Перейти к содержанию
Правила раздела

KES обнаружил Трояна

Romcop

Автор Romcop
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Romcop

Romcop

Опубликовано
Опубликовано

Добрый вечер!

 

Еще на одном компьютере возникло теперь предупреждение Касперского, причем несколько раз. Я не понимаю, он не может удались с первого раза или находит в разных местах?

И хоть Касперский и сказал, что  обнаружил уязвимость я решил на всякий случай провести начальную экзекуцию.

0. Просканировал KESом. - результат 1 угроза убрана.

1. Проверил KVRTом - ничего.

2. Autologger получил логи.

 

Подскажите у меня все нормально?

CollectionLog-2016.12.29-21.16.zip

report1.log

report2.log

Ссылка на комментарий
Поделиться на другие сайты
SQ

SQ

Опубликовано
Опубликовано

Здравствуйте,

 

HiJackThis (из каталога автологгера) профиксить

O2 - BHO: VK OK AdBlock - {FF20459C-DA6E-41A7-80BC-8F4FEFD9C575} - (no file)
O2-32 - BHO: VK OK AdBlock - {FF20459C-DA6E-41A7-80BC-8F4FEFD9C575} - (no file)
O4 - HKCU\..\Run: [jeiwkxuncm] explorer "http://rigneda.ru/?utm_source=uoua03&utm_content=3f5ac389090854fdc20d4928cb8b84b3&utm_term=435E4275B62E39989A87DA932F3BC245&utm_d=20161109"
AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 QuarantineFile('C:\Program Files (x86)\VK OK AdBlock\ScWccqX.exe','');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','jeiwkxuncm');
 DeleteFile('C:\Windows\Tasks\Update Service for VK OK AdBlock.job','32');
 DeleteFile('C:\Program Files (x86)\VK OK AdBlock\ScWccqX.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

 

После перезагрузки:

- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Подготовьте лог AdwCleaner и приложите его в теме.

Ссылка на комментарий
Поделиться на другие сайты
Romcop

Romcop

Опубликовано
  • Автор
Опубликовано

Добрый день!

 

С утра не мог сразу начать предписанные действия. Сейчас приступил к работе. Вижу KES опять обнаружил угрозу.

Запустил HiJackThis( возможно не от имени администратора). Не обнаружил строчки O2-32. Поэтому отчекил только 2 строки(прикрепил  2 buckup файла). Затем провел операции в AVZ, но первый раз делал не под Админскими правами. Поэтому Quarantine.zip не получил.(Извините - болею температура). Затем сделал под админскими правами. но quarantine пустой.

Пришлось снова запустить AutoLogger.

Можете посмотреть?

backup-20161230-115033-114.txt

backup-20161230-115033-264.txt

CollectionLog-2016.12.30-12.09.zip

report1.log

report2.log

Ссылка на комментарий
Поделиться на другие сайты
Romcop

Romcop

Опубликовано
  • Автор
Опубликовано

Нет, когда я вошел в этото HiJack, то не обнаружил картинки, как по ссылке на слове "пофиксить"

>HiJackThis (из каталога автологгера) профиксить 

выкачал с по ссылке с сайта и запустил - ошибка?

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

выкачал с по ссылке с сайта и запустил - ошибка?

Конечно. Там версия отличается от той, которая находится уже у Вас в каталоге Автологера.
Ссылка на комментарий
Поделиться на другие сайты
Romcop

Romcop

Опубликовано
  • Автор
Опубликовано

Произвол чек из HiJackThis в Autologer`е. Там имелись опять только 2 строки с 02 и 02-32, а строки с 04 не было. 

Затем произвел работу скрипта AVZ. Тот в процессе работы выдавал ошибки , что не может  удалить VK OK AdBlock ScWccqX.exe.  

Затем перегрузился комп, снова AVZ с сохранением Quarantinе, который естественно пустой.

Вобщем, снова AutoLogger. Взгляните?

CollectionLog-2016.12.30-13.42.zip

quarantine.zip

report1.log

report2.log

Ссылка на комментарий
Поделиться на другие сайты
Romcop

Romcop

Опубликовано
  • Автор
Опубликовано

Произвёл чек из HiJackThis в Autologer`е. Там имелись опять только 2 строки с 02 и 02-32, а строки с 04 не было. 

Затем произвел работу скрипта AVZ. Тот в процессе работы выдавал ошибки , что не может  удалить VK OK AdBlock ScWccqX.exe.  

Затем перегрузился комп, снова AVZ с сохранением Quarantinе, который естественно пустой.

Вобщем, снова AutoLogger. Взгляните?

