Перейти к содержанию
Интервью с экспертом: задай вопрос Евгению Козлову, руководителю направления подбора персонала

UDS:DangerousObject.Multi.Generic или Trojan-Ransom.Win32.Shade.ozm

serega_123
 Поделиться

Рекомендуемые сообщения

serega_123

serega_123

Опубликовано
Опубликовано (изменено)
Добрый день!

По почте пришло письмо с архивом, внутри которого находился файл "Газпромбанк Заказ 02-11.js".

Знакомый пользователь его запустил и почти сразу обратился ко мне с подозрением на вирус.

Удалось быстро выключить компьютер (через 5 минут после запуска вредоносного кода).

 

Ручной анализ файла показал, что это даунлоадер, который качает файл "sserv.jpg" с одного из двух адресов:

aquakleanz.com/wp-content/blogs.dir/sserv.jpg

votebrycerobertson.com/wp-includes/ID3/sserv.jpg

Сохраняет его во временную папку Windows и запускает как исполняемый файл (вроде-бы без ключей, просто в скрытом режиме).

 

Свойства файла говорят о том, что это на самом деле EXE, который раньше назывался gniscan.exe и имеет описание как Global Network Inventory Scanner производства Magneto Software. Подозреваю, что это маскировка.

 

Проверка этого файла на virusdesk.kaspersky.ru в пятницу давала классификацию UDS:DangerousObject.Multi.Generic. Сегодня - дает классификацию Trojan-Ransom.Win32.Shade.ozm

 

После запуска компьютера в безопасном режиме пользователь сохранил личные файлы на внешний диск и снова передал компьютер мне. Я также продолжал работу в безопасном режиме. Провел очистку временных файлов штатными средствами Windows и утилитой CCleaner. Просмотрел файлы пользователя и не нашел добавленных расширений, как это бывает после работы вирусов-шифровальщиков.

 

В автозапуске тоже вроде бы ничего не нашел, но могу ошибаться.

KVRT и DrWeb ничего не нашли.

 

AutoLogger также запускал из безопасного режима, логи прилагаю.

Также прилагаю файлы вируса, пароль 123

 

Прошу проверить, не осталось ли следов вируса и, если это возможно - уточнить, что же он на самом деле делает, если не шифрует.

 

Спасибо!

 

CollectionLog-2018.11.06-10.54.zip

Изменено пользователем regist
вирусы прикреплять запрещено
regist

regist

Опубликовано
Опубликовано

Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

serega_123

serega_123

Опубликовано
  • Автор
Опубликовано

Malwarebytes' Anti-Malware Также запускал в безопасном режиме.

Лог прилагаю.

Можно ли загружать комп в нормальном режиме и нужно ли повторить эти сканирования там?


На всякий случай прилагаю так же лог Farbar Recovery Scan Tool


файлы FRST.txt и Addition.txt

scan.txt

FRST.txt

Addition.txt

Sandor

Sandor

Опубликовано
Опубликовано

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Служба автоматического обновления программ

Найденное в MBAM можно удалить (поместить в карантин).

 

Дополнительно из обычного режима:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
serega_123

serega_123

Опубликовано
  • Автор
Опубликовано

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Служба автоматического обновления программ

Найденное в MBAM можно удалить (поместить в карантин).

 

Это мусор от мейл ру. Тут он вроде ни при чем. Но удалил.

 

Сделал новые логи MBAM, UVS, AutoLogger и FRST из нормального режима запуска Windows, прилагаю.

AdwCleaner также прилагаю.

 

Очень похоже, что тело вируса все-таки было запущено, т.к. ноутбук усиленно шуршал в тот момент, когда мне его принесли. Что же этот вирус делал? Никак не узнать?

Я бегло глянул в процессы, ничего подозрительного не увидел и поспешил перезагрузиться в безопасный режим, чтобы хоть какие-то файлы спасти, если это шифровальщик... Но зашифрованных файлов на диске не вижу.

 

Может отправить куда-то файлы вируса, чтобы там в песочнице погоняли? Вроде бы это относительно новая модификация, скомпилировано 2 ноября. И regist только сегодня на вирустотале его отметил )

Addition.txt

AdwCleanerS01.txt

CollectionLog-2018.11.06-16.31.zip

FRST.txt

HP-NATALI_2018-11-06_16-11-15_v4.1.1.7z

scan.txt

serega_123

serega_123

Опубликовано
  • Автор
Опубликовано

 

Можно сюда - https://virusdesk.kaspersky.ru/

 

это проверялка - просто есть вирус или нет... я думал есть место, где его препарируют и опишут, что именно он делает

 

Спасибо за помощь!

regist

regist

Опубликовано
Опубликовано

@serega_123, чисто у вас. Вирус видно самоудалился при перезагрузке.

