Вирус Trojan.Win32.Agent.nexurs

[fet.web]

Здравствуйте! После проверки  PC был обнаружен вирус Trojan.Win32.Agent.nexurs который в принципе не мешал жить.. был успешно удален файл с вирусом и помещен в карантин. Хотелось бы узнать что делал этот вирус и нужно ли что-то еще предпринять??

CollectionLog-2017.01.10-22.23.zip

[SQ]

Здравствуйте,

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Windows\Temp\ctpxinst.exe','');
 BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Подготовьте лог AdwCleaner и приложите его в теме.
 

[fet.web]

Здравствуйте,

 

AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Windows\Temp\ctpxinst.exe','');
 BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

После перезагрузки:

- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Подготовьте лог AdwCleaner и приложите его в теме.

 

Ответ был таков)) я что-то не так сделал???

 

We did not receive any files to analyze. They were probably disinfected by the mail server antivirus.

Please try to send them again in an archive with the password 'infected' (without quotes).

 

You can also upload the files to any popular file hosting service or FTP.

 

This is an automatically generated message. Please, do not reply to it.

 

Anti-Virus Lab, Kaspersky Lab HQ

[KLAN-5638976163]

я так понял надо еще раз оправить архив, только запаролить его...Правильно??

AdwCleanerS0.txt

[Soft]

я так понял надо еще раз оправить архив, только запаролить его...Правильно??

всё верно. Вам необходимо за архивировать файл с паролем  'infected' (без кавычек).

[SQ]

Возможно архив был пустой.

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

 

[fet.web]

Видимо архив пустой т.к. ответ тот же..

Точнее... в архиве лежат два файла bcqr00001 bcqr00002

Addition.txt

FRST.txt

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  CreateRestorePoint:
  CloseProcesses:
  CHR Extension: (Tampermonkey) - C:\Users\Moonwalker\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2016-12-29]
  CHR HKU\S-1-5-21-153600768-3781599564-2323237657-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
  C:\Users\Moonwalker\AppData\Local\Temp\dl21101C65-54B7-3E43-AF3B-DFFC194C3AB1.exe
  C:\Users\Moonwalker\AppData\Local\Temp\_unps.exe
  Task: {2B779F63-B02E-4FF5-9EF2-B849BA2C42DD} - System32\Tasks\{6C4D49F8-1DC9-4D97-AA19-42579DF7E16D} => pcalua.exe -a C:\Windows\Temp\ctpxinst.exe -d C:\Windows\temp -c /file:CTXFISPI.EXE <==== ATTENTION
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
  

Обратите внимание на системные события, похоже у диска (hdd) имеются битые сектора либо аппаратные проблемы:

Error: (01/10/2017 09:17:39 PM) (Source: Disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk0\DR0.

Error: (01/10/2017 09:17:36 PM) (Source: Disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk0\DR0.

Error: (01/10/2017 09:17:33 PM) (Source: Disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk0\DR0.

Error: (01/10/2017 09:17:30 PM) (Source: Disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk0\DR0.

Error: (01/10/2017 09:17:27 PM) (Source: Disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk0\DR0.

Error: (01/10/2017 09:17:25 PM) (Source: Disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk0\DR0.

Error: (01/10/2017 09:17:21 PM) (Source: Disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk0\DR0.

Error: (01/10/2017 09:17:19 PM) (Source: Disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk0\DR0.

Error: (01/10/2017 09:17:15 PM) (Source: Disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk0\DR0.

Error: (01/10/2017 09:17:13 PM) (Source: Disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk0\DR0.

[fet.web]

Я не совсем усвоил инфу про HDD)) его пора выкидывать или менять??

Fixlog.txt

[SQ]

Я не совсем усвоил инфу про HDD)) его пора выкидывать или менять??

по этому вопросу, Вам следует обратиться в соседний раздел "Компьютерная помощь". Тут не посредственно разбираем проблемы касаемо лечения.

 

Сообщите, что с проблемой?

[fet.web]

Не совсем понял вопроса...Я ж изначально писал что жил с этим вирусом и не замечал никаких проблем...если бы я не просканировал компьютер так бы и жил с ним.. Вирус был удален KVRT изначально. Мой вопрос заключался в том нужно ли мне еще что-то сделать) Все ваши действия выполнил..Хотелось узнать что он делал этот вирус)

[SQ]

Не совсем понял вопроса...Я ж изначально писал что жил с этим вирусом и не замечал никаких проблем...если бы я не просканировал компьютер так бы и жил с ним.. Вирус был удален KVRT изначально. Мой вопрос заключался в том нужно ли мне еще что-то сделать) Все ваши действия выполнил..Хотелось узнать что он делал этот вирус)

Ничего плохого не замечено в логах. Из-за этого спрашиваю, если проявляются какие-то проблемы?

[fet.web]

Я так понял, еще мы удалили расширение Tampermonkey, оно тоже вредоносное?

Изменено 10 января, 2017 пользователем Soft
убран дубль

[SQ]

Хотелось узнать что он делал этот вирус)

Что касается самого вредоносного файла, Вам лучше обратиться в тех. поддержку ЛК за деталями.

Я так понял, еще мы удалили расширение Tampermonkey, оно тоже вредоносное?

Часто с этим расширением, появляется различная реклама в браузерах.

[fet.web]

Да вроде ничего не замечаю)) Я вот сейчас подумал, а это важно что я его подхватил примерно 5 месяцев назад??

Огромное спасибо за Вашу помощь. Не знал до этого что есть такой прекрасный форум!! Я в восторге от вашей работы!

[SQ]

Да вроде ничего не замечаю)) Я вот сейчас подумал, а это важно что я его подхватил примерно 5 месяцев назад??

Обычно подмена происходит во время установки вредоносного ПО.

 

Если пользуетесь этим расширение, то можете его заново установить с google официальной странички расширения.