Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Удалить троян

defanew

Автор defanew
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

defanew Новичок

defanew

Опубликовано
Опубликовано

Здравствуйте! У меня периодически KIS находит и сообщает о трояне workerDLL.dll. На текущую сессию удаляет, но через день снова то же сообщение. Как найти и обезвредить генератор трояна?

Ссылка на комментарий
Поделиться на другие сайты
  • Ответов 36
  • Создана
  • Последний ответ

Топ авторов темы

  • defanew

    19

  • thyrex

    15

  • regist

    3

Популярные дни

Топ авторов темы

Популярные дни

Изображения в теме

thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\TEMP\svchost.exe','');
 QuarantineFile('C:\Program Files\youtub~1\updater.exe','');
 DeleteFile('C:\Windows\winstart.bat','32');
 DeleteFile('C:\Program Files\youtub~1\updater.exe','32');
 DeleteFile('C:\TEMP\svchost.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

@defanew, добавлю, что если вы прописывали DNS гугла, то правильно прописывать:

8.8.8.8 и 8.8.4.4, а не 4.4.4.4 как вы прописали себе.

Ссылка на комментарий
Поделиться на другие сайты
defanew Новичок

defanew

Опубликовано
  • Автор
Опубликовано

Какая последовательность действий? Я нулевой юзер. Как мне выполнить скрипт?

 


Я, как легко догадаться, даже если бы захотел, не мог бы прописать DNS гугла. Я даже не вполне понимаю, о чем речь.


Прочитал, сделал.

 

Результат загрузки
Файл сохранён как 180825_105235_quarantine_5b8134f37140b.zip
Размер файла 483238
MD5 53c084191d6f63fb453bfda209d6e428
Файл закачан, спасибо!
 
 

CollectionLog-2018.08.25-18.04.zip

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

 

 


Как мне выполнить скрипт?
Выполните скрипт в AVZ (Файл - Выполнить скрипт) - кликабельно, по ссылке написано подробней.

 

 


не мог бы прописать DNS гугла. Я даже не вполне понимаю, о чем речь.
для того чтобы в системе удалить их

"Пофиксите" в HijackThis

O17 - HKLM\System\CCS\Services\Tcpip\..\{6A6C934D-6340-4166-BF6F-703FAB1A5F8D}: [NameServer] = 4.4.4.4
O17 - HKLM\System\CCS\Services\Tcpip\..\{6A6C934D-6340-4166-BF6F-703FAB1A5F8D}: [NameServer] = 8.8.8.8 (Well-known DNS: Google)
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{6A6C934D-6340-4166-BF6F-703FAB1A5F8D}: [NameServer] = 4.4.4.4
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{6A6C934D-6340-4166-BF6F-703FAB1A5F8D}: [NameServer] = 8.8.8.8 (Well-known DNS: Google)

и эти же DNS у вас в роутере прописаны, чтобы там прописать рекомендованные провайдером позвоните в его тех. поддержку и попросите чтобы они вам их там исправили.

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

 

 


а на что влияет "неправильный" DNS?
у вас там два, основной прописан правильно от гугла. А второй с ошибкой, не проверял, но скорее всего через него вообще интернет не будет работать (а для работы просто используется первый). А также могут быть недоступны опции в личном кабинете провайдера (зависит от провайдера) и скорость интернета быть медленнее.

 

 


Это же к трояну не относится?
В общем-то не относится, но если вы или с вашего разрешения никто не прописывал, то возможно за вас это сделал вирус.

 

Но это мы отошли от темы. Ссылку как выполнить скрипт выше дал. Выполняйте рекомендации thyrex.
Это же к трояну не относится?

Ссылка на комментарий
Поделиться на другие сайты
defanew Новичок

defanew

Опубликовано
  • Автор
Опубликовано

Скрипты я выполнил, ответ дал там же, где спрашивал, на всякий случай повторю: 
Результат загрузки:
 

Результат загрузки
Файл сохранён как 180825_105235_quarantine_5b8134f37140b.zip
Размер файла 483238
MD5 53c084191d6f63fb453bfda209d6e428
Файл закачан, спасибо!

(это сообщение загрузчика)

файл нового лога прикреплен

Да, кстати, роутер не провайдера, мой. Мне все равно к провайдеру обращаться?

