Перейти к содержанию

Подозрения на троян оправдались - Trojan.Downloader.JS.Adload.f


Ульянка

Рекомендуемые сообщения

Здравствуйте,

 

Знаю Вас и пользуюсь периодически Вашей помощью еще со времен virusinfo.

 

Уже давно подозревала, что комп тормозит не по-детски. При том что ничего не запущено полностью загружен процессор...
Но последнее время особой нужды в нем не было, а распечатать или сделать по мелочи можно было и так.

Недавно AVG напомнил о себе и решила его удалить, поставила Касперского free. Он нашел эту гадость и удалил. А я решила разобраться по полной.

Логи прилагаю. Во время проверки были ошибки что открыт доступ к перезапуску с HDD и DVD. А DVD щелкает и пытается запуститься с завидной регулярностью.

 

Спасибо заранее,

Ульяна

 


Еще раз проверила диспетчер задач. Запущен только браузер - загрузка памяти около 960МВ. Это норма? Правда закладок тыща открыта.

Спасибо.

CollectionLog-2018.12.07-13.44.zip

Ссылка на комментарий
Поделиться на другие сайты

 

 


Запущен только браузер - загрузка памяти около 960МВ. Это норма? Правда закладок тыща открыта.
для браузеров на основе Хрома это нормально.

Вирусов не видно, мусор немного почистим.

 

1) "Пофиксите" в HijackThis:

O2 - HKLM\..\BHO: (no name) - {95B7759C-8C7F-4BF1-B163-73684A933233} - (no file)
O2 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O2-32 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00avg: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: (disabled) \Microsoft\Windows\Shell\FamilySafetyUpload - {EBF00FCB-0769-4B81-9BEC-6C05514111AA},4 - (no file)
O22 - Task: (disabled) \Microsoft\Windows\SideShow\AutoWake - {E51DFD48-AA36-4B45-BB52-E831F02E8316} - (no file)
O22 - Task: (disabled) \Microsoft\Windows\SideShow\SessionAgent - {45F26E9E-6199-477F-85DA-AF1EDFE067B1} - (no file)
O22 - Task: (disabled) \Microsoft\Windows\SideShow\SystemDataProviders - {7CCA6768-8373-4D28-8876-83E8B4E3A969} - (no file)
O22 - Task: \Microsoft\Windows\MobilePC\HotStart - {06DA0625-9701-43DA-BFD7-FBEEA2180A1E} - (no file)
O22 - Task: \Microsoft\Windows\NetCfg\BindingWorkItemQueueHandler - {5AA199A0-1CED-43A5-9B85-3226086738A3} - (no file)
O22 - Task: \Microsoft\Windows\PerfTrack\BackgroundConfigSurveyor - {EA9155A3-8A39-40B4-8963-D3C761B18371} - (no file)
O22 - Task: \Microsoft\Windows\SMB\UninstallSMB1ClientTask - C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Unrestricted -NonInteractive -NoProfile -WindowStyle Hidden "& C:\WINDOWS\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1 -Scenario Client"
O22 - Task: \Microsoft\Windows\SMB\UninstallSMB1ServerTask - C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Unrestricted -NonInteractive -NoProfile -WindowStyle Hidden "& C:\WINDOWS\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1 -Scenario Server"
O22 - Task: \Microsoft\Windows\SideShow\GadgetManager - {FF87090D-4A9A-4F47-879B-29A80C355D61},$(Arg0) - (no file)
O22 - Task: \Microsoft\Windows\SkyDrive\Idle Sync Maintenance Task - {BF6C1E47-86EC-4194-9CE5-13C15DCB2001},IdleSyncMaintenance - (no file)
O22 - Task: \Microsoft\Windows\SkyDrive\Routine Maintenance Task - {1B1F472E-3221-4826-97DB-2C2324D389AE},RoutineMaintenance - (no file)

 

2) Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.


 

3)

Google Update Helper [20141113]-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
Google Update Helper [20180520]-->MsiExec.exe /I{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}

советую деинсталировать.

Unity Web Player [2018/06/20 11:40:25]-->C:\Users\Иван\AppData\Local\Unity\WebPlayer\Uninstall.exe /CurrentUser

если сами не ставили, то тоже.

 

4)

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt.
  • Прикрепите отчет к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Спасибо.

 

Файл после AVG получился 128 МВ, но не хочет уже третий раз закачиваться.

Кстати, после того как файл с 3ей попытки закачался, avz завис.

 

MsiExec.exe - в списке программ нет. Нашла его в папке C:\Windows\System32 попробовала удалить.

Сначала написал нужны права администратора, потом:

"Вам необходимо разрешение на выполнение этой операции.

Запросите разрешение от "TrustedInstaller" на изменение этого файла."

 

C:\Users\Иван\AppData\Local\Unity\WebPlayer\Uninstall.exe

У меня как-то странно и русская и английская версия сосуществуют.

