Troyan.Script.Generic не удаляется.

[Litrovich]

Из отчета KIS 16.0.1.445(h)

HEUR:Troyan.Script.Generic. 

[http]paralax-corp.com Обнаруженный объект невозможно вылечить.

 

Были обнаружены и разные другие вредоносные объекты. Судя по отчету, они вроде были удалены, а этот нет.

Всё щастье появилось при попытке скачивания книги.

 

Virus Removal Tool ничего подозрительного не обнаруживает.

 

В All Useres — Application Data замечено подозрительное, которого до попытки сканичания книги не было: tw2867562.exe

Не удаляется. Присутствует в службах. При попытке остановить в службах, создавал клона с несколько измененным номером (tw28723671.exe), впрочем, клон удалился.

KISом не лечится, AVZ его видит, но как подозрительного не определяет, только информирует в ряду прочего (впрочем, версия AVZ была зело старая).

 

В программных файлах как мог вычистил куски скачанной вредоносной подмены книги.

tw28723671.exe не удаляется.

 

 

Запустил сборщик логов – AVZ всё так же ничего подозрительного не видит, но после его работы tw28723671.exe вдруг поддался удалению. Гм.

 

Но в "службах" оба подозрительных tw продолжают присутствовать: tw28723671 и tw2867562

 

Результат работы сборщика логов прилагаю

Изменено 10 мая, 2017 пользователем Litrovich

[regist]

 

 

Запустил сборщик логов – AVZ всё так же ничего подозрительного не видит

Он и не обязан, что-то видеть. Это не антивирус, чтобы он что-то находил. Его задача создать логи для анализа их анализа.

 

Если хотите провериться на вирусы, то выкладывайте их сюда.

[Litrovich]

О, а чего они не подцепились - щас поправлю... Вроде прицеплял...

 

UPD: а, забыл нажать на "загрузить".

CollectionLog-2017.05.10-23.09.zip

Изменено 10 мая, 2017 пользователем Litrovich

[regist]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\documents and settings\all users\application data\tw2867562.exe');
 DeleteFile('c:\documents and settings\all users\application data\tw2867562.exe', '32');
BC_ImportAll;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание.
   Если у вас установлены архиваторы
   WinRAR
   или
   7-Zip
   , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

5. Подробнее читайте в руководстве Как подготовить лог UVS.

 

[Litrovich]

Сорри, может туплю - с адреса newvirus@kaspersky.com меня перекидывает на общую страницу, а вроде же должна быть какая-то специфическая страница со специальной формой для отправки вирусов?

[regist]

Это не форма, а почта. Просто отправьте со своей почты на этот адрес.

[Litrovich]

А не получается отправить лог из AVZ на newvirus@kaspersky.com - сайт и всё прочее видно, а вот почта перестала работать... Любая и с чего угодно - IE вообще ничего видеть не хочет.. Есть возможность через форум кинуть то что надо, куда надо?Лог uVS прикрепляю

UPD: Сейчас попробую с другого места, это некоторое время...

NASH-70BA6C621A_2017-05-11_19-10-43.7z

[regist]

 

 

А не получается отправить лог из AVZ на newvirus@kaspersky.com

А не надо отправлять туда логи. Туда отправлять надо только карантины.

 

 

Лог uVS прикрепляю

Сейчас посмотрю.

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
  

  ;uVS v4.0.2 [http://dsrt.dyndns.org]
  ;Target OS: NTv5.1
  v400c
  BREG
  ;---------command-block---------
  zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\TW28723671.EXE
  delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\TW28723671.EXE
  delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.135\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
  apply
  
  czoo
  restart

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
• Подробнее читайте в этом руководстве.

что с проблемой?

[Litrovich]

Отправил архив с карантином, ответили:

 

[KLAN-6221674282]

В антивирусных базах информация по присланным вами файлам отсутствует:

Check_Browsers_LNK.log

HiJackThis.log

info.txt

log.txt

virusinfo_syscheck.zip/avz_sysinfo.htm

virusinfo_syscheck.zip/avz_sysinfo.xml

 

В антивирусных базах информация по присланным вами ссылкам отсутствует:

https://forum.kasperskyclub.ru/index.php?s=04d5c13187f33898e0aa198bc3efc4ce&showtopic=55510

 

Файлы и ссылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

 

С проблемой - вообще-то тихо, никаких поползновений не ощущается, но то ,что незванные гости прописались аж в  службах - это довольно настораживающая вещь. Предположение о том, что проблема решилась, если она поверхностно не проявляется - это довольно наивно. Что еще и где накидал там троян - кто знает. Что-то он как-то тихо сошел на нет.

Инструментального подтверждения удаления нет, и это плохо.

 

К сожалению, точек восстановления не имеется, так что похоже, придется выпиливать винду. Только не накидал ли он каких ни-ть кейлоггеров за пределами системного раздела.

 

Скрипт - надеюсь через пару часов выполить; отпишусь.

UPD:

Выполнил крайний скрипт - ну что, в службах никого постороннего нет.

Что глянуть да проверить еще?

Прогнал AVZ-ом, хм, ну вроде ничего подозрительного не видать, на мой непросвещенный взгляд.

Выложить свежий лог на профессиональный осмотр? Рекомендованные меры помогли, скорее всего.

UPD 2

Правда, что-то порушилось в браузере - в почту он больше не ходок. Будем надеяться, перестановкой решится.

 

Из любопытного в отчетах - оказывается, еще в марте хватанул какой-то троян, про который в отчете написано, что он не лечится. Осталось незамеченным вовремя.

Изменено 11 мая, 2017 пользователем Litrovich

[regist]

 

 

Отправил архив с карантином, ответили:

в итоге вы всё-таки логи отправили на анализ .

 

 

 

К сожалению, точек восстановления не имеется, так что похоже, придется выпиливать винду.

Вы что собираетесь систему переустанавливать? Тогда для чего тратим время на лечение?

 

 

 

Выложить свежий лог на профессиональный осмотр? Рекомендованные меры помогли, скорее всего.

Сделайте для контроля свежий лог uVS.

[Litrovich]

для чего тратим время на лечение?

 

Мне казалось, что она не вылечится, и тогда да, придется переустанавливать. Но и вроде бы получается вылечить, так что наверное отложим переустановку, нехай поживёт.

 

Всё-таки логи отправились? Да вроде бы avtokarantine отправлял, как и было велено...

 

CollectionLog-2017.05.12-19.43.zip

[Sandor]

вроде бы avtokarantine отправлял, как и было велено

Нет, велено было:

Файл quarantine.zip из папки AVZ отправьте по адресу

Всё-таки логи отправились?

Нужно повторить лог uVS также, как в Вашем сообщении №7, только свежий.

[Litrovich]

Лог

NASH-70BA6C621A_2017-05-12_23-24-20.7z

[regist]

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

[Litrovich]

Угу, накидал он узявимостей - про Java Runtime ничего не нашлось, Adobe Reader прилетает только в сборе с Mcafee, а снять галку с согласия на него - не получается (не знаю, получится ли согласиться на устанвку версии Reader-а с этой хренью, в настройках же - запретив Mcafee всё; смутно припоминаю, что наверное пробовал и номер не удавался, просто Reader не вставал, и я забил на это, ибо для дела некритично вообще)  ; ну а с осью (ХР, более 10 уязвимостей) уже ничего не сделать. По приводимым в логе ссылкам потыкал с одного конца, с другого - мертвые эти ссылки, про это уже забыто, похоже.

Поколдую с рекомендациями после лечения, спасибо.