Перейти к содержанию

CureIt! нашёл и грохнул пачку троянов


AndyAntonov

Рекомендуемые сообщения

После этого сделал отчёт (прилагаю). На другой машине аналогичное действо закончилось шифрованием pscrypt. Здесь пока ничего.

CollectionLog-2017.07.05-11.32.zip

Ссылка на комментарий
Поделиться на другие сайты

Используем. Её все используют, кто с НДСом связался (точнее, не может отвязаться). На данной машине стоит. Хотя сейчас используется серверный вариант.

Ссылка на комментарий
Поделиться на другие сайты

Понятно.

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

DPower version 1.0

Unity Web Player

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\DOCUME~1\User\APPLIC~1\METACR~1\UPDATE~1\UPDATE~1.EXE','');
 QuarantineFile('C:\DOCUME~1\User\APPLIC~1\Dealply\UPDATE~1\UPDATE~1.EXE','');
 QuarantineFile('C:\Program Files\dpower\wemoservice.exe', '');
 QuarantineFile('C:\WINDOWS\userinit.exe', '');
 QuarantineFile('C:\Program Files\dpower\wemoservice.exe', '');
 QuarantineFileF('c:\program files\dpower', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 ExecuteFile('schtasks.exe', '/delete /TN "At1.job" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "At3.job" /F', 0, 15000, true);
 DeleteFile('C:\DOCUME~1\User\APPLIC~1\Dealply\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\DOCUME~1\User\APPLIC~1\METACR~1\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\Program Files\dpower\wemoservice.exe', '32');
 DeleteFileMask('c:\program files\dpower', '*', true);
 DeleteDirectory('c:\program files\dpower');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(3);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве. Изменено пользователем Sandor
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

[KLAN-6486928575]

Files and URLs you sent were scanned in automatic mode.

 

Malicious code has been detected in the following files:

wemoservice.exe - HEUR:Trojan.Win32.Generic

uninstaller.exe - HEUR:Trojan.Win32.Generic

 

AdwCleanerS0.txt

Ссылка на комментарий
Поделиться на другие сайты

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-2052111302-115176313-725345543-1003\...\MountPoints2: {f085c5e3-d641-11dd-90af-001fc60dc468} - G:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\win32.exe
    2017-07-05 15:18 - 2013-09-03 12:19 - 00000410 _____ C:\WINDOWS\Tasks\At1.job
    C:\Windows\Tasks\At3.job
    Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\User\APPLIC~1\Dealply\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
    Task: C:\WINDOWS\Tasks\At3.job => C:\DOCUME~1\User\APPLIC~1\METACR~1\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
    AlternateDataStreams: C:\Documents and Settings\User:id [32]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Если проблема решена, завершающие шаги:

1.

  • Пожалуйста, запустите adwcleaner.exe
  • В меню File (Файл) - выберите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.
Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

За старые браузеры знаю. Но на ХП Оперы и Хрома новее нет, а ФФ специально ставили этой версии, т.к. в последующих выпилена поддержка Java, которая нужна для работы.

SecurityCheck.txt

Ссылка на комментарий
Поделиться на другие сайты

------------------------------- [ Windows ] -------------------------------

Расширенная поддержка закончилась 08.04.2014, Ваша операционная система может быть уязвима к новым типам угроз

Internet Explorer 6.0.2900.5512 Внимание! Скачать обновления

------------------------------- [ HotFix ] --------------------------------

HotFix KB3197835 Внимание! Скачать обновления

HotFix KB4012598 Внимание! Скачать обновления

HotFix KB4012583 Внимание! Скачать обновления

HotFix KB4022747 Внимание! Скачать обновления

HotFix KB4024323 Внимание! Скачать обновления

HotFix KB4025218 Внимание! Скачать обновления

--------------------------- [ OtherUtilities ] ----------------------------

7-Zip 4.57 v.4.57.00.0 Внимание! Скачать обновления

^Удалите старую версию, скачайте и установите новую.^

OpenOffice.org 2.3 v.2.3.9221 Внимание! Скачать обновления

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 121 v.8.0.1210.13 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u131-windows-i586.exe)^

Java 8 Update 45 v.8.0.450 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u131-windows-i586.exe)^

Java 8 Update 66 v.8.0.660.18 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u131-windows-i586.exe)^

Java 8 Update 71 v.8.0.710.15 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u131-windows-i586.exe)^

Java 8 Update 77 v.8.0.770.3 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u131-windows-i586.exe)^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 14 ActiveX v.14.0.0.145 Внимание! Скачать обновления

Adobe Flash Player 20 NPAPI v.20.0.0.267 Внимание! Скачать обновления

Adobe Flash Player 25 PPAPI v.25.0.0.171 Внимание! Скачать обновления

 

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты

 

C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe v.4.2.76.1

 

Его тоже надо обновить, эта версия давным давно устарела и полноценную защиту не обеспечивает.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Quester1337
    • Alex161
      От Alex161
      Что ж, скачал игру, поймал постоянную работу вентилятора и нагрузку, удалял, лечил, что только не делал все бестолку, после перезагрузки снова появляется...мучаюсь вторые сутки, умоляю, помогите
      avz_log.txt
    • Dad Paul
      От Dad Paul
      Вопреки всем предупреждениям и блокировкам, решил скачать читы на PUBG. В итоге-читы так и не получилось поставить,а вирусы получил. Видимых изменений в системе не наблюдаю, но каждые 5-15 минут находит вирусы трояна(разные),лечит\удаляет и всё по новой. Помогите избавиться


      avz_log.txt Addition.txt FRST.txt
    • Lomtik123
      От Lomtik123
      Периодически появляется процесс в Диспетчере задач, но сразу закрывается. Не знаю, где поймал, возможно торрент, возможно скрипт для работы дискорда
      CollectionLog-2025.01.09-00.09.zip
    • KL FC Bot
      От KL FC Bot
      Кажется, уже не осталось геймеров, которые не знают, что скачивать игры с торрент-трекеров небезопасно. Да, они там бесплатные, взломанные, иногда собраны в виде удобных репаков, но могут быть с вирусами, поэтому практически всегда защитные решения ругаются на них — самовольно отправляют торрент-файлы в карантин, не позволяют установить таблетку, кряк и… Спасибо им за это!
      То ли дело официальные магазины приложений вроде Steam — ну уж там-то точно все в порядке, правда? Как бы не так. В феврале в магазине обнаружили игру в комплекте с вредоносным ПО. Не переживайте: ее уже удалили, а игрокам рекомендовали проверить свои системы антивирусом.
      Симулятор выживания, в котором должен выжить ваш компьютер
      В центре внимания оказалась игра PirateFi — пользователям предлагалось как в одиночном режиме, так и в мультиплеере примерить на себя роль пирата-выживальщика. Кажется, выживать должны были не только игроки, но и их компьютеры.
      PirateFi позиционировала себя как бюджетная версия Sea of Thieves
      Бесплатная игра вышла 6 февраля, однако всего через четыре дня была удалена из магазина приложений из-за наличия в ней вредоносного ПО. Особой популярности не сыскала: около пяти игроков в пике и 165 подписчиков. Точное количество жертв неизвестно — по данным VG Insights, их около 1500, а по версии Gamalytic, у игры 859 загрузок.
       
      View the full article
×
×
  • Создать...