HEUR:trojan.script.agent.gen

[KeyAltos]

Здравствуйте! Сегодня установил битторрент и скачал с рутрекера IBM SPSS. После установки данной программы через минут пять обнаружился вирус - Касперский предложил удалить его. Вирус обнаруживается в директории С:\Windows\Installer\ и потом набор символов, всегда разные. Затем предложил лечение с перезагрузкой. Вся соль в том, что после перезагрузки все повторяется. Когда отключаю интернет, он удаляет вирус и больше ничего не всплывает. Все доступные обновления для Windows установил. Помогите в поиске решения проблемы!

PS: после чистки приложением Kaspersky Virus Removal Tool антивирус перестал обнаруживать вирус, но у значка касперский горит желтый вослицательный знак и есть необработанные объекты: Обнаруженный объект (память процесса) невозможно вылечить;c:\windows\system32\dnsblockupdatesvc.exe;c:\windows\system32\dnsblockupdatesvc.exe;not-a-virus:PDM:AdWare.Win32.ExtCrome.a;Другая вредоносная программа;10/25/2017 19:08:45

 

.

CollectionLog-2017.10.25-19.58.zip

Изменено 25 октября, 2017 пользователем KeyAltos

[Sandor]

Здравствуйте!

 

Эту настройку прокси делали самостоятельно?

 

Internet Settings,AutoConfigURL = hxxp://www.uni-marburg.de/proxy.pac

Изменено 26 октября, 2017 пользователем Sandor

[KeyAltos]

Здравствуйте!

Это была настройка для подключения к университетской сети, делал ее админ. Сейчас она уже не нужна. Нужно перенастроить?

[Sandor]

Раз настройка Вам известна, можно не трогать.

 

Про этот файл что можете сказать?

C:\Program Files (x86)\{12BED64F-3218-4DAA-8C99-A996DCFF30C5}\{D6EB72F9-DB85-413E-9822-2D5D164584CF}.bin

[KeyAltos]

Ничего)

[Sandor]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Program Files (x86)\{12BED64F-3218-4DAA-8C99-A996DCFF30C5}\{D6EB72F9-DB85-413E-9822-2D5D164584CF}.bin', '');
 DeleteFile('C:\Program Files (x86)\{12BED64F-3218-4DAA-8C99-A996DCFF30C5}\{D6EB72F9-DB85-413E-9822-2D5D164584CF}.bin', '32');
 DelBHO('{C654F3FE-8E84-4BB7-87CF-8D9171FC3C73}');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

[KeyAltos]

[KLAN-7039878449]

Thank you for contacting Kaspersky Lab

The files have been scanned in automatic mode.

No information about the specified files can be found in the antivirus databases:
{D6EB72F9-DB85-413E-9822-2D5D164584CF}.bin

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.
        
This is an automatically generated message. Please do not reply to it.

CollectionLog-2017.10.26-08.42.zip

[Sandor]

Проверьте и сообщите что с проблемой.

[KeyAltos]

Изначальная проблема уже после первой чистки Kaspersky Virus Removal Tool исчезла. Теперь при каждом запуске всплывает сообщение, что есть необработанные объекты.

[Sandor]

Очистите хранилища и отчеты антивируса и проверьте.

 

Рекомендую версию обновить до актуальной.

[KeyAltos]

Сделал все по Вашим рекомендациям, пока видимых проблем нет. Спасибо за помощь! Возможно ли как-то понять, откуда и как этот вирус пролез? И что можно сделать, чтобы это в будущем предотвратить?

[Sandor]

что можно сделать, чтобы это в будущем предотвратить?

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

[KeyAltos]

"Часто используемые уязвимости не обнаружены." Возможно, что вирус из программы (IBM SPSS) вылез? После ее установки появилось все.

Изменено 26 октября, 2017 пользователем KeyAltos

[Sandor]

Не исключено.

 

Рекомендации после удаления вредоносного ПО

[KeyAltos]

Есть смысл удалить ее? Или больше нет следов вируса?