Посмотрите, Вирус остался?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Сергей Специалист
      KES вместо шлюза
      Автор Сергей Специалист
      Подскажите, сможет ли KES 12.9.0.384 заменить шлюз?
      Имеется компьютер, который собирает данные с датчиков (подсеть оборудования на одном интерфейсе), которые должны уйти в БД на сервере Oracle (офисная подсеть на другом интерфейсе).
      Сисадмин считает, что для защиты компьютера перед ним нужно ставить FireWall с двумя правилами - 1. Разрешающее исходящие на сервер по TCP 1521; 2. Блокирующее всё остальное.
      Достаточно ли в KES настроить "Сетевой экран" на запрет всего IP-диапазона офисной подсети, а в "Защите от сетевых угроз" настроить исключение для порта, протокола и IP-адреса?
      Или я что-то не догоняю?
    • Екатерина12165
      Троян не удалился
      Автор Екатерина12165
      Всем привет. У меня винда 11.
      Недавно появились такие файлы и папки с иконкой моего антивирусника, но со странными названия, внутри папок был текст на латинице. Мой антивирусник "pro 32 ultimate security" не нашел вирусов. Прогнала ноут через DR.WEB он нашел вирус, после удаления и перезарузки ноута, файлы остались. Скачала касперского, тот нашел троян, также три раза прогнала через проверку, в первый раз якобы удалился троян и вирусы, а в след. разы пыталась таким способом удалить файлы, которые остались, также 0 результата, хотя вирусы вроде бы удалились, но что меня пугает это остаточные файлы и папки, они обновляются ежедневно. 
      Ранее скачивала через проверенный торрент игрушки... Мб из-за этого словила вирусы.
      Также Ярлыки и игрушки купленные в стиме открываются раз через раз, + иногда рабочий стол не откликается, просто не кликается.
      По поводу ярлыков и приложений, через диспетчер задач снимала их, после пыталась открыть, но без результата, помогала только перезагрузка на +- 2-3 раз. 
      Помогите, пожалуйста, убрать всё таки вирусы или трояны.  



    • varzi_73
      Троян trojan.multi.aum
      Автор varzi_73
      Добрый день! подцепил троян. Как восстановить данные?
      RDesk_Backup.rar
    • DeniTornado
      KES на терминальных серверах
      Автор DeniTornado
      Доброго всем!
      Коллеги, а кто-нибудь использует KES на своих RDS серверах? Все нормально с работой серверов?
       
      Дано:
      - несколько RDS на Windows Server 2019
      - на них установлен KES 12.1.0.506
       
      Проблема:
      Вот уже в течении нескольких дней подряд наблюдаю утром проблему пока только на RDS (на остальных серверах пока все нормально - служебные серверы для определенных целей). То один сервер, то второй, то третий - утром когда все пользователи заходят на свои рабочие столы (почти все у нас работают на терминальных серверах со своих тонких клиентов), зайти не могут! Сервер тупо не отвечает на запросы. RDSы - это виртуальные машины на Hyper-V. Приходится через консоль Hyper-V перезагружать виртуалку и тогда она или после первой перезагрузки или после второй начинает пускать пользователей.
      Самое интересное что в логах ни чего такого, что указало бы на проблему. ТП в собранных логах ни чего криминального не видит
       
      До установки KES такого не было ни когда! Раньше пользовались другим известным антивирусом вообще не знали таких симптомов и проблем.
      Есть у кого схожие проблемы на RDS?
       
      И еще такой вопрос: на RDS серверах я использую скрытый режим работы KES - в настройках политики для RDSов отключил интерфейс. Не за чем пользователям его видеть в трее Windows. Но при такой настройке становится недоступна проверка из контекстного меню WIndows файлов на вирусы - эти менюшки серые и их не нажать. Можно как-то и скрыть KES, но при этом и функция проверки из контекстного меню была доступна?
    • Scalpu
      Троян после перезапуска запускает powershell.exe
      Автор Scalpu
      Привет. Месяца 2 назад непонятно откуда поймал, видимо, троян. Проявлялся он так что в играх падал фпс при загрузке гпу 99% и работа видюхи не прерывалась даже при обычной работе в системе.
      В автозагрузке всё ещё присутствует некий файл WinAIHservice. По пути (C:)/ProgramData была папка WinAIHservice, но я её удалял и вроде всё в порядке было это время. Но недавно решил скачать антивирус malwarebytes и он блокировал активацию powershell.exe при каждой перезагрузке, то есть какой-то скрипт всё ещё находится у меня на пк + из автозагрузки этот WinAIHservice удалить невозможно. Прилагаю по правилам collection log + лог malwarebytes. Спасибо!
       
      Malwarebytes Отчет о заблокированных веб-сайтах 2025-08-15 213943.txt CollectionLog-2025.08.16-03.11.zip
×
×
  • Создать...