Но раз уж собрали столько логов, то для очистки мусора

 

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.1 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
BREG
;---------command-block---------
delref %SystemDrive%\PROGRAM FILES (X86)\CISCO\CISCO EAP-FAST MODULE\CISCOEAPFAST.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\CISCO\CISCO LEAP MODULE\CISCOEAPLEAP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\CISCO\CISCO PEAP MODULE\CISCOEAPPEAP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.127.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.51.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.57.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.59.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.75.1\PSMACHINE.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {8ABE89E2-1A1E-469B-8AF0-0A111727CFA5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
apply

restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.

 

MBAM деинсталируйте.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.


 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Kir_new
      Не удаляются вирусы. UDS:DangerousObject.Multi.Generic и HEUR:Trojan.Win64.Miner.gen.
      Автор Kir_new
      Изначально было, что компьютер всё себя странно, в том плане, что не открывались некоторые программы (например "Ножницы" или "Редактор реестра"). После проверки KVRT было найдено 13 вирусов (сколько-то из них потенциальных). После очистки заработало всё нормально. Но при повторной проверке всё равно находятся UDS:DangerousObject.Multi.Generic и HEUR:Trojan.Win64.Miner.gen. При этом они просто помещаются в каратин. После этого какое-то время после этого антивирус их не находит. Но затем они появляются снова (удаляешь их из карантина или нет).
      Так же иногда находятся Trojan.Win64(32)Autoit.acpju и Trojan.Win64(32)AutoIt.fpl. В скобках написал, потому что точно не помню, так как они даже не добавились в карантин в последний раз.

    • cmd11
      uds:dangerousObject.Multi.Generic
      Автор cmd11
      Здравствуйте!
       
      загрузил архив с обновлением прошивки автомобильного устройства.
       
      после распаковки касперский обнаружил угрозу uds:dangerousObject.Multi.Generic и удалил файл.
       
      отправить вам архив и файл по ссылке не удалось. архив запаролен, файл не прикрепляется.
      заархивировать файл с новым паролем на архив также не получается - размер архива - 0 байт.
       
      архив прикрепил. пароль к архиву autobzik
      вчера-сегодня пропала папка с рабочими документами на 1гб
       
       
      помогите пожалуйста разобраться! очень много ценной рабочей документации на компьютере.
       
      это ложное срабатывание или нет? если вирус, как избавиться и восстановить систему и утраченную папку?
       
      заранее благодарю!
       
      Строгое предупреждение от модератора Mark D. Pearlstone Не публикуйте на форуме вредоносные и потенциально вредоносные файлы, а также ссылки на них.
    • Krungo34
      Подцепил UDS.DangerousObject.Multi.Generic,внедряется в процессы
      Автор Krungo34
      Добрый день! Пару дней назад подцепил руткит DangerousObject.Multi.Generic, Касперский лечил его, но при перезагрузке, вирус снова атаковал систему,внедрялся в процессы, так несколько раз. Чаще всего атакует "System Memory". Отметил, что система стала перезагружаться пару раз в день, началось, естественно с момента появления вируса. "PAGE_FAULT_IN_NONPAGED_AREA" синий экран смерти 0x00000050 и т. д несколько раз в день, думаю это связано с действием вируса (ов), поскольку до него все работало идеально.
      Заранее благодарю за помощь! Уже несколько дней мучаюсь с этой проблемой.
      P.s Высылаю логи!
      P.p.s За это время, Касперский устранил еще пару троянов класса Trojan.script.Agent.gen и Rootkit.Win64.Equation Drug.a
      .
      CollectionLog-2017.05.03-13.14.zip
      avz_log.txt
    • Alan_G
      UDS:DangerousObject.Multi.Generic
      Автор Alan_G
      День добрый! 
      Касперский выдает угрозу под названием UDS:DangerousObject.Multi.Generic, предлагает лечит, однако после окончания процедуры лечения (перезагрузки ПК) снова выдает предупреждение об этом же вирусе и предлагает лечение еще раз.
      Сам же вирус активности никакой не проявляет. Опасен ли он вообще? Если да, то как можно окончательно от него избавиться?
       
      P.S. После лечения в карантине часто был замечен какой-то файл samp.dat, который появлялся даже после удаления. Может, это тоже важно.

      P.P.S. На данный момент (спустя ~10 минут) после очередной перезагрузки антивирус ничего плохого не выдает. Но тем не менее до этого приходилось перезагружать компьютер примерно 3 раза подряд, поэтому мало ли...
      CollectionLog-2017.05.08-19.42.zip
×
×
  • Создать...