуйте!

 

Проблема идентичная описанной в 11 посте этой темы, источник заражения тот же. Разница только в том, что КИС все-таки отреагировал на установку всей этой гадости, но что-то все-таки поставилось. Проверку Dr.Web CureIt и KVRT провел, нашлось то же самое, что указано в вышеупомянутой теме. Логи AutoLogger прикрепляю.

 

Пожалуйста, помогите очистить систему, если что-то осталось!

 

Заранее спасибо!

CollectionLog-2016.06.13-12.18.zip

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

 

Kaspersky Internet Security 2012 []-->MsiExec.exe /I{45E557D6-2271-4F13-8101-C620B4285AB0}

Ну рассказывайте, как так получилось, что Вы пользуйтесь антивирусом, который уже снят с поддержки?

Ссылка на комментарий
Поделиться на другие сайты
stillwill Новичок

stillwill

Опубликовано
  • Автор
Опубликовано

 

 

Kaspersky Internet Security 2012 []-->MsiExec.exe /I{45E557D6-2271-4F13-8101-C620B4285AB0}

Ну рассказывайте, как так получилось, что Вы пользуйтесь антивирусом, который уже снят с поддержки?

 

Да все не досуг было обновиться, к сожалению. Да и машина старенькая, не уверен был, что комфортно будет с новыми версиями. Обновлюсь обязательно, только бы убедиться, что все чисто. Вы, кстати, все-таки расскажете, как это сделать? ;)

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Новым версиям антивируса требуется меньше ресурсов компьютера. Так что обновляйте это безобразие.

 

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
stillwill Новичок

stillwill

Опубликовано
  • Автор
Опубликовано

Сделал.

 

По поводу обновления КИС вопрос. Переходом с главной страницы Касперского попадаешь на загрузку версии 16.0.0.614, а из этой темы на загрузку версии 16.0.1.445 - 2016 MR1 (правда там ссылки для пользователей Российской федерации не открываются). Какую версию ставить?

FRST.txt

Addition.txt

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

ставьте 16.0.1.445 - 2016 MR1
 


что в этих 2-х архивах?

2016-06-01 09:43 - 2016-06-01 09:45 - 147692539 _____ C:\Documents and Settings\sol\Application Data\Mozilla.rar
2016-06-01 09:25 - 2016-06-01 09:25 - 00042641 _____ C:\Program Files\smartdl.rar

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:

SearchScopes: HKLM -> DefaultScope value is missing
CHR Plugin: (Chrome PDF Viewer) - C:\Documents and Settings\sol\Local Settings\Application Data\Google\Chrome\Application\38.0.2125.101\pdf.dll => No File
CHR Plugin: (Shockwave Flash) - C:\Documents and Settings\sol\Local Settings\Application Data\Google\Chrome\Application\38.0.2125.101\gcswf32.dll => No File
CHR Plugin: (Shockwave Flash) - C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_2_202_235.dll => No File
CHR Plugin: (QuickTime Plug-in 7.7.1) - C:\Program Files\QuickTime\plugins\npqtplugin6.dll => No File
CHR Plugin: (QuickTime Plug-in 7.7.1) - C:\Program Files\QuickTime\plugins\npqtplugin7.dll => No File
CHR HKLM\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ehfjihahbphdpljpiadbkmgmhnfehhgi] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
S4 IntelIde; no ImagePath
S3 npkycryp; \??\D:\games\l2alpha\system\npkycryp.sys [X]
U1 WS2IFSL; no ImagePath
2016-06-01 18:41 - 2016-06-01 18:41 - 00000000 ____D C:\Program Files\uvnc bvba
2016-06-01 18:41 - 2016-06-01 18:41 - 00000000 ____D C:\Documents and Settings\All Users\Главное меню\Программы\UltraVNC
2016-06-01 18:35 - 2016-06-01 18:35 - 00002143 _____ C:\Documents and Settings\sol\Главное меню\Программы\Интернет.lnk
2016-06-01 18:35 - 2016-06-01 18:35 - 00002137 _____ C:\Documents and Settings\sol\Рабочий стол\Интернет.lnk
2016-06-01 18:35 - 2016-06-01 18:35 - 00002120 _____ C:\Documents and Settings\sol\Главное меню\Программы\Одноклассники.lnk
2016-06-01 18:35 - 2016-06-01 18:35 - 00002120 _____ C:\Documents and Settings\sol\Главное меню\Программы\Вконтакте.lnk
2016-06-01 18:35 - 2016-06-01 18:35 - 00002114 _____ C:\Documents and Settings\sol\Рабочий стол\Одноклассники.lnk
2016-06-01 18:35 - 2016-06-01 18:35 - 00002114 _____ C:\Documents and Settings\sol\Рабочий стол\Вконтакте.lnk
2016-06-01 18:35 - 2016-06-01 18:35 - 00000000 ____D C:\Documents and Settings\sol\Local Settings\Application Data\Unity
2016-06-01 18:35 - 2016-06-01 18:35 - 00000000 ____D C:\Documents and Settings\sol\Local Settings\Application Data\Amigo
 

Reboot:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты
stillwill Новичок

stillwill

Опубликовано
  • Автор
Опубликовано

 

что в этих 2-х архивах?

2016-06-01 09:43 - 2016-06-01 09:45 - 147692539 _____ C:\Documents and Settings\sol\Application Data\Mozilla.rar
2016-06-01 09:25 - 2016-06-01 09:25 - 00042641 _____ C:\Program Files\smartdl.rar

 

Mozilla.rar - папка с профилем firefox, ну и всем остальным, что находится по указанному пути в одноименной папке. Нужно было профиль сохранить, т.к. вся эта эпопея началась с того, что не мог в firefox обновить персональные сертификаты.

