Перейти к содержанию
Правила раздела

KES обнаружил Трояна

Romcop

От Romcop
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Romcop Постоялец

Romcop

Опубликовано
Опубликовано

Добрый вечер!

 

Еще на одном компьютере возникло теперь предупреждение Касперского, причем несколько раз. Я не понимаю, он не может удались с первого раза или находит в разных местах?

И хоть Касперский и сказал, что  обнаружил уязвимость я решил на всякий случай провести начальную экзекуцию.

0. Просканировал KESом. - результат 1 угроза убрана.

1. Проверил KVRTом - ничего.

2. Autologger получил логи.

 

Подскажите у меня все нормально?

CollectionLog-2016.12.29-21.16.zip

report1.log

report2.log

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Здравствуйте,

 

HiJackThis (из каталога автологгера) профиксить

O2 - BHO: VK OK AdBlock - {FF20459C-DA6E-41A7-80BC-8F4FEFD9C575} - (no file)
O2-32 - BHO: VK OK AdBlock - {FF20459C-DA6E-41A7-80BC-8F4FEFD9C575} - (no file)
O4 - HKCU\..\Run: [jeiwkxuncm] explorer "http://rigneda.ru/?utm_source=uoua03&utm_content=3f5ac389090854fdc20d4928cb8b84b3&utm_term=435E4275B62E39989A87DA932F3BC245&utm_d=20161109"
AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 QuarantineFile('C:\Program Files (x86)\VK OK AdBlock\ScWccqX.exe','');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','jeiwkxuncm');
 DeleteFile('C:\Windows\Tasks\Update Service for VK OK AdBlock.job','32');
 DeleteFile('C:\Program Files (x86)\VK OK AdBlock\ScWccqX.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

 

После перезагрузки:

- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Подготовьте лог AdwCleaner и приложите его в теме.

Ссылка на комментарий
Поделиться на другие сайты
Romcop Постоялец

Romcop

Опубликовано
  • Автор
Опубликовано

Добрый день!

 

С утра не мог сразу начать предписанные действия. Сейчас приступил к работе. Вижу KES опять обнаружил угрозу.

Запустил HiJackThis( возможно не от имени администратора). Не обнаружил строчки O2-32. Поэтому отчекил только 2 строки(прикрепил  2 buckup файла). Затем провел операции в AVZ, но первый раз делал не под Админскими правами. Поэтому Quarantine.zip не получил.(Извините - болею температура). Затем сделал под админскими правами. но quarantine пустой.

Пришлось снова запустить AutoLogger.

Можете посмотреть?

backup-20161230-115033-114.txt

backup-20161230-115033-264.txt

CollectionLog-2016.12.30-12.09.zip

report1.log

report2.log

Ссылка на комментарий
Поделиться на другие сайты
Romcop Постоялец

Romcop

Опубликовано
  • Автор
Опубликовано

Нет, когда я вошел в этото HiJack, то не обнаружил картинки, как по ссылке на слове "пофиксить"

>HiJackThis (из каталога автологгера) профиксить 

выкачал с по ссылке с сайта и запустил - ошибка?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

выкачал с по ссылке с сайта и запустил - ошибка?

Конечно. Там версия отличается от той, которая находится уже у Вас в каталоге Автологера.
Ссылка на комментарий
Поделиться на другие сайты
Romcop Постоялец

Romcop

Опубликовано
  • Автор
Опубликовано

Произвол чек из HiJackThis в Autologer`е. Там имелись опять только 2 строки с 02 и 02-32, а строки с 04 не было. 

Затем произвел работу скрипта AVZ. Тот в процессе работы выдавал ошибки , что не может  удалить VK OK AdBlock ScWccqX.exe.  

Затем перегрузился комп, снова AVZ с сохранением Quarantinе, который естественно пустой.

Вобщем, снова AutoLogger. Взгляните?

CollectionLog-2016.12.30-13.42.zip

quarantine.zip

report1.log

report2.log

Ссылка на комментарий
Поделиться на другие сайты
Romcop Постоялец

Romcop

Опубликовано
  • Автор
Опубликовано

Произвёл чек из HiJackThis в Autologer`е. Там имелись опять только 2 строки с 02 и 02-32, а строки с 04 не было. 

Затем произвел работу скрипта AVZ. Тот в процессе работы выдавал ошибки , что не может  удалить VK OK AdBlock ScWccqX.exe.  

Затем перегрузился комп, снова AVZ с сохранением Quarantinе, который естественно пустой.

Вобщем, снова AutoLogger. Взгляните?

Посмотрите, Вирус остался?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • orpham
      троян .kwx8
      От orpham
      Добрый день.
      15.02 вечером, зашифровало все файлы. Комп настроен для удаленного подключения по RDP, включен круглосуточно. Все файлы с расширением .kwx8/
      Помогите пож-та.
      Лог сканирования KVRT во вложении.
      report_2025.02.17_15.55.29.klr.rar
    • GLORYX
      скачал какой то вирус вроде троян
      От GLORYX
      не знаю как но где словил троян в диспечере задай просто находится пустой проц с аватаркой шестеренки пробовал через все програму успехом не увенчалось.
    • Fara
      [РЕШЕНО] Обнаружил пользователя john
      От Fara
      Стал постоянно перезагружаться компьютер, последние два дня. При самостоятельном разборе причины, обнаружен пользователь john. Изначально думал что дело в маломощном блоке питания, потом то что драйвер видеокарта  не корректно обновился. Если на компьютере захожу на сайт Касперского или этот форум, сразу перегрузка. Удалял драйвер видеокарты компьютер перезагрузился и восстановил все назад.
    • Hendehog
      Помощь в определении функциональности трояна
      От Hendehog
      Здравствуйте.
      Вирус замаскированный под файл от госорганов.
      Просканировал KVRT, DR.Web, и сняты логи автологгером.
      Прошу подсказки - что именно делается вирус, куда внедряется, как ворует деньги с банковских счетов?
      Ну и понять, чист сейчас ПК или нет.
      CollectionLog-2025.02.07-10.57.zip KVRT2020_Data.zip
    • ARKHIPOV
      [РЕШЕНО] На компьютере обнаружил вирус майнера, не удаляется Касперским
      От ARKHIPOV
      Добрый день! Пару дней назад компьютер после стандартного запуска вывел синий экран (BSOD). При отключении интернет соединения данная проблема исчезла. Это побудило меня приобрести ключ к Касперскому (до этого пользовался Malware, пробником, который истек и защиту в реальном времени уже не оказывал). Проверив ПК на вирусы, обнаружились Трояны (к сожалению логов и скринов не сохранил, причина дальше). Вирус сидел в exeшнике GoogleUpdate. Отключил службы, связанные с апдейтом гугла, удалил файлы связанные с ним, после полной проверки перезагрузил ПК и обнаружил надпись в Касперском: "Некоторые компоненты защиты повреждены", переустановил К (сообщение пропало и логи про удаленный вирус тоже), снова проверил на вирусы, снова перезагрузил, получил тот же результат. У меня подозрение на наличие майнера, который не удаляется стандартным путем и сидит где-то в системных файлах и службах. Прошу помочь восстановить работу служб и системы. Без интернет соединения ПК летает хорошо, при подключении работает медленней.
      CollectionLog-2025.02.18-11.00.zip
×
×
  • Создать...