Сейчас все папки русские

Windows8_OS(C:)\Пользователи\Иван\

Что имеется ввиду под Local не нашла.

 

Саму программу UnityWebPlayer нашла в загрузках и удалила.

AdwCleanerS00.txt

Изменено пользователем Ульянка
Ссылка на комментарий
Поделиться на другие сайты

 

 


Файл после AVG получился 128 МВ, но не хочет уже третий раз закачиваться. Кстати, после того как файл с 3ей попытки закачался, avz завис.
Вы про пункт №2 ? AVZ для сбора того архива достачно было один раз запустить. Если не получается закачать, то загрузите на файлообменник и ссылку укажите здесь.

 

 

 


Саму программу UnityWebPlayer нашла в загрузках и удалила.
надо было смотреть в Панель управления - Удаление программ.

 

 

Файл после AVG
не понятно вы снова поставили AVG или он сейчас удалён?
Ссылка на комментарий
Поделиться на другие сайты

Спасибо.

 

AVG один раз запускала. С третьей попытки это я про загрузку отчета и после этого avz завис. Хотя как это связано не понимаю.

 

 

Про удаление программ.

 

Обычно когда находила программу и хотела удалить меня автоматически выбрасывало в удаление программ. А тут не случилось.

 

AVG не удаляла.

 

Только что зашла наконец и через удаление программ удалила UnityWebPlayer.

Google Update Helper в списке нет, сам файл MsiExec.exe как уже писала удалить не дает.

Ссылка на комментарий
Поделиться на другие сайты

AVG не удаляла.

на момент создания темы его уже не было.

 

 

Google Update Helper в списке нет, сам файл MsiExec.exe как уже писала удалить не дает.

MsiExec.exe и нельзя удалять.

Нажмите windows + R в отрывшееся окно скопируйте и вставьте следующее

MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
после этого Enter, должна запуститься деинсталяция.

 

+

  • Запустите повторно AdwCleaner через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать"), а по окончании сканирования нажмите кнопку "Clean & Repair" ("Очистить и восстановить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты

Сорри, у меня avz и avg смешались. Есть AVZ и нет и не было  AVG.

 

Команду запустила, но показалось в окошке было про инсталляцию.

 

Спасибо.

AdwCleanerC01.txt

AdwCleanerS01.txt

Изменено пользователем Ульянка
Ссылка на комментарий
Поделиться на другие сайты

  • Пожалуйста, запустите adwcleaner.exe
  • В меню Настройки - Удалить AdwCleaner - выберите Удалить.
  • Подтвердите удаление, нажав кнопку: Да.

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

 

Выполните рекомендации после лечения.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Flawor_Swift
      От Flawor_Swift
      Доброго времени суток! В состоянии покоя через некоторое время ноутбук начинает сильно шуметь, как будто бы я на нем активно активно работаю. Из необычного еще  окно "Безопасность  Windows" При открытии фризит и выдает черный экран на пару минут. Другие проявления типичные майнеру, по типу невозможности зайти на сайты, создавать папки или запускать антивирусы отсутствуют.  KVRT и Cureit  не нашли ничего вредоносного

      CollectionLog-2024.11.14-01.14.zip
    • tau34
      От tau34
      Здравствуйте зашел на один сайт посмотреть pdf документ и Касперский выдад уведомление , мне сейчас надо как то удалять его или что? пишет вот такой троян:  HEUR:Trojan.PDF.Badur.gena
      я просто в браузере pdf открыл этот там видать ссылка на вредоносный сайт или что раз так Касперский срнагировал
       
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь по персональным продуктам  
       
       
       
       
       
       
       
       

    • timoshka
      От timoshka
      И так я скачал игру(пиратку, не горжусь) и при проверки системы нашло троян. Прошел все удаление, перезапуск системы. Но я не уверен что он удалился на 100%, как это можно проверить? прошел быструю проверку ничего не нашло, щас запустил полную. 
      Возможно ли что антивирусник так ошибся и ка точно удалить троян если он остался(мб система не удалило его)
      Да, мне страшно...
      как закончится полная напишу что сказало
       
      ничего не нашло, только написало что 1 обьект не был проверен в облаке, может ли быть это троян?
    • Salieri
      От Salieri
      Здравствуйте, столкнулся с такой проблемой что у меня начали вылазить окна cmd, долгая перезагрузка, обновления какие-то, проблемы с производительностью. Нужна ваша помощь, антивирусы не дают ничего.CollectionLog-2024.11.17-12.39.zip
    • kostyan2008
      От kostyan2008
      В журнале служб windows часто выскакивает ошибка "Сбой при запуске службы "Служба Google Update (gupdate)" из-за ошибки 
      Служба не ответила на запрос своевременно."
      Сбой при запуске службы "WinRing0_1_2_0" из-за ошибки 
      Системе не удается найти указанный путь.
      В автозагрузке присутствуют непонятные сервисы, включая непонятный google update
      CollectionLog-2024.09.18-20.26.zip
×
×
  • Создать...