Trojan-Banker.Jimmy Ложное срабатывание или нет?

[Warlocheg]

 Привет, установил Kaspersky internet security и при выполнении полной проверки получил сообщение о зараженном установочном файле, который я установил несколько дней назад. Стоявший на тот момент антивирус ничего не обнаружил. Хотя большинство антивирусов на virustotal ничего не обнаруживают, тип вируса вызывает серьезные опасения, поэтому решил обратиться за помощью к вам. 

ссылка на файл: 
анализ virustotal: https://www.virustotal.com/#/file/b39549c012e6e737393d82e58c33b15cd1e09b2e7e28b6df102e6c900824c151/detection

 

Сообщение от модератора Mark D. Pearlstone

Не публикуйте вредоносные и потенциально вредоносные файлы и ссылки на них.

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Warlocheg]

Кажется, после правки модератора логи удалились, прикрепляю повторно. Up: спасибо

CollectionLog-2017.11.25-11.58.zip

Изменено 25 ноября, 2017 пользователем Warlocheg

[Mark D. Pearlstone]

@Warlocheg, логов не было. Нужно нажимать кнопку "Загрузить"

[regist]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\winstart.bat', '');
 DeleteFile('C:\Windows\winstart.bat', '32');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(10);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

"Пофиксите" в HijackThis:

O4 - HKCU\..\Run: [Google Update] C:\Users\Warlok\AppData\Local\Google\Update\1.3.33.5\GoogleUpdateCore.exe  (file missing)
O4 - MSConfig\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^eBoostr Control Panel.lnk - C:\Program Files (x86)\eBoostr\eBoostrCP.exe (2012/10/19) (file missing)
O4 - MSConfig\startupfolder: C:^Users^Warlok^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^PhenomMsrTweaker.lnk - C:\Users\Warlok\AppData\Roaming\Microsoft\Installer\{2CD600E3-55E9-47B3-9611-6FE0ECC04BF9}\_8E51C3A943DF24BC750526.exe (2013/04/20) (file missing)
O4 - MSConfig\startupfolder: C:^Users^Warlok^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^_uninst_11671853.lnk - C:\TEMP\_uninst_11671853.bat (2014/06/15) (file missing)
O4 - MSConfig\startupreg: [APSDaemon] C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe  (file missing) (HKLM) (2013/12/31)
O4 - MSConfig\startupreg: [Acronis Scheduler2 Service] c:\Program Files (x86)\Common Files\Acronis\Schedule2\schedhlp.exe  (file missing) (HKLM) (2013/10/19)
O4 - MSConfig\startupreg: [AcronisTibMounterMonitor] c:\Program Files (x86)\Common Files\Acronis\TibMounter\TibMounterMonitor.exe (file missing) (HKLM) (2013/10/19)
O4 - MSConfig\startupreg: [Akamai NetSession Interface] C:\Users\Warlok\AppData\Local\Akamai\netsession_win.exe  (file missing) (HKCU) (2013/02/25)
O4 - MSConfig\startupreg: [Appset Update] C:\Users\Warlok\AppData\Local\Appset\AppsetUpdater\AppSetManager.exe /startscheduler (file missing) (HKCU) (2013/10/19)
O4 - MSConfig\startupreg: [Download Master] C:\Program Files (x86)\Download Master\dmaster.exe -autorun (file missing) (HKCU) (2012/12/19)
O4 - MSConfig\startupreg: [F.lux] C:\Users\Warlok\Local Settings\Apps\F.lux\flux.exe /noshow (file missing) (HKCU) (2011/08/21)
O4 - MSConfig\startupreg: [GarenaPlus] C:\Program Files (x86)\Garena Plus\GarenaMessenger.exe -autolaunch (file missing) (HKCU) (2013/11/29)
O4 - MSConfig\startupreg: [KiesPDLR] C:\Program Files (x86)\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe (file missing) (HKCU) (2012/12/19)
O4 - MSConfig\startupreg: [OscarEditor] C:\Program Files (x86)\GXStandard16-in-1\GXStandard16in1.exe Minimum (file missing) (HKCU) (2014/01/09)
O4 - MSConfig\startupreg: [Samsung Link] D:\Samsung Link\Samsung Link Tray Agent.exe  (file missing) (HKLM) (2014/06/15)
O4 - MSConfig\startupreg: [SsdReady] C:\Windows\system32\ssdready.exe  (file missing) (HKCU) (2013/10/19)
O4 - MSConfig\startupreg: [StartCCC] D:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe MSRun (file missing) (HKLM) (2013/02/28)
O4 - MSConfig\startupreg: [TrueImageMonitor.exe] c:\Program Files (x86)\Acronis\TrueImageHome\TrueImageMonitor.exe  (file missing) (HKLM) (2013/10/19)
O4 - MSConfig\startupreg: [avichannel] D:\Program Files (x86)\Evaer\videochannel.exe  (file missing) (HKCU) (2016/08/21)
O4 - MSConfig\startupreg: [iTunesHelper] D:\Program Files (x86)\iTunes\iTunesHelper.exe  (file missing) (HKLM) (2013/12/31)
O4 - MSConfig\startupreg: [join.me.launcher] C:\Users\Warlok\AppData\Local\join.me.launcher\join.me.launcher.exe  (file missing) (HKCU) (2016/08/21)
O22 - Task (Ready): MSIAfterburner - D:\Program Files (x86)\MSI Afterburner\MSIAfterburner.exe /s (file missing)
O22 - Task (Ready): Opera scheduled Autoupdate 1494438175 - C:\Program Files\Opera\launcher.exe --scheduledautoupdate $(Arg0) (file missing)

- Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.
 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

Изменено 25 ноября, 2017 пользователем regist

[Warlocheg]

1)https://virusinfo.info/virusdetector/report.php?md5=75C3325B712A6280FB7FC10089363BCA
2)Re: newvirus [KLAN-7223153719]

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:

winstart.bat

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.
3) отчет прикрепил
4) пофиксил
5) новый лог прикрепил

ClearLNK-25.11.2017_13-43.log

CollectionLog-2017.11.25-13.48.zip

Изменено 25 ноября, 2017 пользователем Warlocheg

[regist]

1) У вас стоит Kaspersky Internet Security и  COMODO Firewall. Если уж так хотели сторонний файрволл, то надо было ставить хотя бы KAV. + у вас дефендер включён, наверняка это всё между собой конфликтует

 

AV: Kaspersky Internet Security
FW: COMODO Firewall (отключено)
FW: Kaspersky Internet Security
AS: COMODO Advanced Protection (отключено)
AS: Kaspersky Internet Security
AS: Windows Defender

+ к этому ещё MBAM....

так что советую пересмотреть это. Только это уже обсуждение не для этого раздела.

 

2) И раз Malwarebytes  уже установлен, то сделайте и прикрепите лог полного сканирования.

 

3) папку

C:\Windows\system32\tasks\

заархивируйте, закачайте архив на любой файлообменник, не требующий ввода капчи (например:  Zippyshare, My-Files.RU, File.Karelia) ссылку на скачивание пришлите мне в ЛС.
 

Изменено 25 ноября, 2017 пользователем regist

[Warlocheg]

прикрепил, отправил

mwlog.txt

[regist]

Если программы/расширения от Mail.ru не используете, то удалите в MBAM всё найденное.
 
Активного заражения не видно.
 

Ложное срабатывание или нет?

с этим вопросом обратитесь к вирусным аналитикам в вирлаб, через тех. поддержку.

[regist]

+ можете приложить экспорт ветки реестра?

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache

[Warlocheg]

Спасибо . Ветку приложил

taskshedule.rar

[regist]

MBAM деинсталируйте.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.