 

smartdl.rar - архив с неким gunzip.exe, происхождение которого не знаю, т.к. не устанавливал. Хотел отправить на проверку. Если не трудно - подскажите, как это сделать.

 

Можно пару моментов уточнить? Что означают эти три строки:

S4 IntelIde; no ImagePath

S3 npkycryp; \?\D:\games\l2alpha\system\npkycryp.sys [X]

U1 WS2IFSL; no ImagePath

И uvnc чем-то опасен?

 

Спасибо!

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

 

 


smartdl.rar - архив с неким gunzip.exe, происхождение которого не знаю, т.к. не устанавливал. Хотел отправить на проверку. Если не трудно - подскажите, как это сделать.

virustotal.com
 

 

 


Что означают эти три строки:

хвосты от каких-то служб
 

 

 


И uvnc чем-то опасен?

его папка была создана тогда же, как у вас появились проблемы.
нужен - устанОвите заново с офсайта
Ссылка на комментарий
Поделиться на другие сайты
stillwill Новичок

stillwill

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

Систему, как я понимаю, можно считать чистой?

 

Один момент неясный остался. После заражения вручную убирал из автозагрузки mailruupdater и zaxar.exe через msconfig и с того времени при включении пк или перезагрузке каждый раз запускается Настройка системы (msconfig.exe), хотя должна единожды после внесения изменений. В чем может быть проблема? Кстати, строка с zaxar.exe в автозагрузке и MailRu Update Service в службах так и остались (галочки на них не стоят).

 

 

ставьте 16.0.1.445 - 2016 MR1

 

Хорошо!

У автора этой темы КИС обновлен до 16.0.0.614(g) - обновить до 16.0.1.445 или оставить как есть?

 

Спасибо за Вашу помощь!

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • orpham
      троян .kwx8
      От orpham
      Добрый день.
      15.02 вечером, зашифровало все файлы. Комп настроен для удаленного подключения по RDP, включен круглосуточно. Все файлы с расширением .kwx8/
      Помогите пож-та.
      Лог сканирования KVRT во вложении.
      report_2025.02.17_15.55.29.klr.rar
    • GLORYX
      скачал какой то вирус вроде троян
      От GLORYX
      не знаю как но где словил троян в диспечере задай просто находится пустой проц с аватаркой шестеренки пробовал через все програму успехом не увенчалось.
    • Hendehog
      Помощь в определении функциональности трояна
      От Hendehog
      Здравствуйте.
      Вирус замаскированный под файл от госорганов.
      Просканировал KVRT, DR.Web, и сняты логи автологгером.
      Прошу подсказки - что именно делается вирус, куда внедряется, как ворует деньги с банковских счетов?
      Ну и понять, чист сейчас ПК или нет.
      CollectionLog-2025.02.07-10.57.zip KVRT2020_Data.zip
    • SuPeR_1
      Словил вирус-майнер-троян до приобретения касперского стандарта пробной подписки и он не видит вирус-майнер-троян
      От SuPeR_1
      Когда играл заметил что ФПС низкий почему то, решил быстро клавишами Ctrl+Shift+Esc диспетчер задач и ЦП со 100% резко падал до дна, и не надо как в прошлый раз писать что диспетчер задач не означает что есть вирус-майнер-троян, у меня ведь и ФПС низкий, раньше в Minecraft были 100-200 ФПС, сейчас 60 и даже меньше. Провёл сканером Dr web и логи собрал. Пол года назад тоже тут обращался, помогли, надеюсь и в этот раз помогут и буду теперь все файлы проверять онлайн-сканером
      CollectionLog-2025.02.23-15.08.zip
    • KL FC Bot
      SparkCat — первый троян-стилер, пробравшийся в App Store | Блог Касперского
      От KL FC Bot
      В галерее вашего смартфона почти наверняка найдется важная информация, сфотографированная для надежности и удобства — например, фото документов, банковских договоров или сид-фраз, позволяющих восстановить доступ к криптокошелькам. Все эти данные могут быть украдены вредоносным приложением, подобным обнаруженному нами стилеру SparkCat. В текущей конфигурации этот зловред обучен красть данные криптокошельков, но с другими настройками он может мгновенно перейти к краже любой другой ценной информации.
      Самое неприятное — этот зловред пробрался в официальные магазины приложений, и только из Google Play зараженные им аппы суммарно загрузили почти 250 тысяч раз. И если в Google Play вредоносные приложения не единожды обнаруживались и до этого, то в App Store троян-стилер обнаружен впервые. Как же устроена эта угроза и что сделать для защиты?
      Довесок к легитимным приложениям
      Приложения, содержащие вредоносные компоненты SparkCat, делятся на две группы. Некоторые из них — например, многочисленные схожие мессенджеры с заявленными функциями ИИ от одного и того же разработчика — очевидно, опубликованы сугубо как приманка. Но есть и другие — легитимные приложения сервисов доставки еды, чтения новостей, утилиты для владельцев криптокошельков. Как в них появилась троянская функциональность, мы не знаем. Возможно, это была атака на цепочку поставок, при которой был заражен один из вспомогательных компонентов — «кирпичиков», из которых собрано готовое приложение, или же разработчики намеренно встраивали трояна в свои приложения.
      Первое приложение, в котором мы обнаружили SparkCat — это сервис для доставки еды в ОАЭ и Индонезии под названием ComeCome. Зараженное приложение было обнаружено как в Google Play, так и в App Store
       
      View the full article
×
×
  • Создать...