Перейти к содержанию
Правила раздела

Самораспространяющийся троян

ld2frvr

От ld2frvr
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

ld2frvr Новичок

ld2frvr

Опубликовано
Опубликовано

Добрый день. Пару дней назад в локальной сети компании был замечен троян. Присутствует уже на большинстве машин. Определяется антивирусным ПО как Trojan.Emotet, Trojan.Fuerboos и пр. Исполняемые файлы с именем, состоящим из рандомных цифр и букв, сами создаются в каталогах "windows", "windows/temp", "windows/SysWOW64". Также создаются службы.

Удаление антивирусом помогает лишь на время, затем файлы снова появляются.

Посоветуйте пожалуйста как с этим бороться и что это за вирус. 

Спасибо!

CollectionLog-2018.09.30-20.07.zip

post-51224-0-02982100-1538329060_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 


 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 




begin

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);

 DeleteService('awhoiwrc');

 DeleteService('dnydqcct');

 DeleteService('utgovffc');

 DeleteService('sexolwxp');

 DeleteService('yeuqfdid');

 DeleteService('xzhdjcmv');

 DeleteService('xyragxty');

 DeleteService('xkxohiuo');

 DeleteService('wuwkiavc');

 DeleteService('vekjhnsw');

 DeleteService('uyuskldr');

 DeleteService('utoybxdl');

 DeleteService('usqikawz');

 DeleteService('ugbmnnsu');

 DeleteService('tndmhmfc');

 DeleteService('tkhclgby');

 DeleteService('shkiacsr');

 DeleteService('sgpfdswn');

 DeleteService('qxwitfga');

 DeleteService('qucablnt');

 DeleteService('oydocjym');

 DeleteService('omncvlis');

 DeleteService('oguhcugf');

 DeleteService('oexssixo');

 DeleteService('mxvbtsqe');

 DeleteService('mviyzbea');

 DeleteService('muiamdoo');

 DeleteService('lishtclp');

 DeleteService('kvjvyvju');

 DeleteService('iormpszj');

 DeleteService('ilfiielh');

 DeleteService('ifxqybxq');

 DeleteService('idsfsdkd');

 DeleteService('hwejrdlc');

 DeleteService('himfpezx');

 DeleteService('hhcnvqlc');

 DeleteService('hdhxeimm');

 DeleteService('gzfittyc');

 DeleteService('eazlvoik');

 DeleteService('dyiimhpf');

 DeleteService('diqyxqvb');

 DeleteService('csqfjnwj');

 DeleteService('bywvaiay');

 DeleteService('byujupwl');

 DeleteService('bnbimapf');

 DeleteService('bmwyjjiv');

 DeleteService('bidaplpe');

 DeleteService('atsigggd');

 DeleteService('afbxcunm');

 DeleteService('1061731463');

 DeleteService('1058311001');

 DeleteService('1054818778');

 DeleteService('1051068904');

 DeleteFile('C:\WINDOWS\16574936.exe','64');

 DeleteFile('C:\WINDOWS\19917272.exe','64');

 DeleteFile('C:\WINDOWS\19261912.exe','64');

 DeleteFile('C:\WINDOWS\23587288.exe','64');

ExecuteWizard('TSW',2,3,true);

ExecuteSysClean;

RebootWindows(true);

end.


 

Внимание! Будет выполнена перезагрузка компьютера. 

 

Пофиксите следующие строчки в HiJackThis

 




04 HKLM\..\RunOnce: [{C685B743-EC1C-41AC-8313-E935A7E78DAD}] = C:\WINDOWS\system32\cmd.exe /C start /D "C:\Users\skurko\AppData\Local\Temp" /B {C685B743-EC1C-41AC-8313-E935A7E78DAD}.cmd


 

Сделайте новые логи Автологгером. 

 

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
ld2frvr Новичок

ld2frvr

Опубликовано
  • Автор
Опубликовано

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png

 

 

все выполнил:

FRST.txt

Addition.txt

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
На всех рабочих станциях установлен корпоративный антивирус? На этой рабочей станции не вижу антивируса. Windows Defender не в счет. 
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Проверьте все рабочие станции на наличие установленного агента и антивируса. Через консоль Eset Remote Administrator запустите полное сканирование на всех ПК в локальной сети. Убедитесь, что на всех ПК установлены актуальные обновления безопасности Windows. 

