Перейти к содержанию
Правила раздела

Завёлся троян

neonsite

От neonsite
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

akoK Ветеран

akoK

Опубликовано
Опубликовано (изменено)

Radmin Server support driver - ваше?

 

Помойка однако....отключите востановление системы

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('Krw17', 4);
SetServiceStart('Jpv38', 4);
SetServiceStart('Schedule', 4);
QuarantineFile('C:\WINDOWS\Installer\{B2D41883-3BFC-4BA0-A2F6-5A2C9836C238}\ARPPRODUCTICON.exe','');
QuarantineFile('C:\WINDOWS\Installer\469f8.msi','');
QuarantineFile('bsndcom.dll','');
QuarantineFile('sysfldr.dll','');
QuarantineFile('F:\WWW\etc\Run.exe','');
QuarantineFile('E:\Easy File Sharing Web Server\fsws.exe','');
QuarantineFile('C:\Winamp\winampa.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\services.exe','');
QuarantineFile('C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE','');
QuarantineFile('C:\WINDOWS\RESOUR~1\SCREEN~1\SOLARW~1.SCR','');
DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
DeleteFile('C:\WINDOWS\system32\drivers\services.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Jpv38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Krw17.sys');
DeleteFile('C:\Documents and Settings\Рома\Главное меню\Программы\Автозагрузка\userinit.exe');
DeleteFile('sysfldr.dll');
DeleteFile('bsndcom.dll');
DeleteFile('C:\System Volume Information\_restore{543C3F64-BBA1-439D-92AD-BD82A13043FC}\RP132\A0143173.exe');
DelBHO('{0DE68A8A-8158-4bde-8F5F-849F00AF31FB}');
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
DeleteService('Krw17');
DeleteService('Jpv38');
DeleteService('Schedule');
BC_ImportALL;
ExecuteRepair(6);
ExecuteRepair(1);
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

Пофиксить в HijackThis следующие строчки

	O20 - Winlogon Notify: sysfldr - sysfldr.dll
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.webshots.com/r/internal/start/client/RAND (file missing)

Повторите логи.

P>S> а обновить базы AVZ не забываем.

Изменено пользователем akoK
Ссылка на комментарий
Поделиться на другие сайты
MedvedevUnited Ветеран

MedvedevUnited

Опубликовано
Опубликовано

akok, обновление баз AVZ не получалось. Я сказал пока, не обновляясь, логи делать. Правда сейчас можно снова попробовать.

Ссылка на комментарий
Поделиться на другие сайты
neonsite Новичок

neonsite

Опубликовано
  • Автор
Опубликовано (изменено)

проблема avz не запускаеться что за чёрт жму запустить и 0 реакции

 

сори всё запустил щас всё сделаю!

Изменено пользователем neonsite
Ссылка на комментарий
Поделиться на другие сайты
neonsite Новичок

neonsite

Опубликовано
  • Автор
Опубликовано (изменено)

Логи:

1) virusinfo_syscure.zip

2) virusinfo_syscheck.zip

Вот ещё посмотрите на скрины что это за файл? http://forum.kasperskyclub.ru/index.php?s=...ost&p=50903

Сообщение #12

:)

 

Всё ура большое спасибо возможно это всё я делал правельно КАВ нашёл этот вирус! после того как сёдня поставил сегоднешние обновый вирус

 

удалено: троянская программа Trojan-Downloader.Win32.Small.xpi Файл: C:\WINDOWS\system32\explorer.dll

 

удалено: троянская программа Trojan-Downloader.Win32.Small.xpi Файл: c:\documents and settings\рома\svchost.exe
Изменено пользователем neonsite
Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано

BitAccelerator - зачем Вам? Сомнительное уобство и слежка за Вами.

Совет - отключите Восстановление системы, там, скорее всего, копии Ваших врагов и при откате они могут вернуться.

Выполните для контроля в AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Рома\svchost.exe');
DeleteFile('C:\WINDOWS\system32\explorer.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьтер перезагрузиться.

Повторите логи АВЗ и сделайте лог HJT.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • orpham
      троян .kwx8
      От orpham
      Добрый день.
      15.02 вечером, зашифровало все файлы. Комп настроен для удаленного подключения по RDP, включен круглосуточно. Все файлы с расширением .kwx8/
      Помогите пож-та.
      Лог сканирования KVRT во вложении.
      report_2025.02.17_15.55.29.klr.rar
    • GLORYX
      скачал какой то вирус вроде троян
      От GLORYX
      не знаю как но где словил троян в диспечере задай просто находится пустой проц с аватаркой шестеренки пробовал через все програму успехом не увенчалось.
    • Hendehog
      Помощь в определении функциональности трояна
      От Hendehog
      Здравствуйте.
      Вирус замаскированный под файл от госорганов.
      Просканировал KVRT, DR.Web, и сняты логи автологгером.
      Прошу подсказки - что именно делается вирус, куда внедряется, как ворует деньги с банковских счетов?
      Ну и понять, чист сейчас ПК или нет.
      CollectionLog-2025.02.07-10.57.zip KVRT2020_Data.zip
    • KL FC Bot
      SparkCat — первый троян-стилер, пробравшийся в App Store | Блог Касперского
      От KL FC Bot
      В галерее вашего смартфона почти наверняка найдется важная информация, сфотографированная для надежности и удобства — например, фото документов, банковских договоров или сид-фраз, позволяющих восстановить доступ к криптокошелькам. Все эти данные могут быть украдены вредоносным приложением, подобным обнаруженному нами стилеру SparkCat. В текущей конфигурации этот зловред обучен красть данные криптокошельков, но с другими настройками он может мгновенно перейти к краже любой другой ценной информации.
      Самое неприятное — этот зловред пробрался в официальные магазины приложений, и только из Google Play зараженные им аппы суммарно загрузили почти 250 тысяч раз. И если в Google Play вредоносные приложения не единожды обнаруживались и до этого, то в App Store троян-стилер обнаружен впервые. Как же устроена эта угроза и что сделать для защиты?
      Довесок к легитимным приложениям
      Приложения, содержащие вредоносные компоненты SparkCat, делятся на две группы. Некоторые из них — например, многочисленные схожие мессенджеры с заявленными функциями ИИ от одного и того же разработчика — очевидно, опубликованы сугубо как приманка. Но есть и другие — легитимные приложения сервисов доставки еды, чтения новостей, утилиты для владельцев криптокошельков. Как в них появилась троянская функциональность, мы не знаем. Возможно, это была атака на цепочку поставок, при которой был заражен один из вспомогательных компонентов — «кирпичиков», из которых собрано готовое приложение, или же разработчики намеренно встраивали трояна в свои приложения.
      Первое приложение, в котором мы обнаружили SparkCat — это сервис для доставки еды в ОАЭ и Индонезии под названием ComeCome. Зараженное приложение было обнаружено как в Google Play, так и в App Store
       
      View the full article
    • tau34
      Троян в pdf файле?
      От tau34
      Здравствуйте зашел на один сайт посмотреть pdf документ и Касперский выдад уведомление , мне сейчас надо как то удалять его или что? пишет вот такой троян:  HEUR:Trojan.PDF.Badur.gena
      я просто в браузере pdf открыл этот там видать ссылка на вредоносный сайт или что раз так Касперский срнагировал
       
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь по персональным продуктам  
       
       
       
       
       
       
       
       

×
×
  • Создать...