CollectionLog-2018.08.25-18.04.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-3942278910-3976999344-1728389208-1000 -> No Name - {1392B8D2-5C05-419F-A8F6-B9F15A596612} -  No File
Toolbar: HKU\S-1-5-21-3942278910-3976999344-1728389208-1000 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} -  No File
Toolbar: HKU\S-1-5-21-3942278910-3976999344-1728389208-1000 -> Search App by Ask - {4F524A2D-5350-4500-76A7-7A786E7484D7} - "C:\Program Files\AskPartnerNetwork\Toolbar\ORJ-SPE\Passport.dll" No File
Toolbar: HKU\S-1-5-21-3942278910-3976999344-1728389208-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF Extension: (Quick Searcher) - C:\Users\ДмитрийФ\AppData\Roaming\Mozilla\Firefox\Profiles\kcr4sfv3.default\Extensions\mefhakmgclhhfbdadeojlkbllmecialg@chrome-store-foxified-1132576233 [2017-10-25]
CHR HKLM\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi
CHR HKU\S-1-5-21-3942278910-3976999344-1728389208-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3942278910-3976999344-1728389208-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
S2 AdsService; C:\Windows\System32\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
2018-08-25 17:17 - 2018-08-25 17:17 - 000000000 ____D C:\Windows\system32\xmr
2017-10-25 00:46 - 2017-10-25 23:14 - 000000005 _____ () C:\Users\ДмитрийФ\AppData\Roaming\a.txt
2017-10-25 19:17 - 2017-10-25 19:17 - 000000000 _____ () C:\Users\ДмитрийФ\AppData\Local\installer.dat
2017-10-25 19:17 - 2017-10-25 19:21 - 000930816 _____ () C:\Users\ДмитрийФ\AppData\Local\po.db
Task: {0FE2877E-7141-4242-8E4B-09147762DD39} - \gastproffite -> No File <==== ATTENTION
Task: {127BFB96-748A-4EBC-820E-12A485E283DE} - System32\Tasks\86649910c541d7527423cf39de2a3169 => sc start 86649910c541d7527423cf39de2a3169 <==== ATTENTION
Task: {1FDBA633-7EC2-4B15-9453-DF284B6B5A69} - \okagncigkfokplmopeninonbibkmpogi -> No File <==== ATTENTION
Task: {39AF42D2-0269-4B87-85CE-E38A40C528EA} - \{715EA743-51E1-49BC-BEEE-E7BCC355AD2D} -> No File <==== ATTENTION
Task: {3E610B4F-250E-44B0-80D7-6254CF7F8F29} - \gastproffite2 -> No File <==== ATTENTION
Task: {507050A6-601A-400F-B055-B83C59D7A8B1} - \Optimize Start Menu Cache Files-S-FW -> No File <==== ATTENTION
Task: {6826D103-9EB9-4538-A803-A5EE2B1C1DF5} - \Microsoft\Windows\Wininet\sscore -> No File <==== ATTENTION
Task: {6C079B6E-CB4A-4AC3-B4FE-AEB51860422E} - \8713d67ad2539d38bbf6eceaac6bbf07 -> No File <==== ATTENTION
Task: {7AA47B71-841C-4CBE-B894-C72DAC328E41} - \Optimize Start Menu Cache Files-S-TQ -> No File <==== ATTENTION
Task: {7F0BF632-D3B9-41CD-ABC5-8EA66BFC2E95} - \Microsoft\Windows\handles\id -> No File <==== ATTENTION
Task: {BAF539C7-C510-4A54-A2DE-A417C250C865} - \{4391456E-C30D-402F-84AB-876B1E204C31} -> No File <==== ATTENTION
Task: {D09C8825-1B35-4D90-8121-B6FF62F885FA} - \WeeklyWeather2 -> No File <==== ATTENTION
Task: {EC1ADCF3-96A8-4015-8AAE-FA962CAE25DB} - \WeeklyWeather -> No File <==== ATTENTION
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • varzi_73
      Троян trojan.multi.aum
      Автор varzi_73
      Добрый день! подцепил троян. Как восстановить данные?
      RDesk_Backup.rar
    • RedKaroliner
      [РЕШЕНО] Удалены ли трояны
      Автор RedKaroliner
      Здравствуйте!
      Использовал антивирус Касперского 3 раза. После первого и второго сканирования он показывал наличие троянов, я выбирал везде пункт "удалить". В третий раз после сканирования ничего не обнаружил. Хотелось бы понять, остались ли на компьютере трояны, или он чист.
      CollectionLog-2025.03.24-17.46.zip
    • user344
      Поймал майнер или троян
      Автор user344
      Здравствуйте! Недавно компьютер в простое начинает переодически нагружаться до 100%, вентиляторы начинают крутить на полную в течении 5-10 минут, только начинаешь водить мышкой по рабочему столу, то сразу же нагрузка падает до дефолтных значений. Проверял лечащай утилитой др.веб и kvrt они вирусов не нашли.
      CollectionLog-2025.06.25-21.11.zip
    • MirTa
      Троян ISTANBULTEAM зашифровал файлы
      Автор MirTa
      Здравствуйте, вчера в два этапа  10.00 и  20.00 оказались зашифрованы почти все файлы, в том числе и архиватор, поэтому не могу сложить в архив и не могу их прикрепить, подскажите, пожалуйста, как их сюда добавить
      Important_Notice.txt Addition.txt FRST.txt
    • Nickopol
      Удалить вирус
      Автор Nickopol
      HEUR:Trojan.Win64.Miner.gen (так определил касперский). Как избавиться без переустановки винды? Создаёт папку в ProgramData типа paperprotector-1c42cf80-e801-4c6e-8375-3b7be1b4649c. paperprotector.exe - запускаемый файл 
×
×
  • Создать...