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

А подскажите что это за вирус, и как он распространяется по сети. Возможно надо какие-то порты закрыть?

Смотрите https://www.anti-malware.ru/news/2017-07-24/23511. Скорее всего обновления не стоят на каких-то ПК вот и гуляет по сети. Возможно гуляет по сети благодаря эксплойту EternalBlue. Я уже собственно написал что необходимо сделать

 

Проверьте все рабочие станции на наличие установленного агента и антивируса. Через консоль Eset Remote Administrator запустите полное сканирование на всех ПК в локальной сети. Убедитесь, что на всех ПК установлены актуальные обновления безопасности Windows. 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • tau34
      Троян в pdf файле?
      От tau34
      Здравствуйте зашел на один сайт посмотреть pdf документ и Касперский выдад уведомление , мне сейчас надо как то удалять его или что? пишет вот такой троян:  HEUR:Trojan.PDF.Badur.gena
      я просто в браузере pdf открыл этот там видать ссылка на вредоносный сайт или что раз так Касперский срнагировал
       
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь по персональным продуктам  
       
       
       
       
       
       
       
       

    • timoshka
      Троян что да каk
      От timoshka
      И так я скачал игру(пиратку, не горжусь) и при проверки системы нашло троян. Прошел все удаление, перезапуск системы. Но я не уверен что он удалился на 100%, как это можно проверить? прошел быструю проверку ничего не нашло, щас запустил полную. 
      Возможно ли что антивирусник так ошибся и ка точно удалить троян если он остался(мб система не удалило его)
      Да, мне страшно...
      как закончится полная напишу что сказало
       
      ничего не нашло, только написало что 1 обьект не был проверен в облаке, может ли быть это троян?
    • Tetis
      Вирус троян updater.exe infected with Trojan.Siggen29.46190
      От Tetis
      Здравствуйте. Винда 10,  антивирус 360 Total Security, каким то образом у меня появился браузер 360 от этого китайского антивируса, примерно 10 дней назад. 14.10.24  появилась программа WPS office. Появились сами. Решил удалить WPS office, но их небыло в списках программ. Удалил с Revo Uninstaller. Перестал работать microsoft office, файлы не открывались. Я скачал 3 варианта microsoft office 2013 в интернете, все пробовал установить, получилось только с 1. Также скачивал прогру для подбора ключа, в итоге подобрал, но потом он слетел. Офис заработал. Комп стал медленее работать, постоянно на максимум вентилятор, греется, жесткий диск крутит . Включил сегодня антивирус, обнаружил вирус updater.exe infected with Trojan.Siggen29.46190, он его удаляет, а вирус постоянно снова появляется в папке C:\ProgramData\Google\Chrome\updater.exe , появляются окна что троян, нажимаю удалить... и так бескнечно, каждые 5 сек. появляется окно антивируса с трояном, я нажимаю удалить.  Dr.Web CureIt ничего не находит, скачал Eset Online Scanner и указал проверку диска С, он нашел вирусы, сейчас процесс проверки пока пишу. CollectionLog-2024.10.20-21.33.zip Что делать, подскажите пожалуйста.
       
    • vlad12332114
      Троян heur trojan multi genbadur genw
      От vlad12332114
      Троян обнаружен антивирусом, удаляется, но после перезагрузки возращается
      CollectionLog-2024.10.22-13.12.zip
    • Namnayshka
      [РЕШЕНО] Помогите, пожалуйста удалить троян или составить fixlog
      От Namnayshka
      Помогите, пожалуйста, поймал где-то heur trojan multi genbadur и касперский не справляется сам. Говорит что для лечения надо перезагрузка и после нее опять через 5 минут выдает предлагаемое лечение, и так по кругу. 
      Addition.txt Fixlog.txt FRST.txt
×
×
  • Создать...