Перейти к содержанию

Подозрения на троян оправдались - Trojan.Downloader.JS.Adload.f


Ульянка

Рекомендуемые сообщения

Здравствуйте,

 

Знаю Вас и пользуюсь периодически Вашей помощью еще со времен virusinfo.

 

Уже давно подозревала, что комп тормозит не по-детски. При том что ничего не запущено полностью загружен процессор...
Но последнее время особой нужды в нем не было, а распечатать или сделать по мелочи можно было и так.

Недавно AVG напомнил о себе и решила его удалить, поставила Касперского free. Он нашел эту гадость и удалил. А я решила разобраться по полной.

Логи прилагаю. Во время проверки были ошибки что открыт доступ к перезапуску с HDD и DVD. А DVD щелкает и пытается запуститься с завидной регулярностью.

 

Спасибо заранее,

Ульяна

 


Еще раз проверила диспетчер задач. Запущен только браузер - загрузка памяти около 960МВ. Это норма? Правда закладок тыща открыта.

Спасибо.

CollectionLog-2018.12.07-13.44.zip

Ссылка на комментарий
Поделиться на другие сайты

 

 


Запущен только браузер - загрузка памяти около 960МВ. Это норма? Правда закладок тыща открыта.
для браузеров на основе Хрома это нормально.

Вирусов не видно, мусор немного почистим.

 

1) "Пофиксите" в HijackThis:

O2 - HKLM\..\BHO: (no name) - {95B7759C-8C7F-4BF1-B163-73684A933233} - (no file)
O2 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O2-32 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00avg: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: (disabled) \Microsoft\Windows\Shell\FamilySafetyUpload - {EBF00FCB-0769-4B81-9BEC-6C05514111AA},4 - (no file)
O22 - Task: (disabled) \Microsoft\Windows\SideShow\AutoWake - {E51DFD48-AA36-4B45-BB52-E831F02E8316} - (no file)
O22 - Task: (disabled) \Microsoft\Windows\SideShow\SessionAgent - {45F26E9E-6199-477F-85DA-AF1EDFE067B1} - (no file)
O22 - Task: (disabled) \Microsoft\Windows\SideShow\SystemDataProviders - {7CCA6768-8373-4D28-8876-83E8B4E3A969} - (no file)
O22 - Task: \Microsoft\Windows\MobilePC\HotStart - {06DA0625-9701-43DA-BFD7-FBEEA2180A1E} - (no file)
O22 - Task: \Microsoft\Windows\NetCfg\BindingWorkItemQueueHandler - {5AA199A0-1CED-43A5-9B85-3226086738A3} - (no file)
O22 - Task: \Microsoft\Windows\PerfTrack\BackgroundConfigSurveyor - {EA9155A3-8A39-40B4-8963-D3C761B18371} - (no file)
O22 - Task: \Microsoft\Windows\SMB\UninstallSMB1ClientTask - C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Unrestricted -NonInteractive -NoProfile -WindowStyle Hidden "& C:\WINDOWS\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1 -Scenario Client"
O22 - Task: \Microsoft\Windows\SMB\UninstallSMB1ServerTask - C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Unrestricted -NonInteractive -NoProfile -WindowStyle Hidden "& C:\WINDOWS\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1 -Scenario Server"
O22 - Task: \Microsoft\Windows\SideShow\GadgetManager - {FF87090D-4A9A-4F47-879B-29A80C355D61},$(Arg0) - (no file)
O22 - Task: \Microsoft\Windows\SkyDrive\Idle Sync Maintenance Task - {BF6C1E47-86EC-4194-9CE5-13C15DCB2001},IdleSyncMaintenance - (no file)
O22 - Task: \Microsoft\Windows\SkyDrive\Routine Maintenance Task - {1B1F472E-3221-4826-97DB-2C2324D389AE},RoutineMaintenance - (no file)

 

2) Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.


 

3)

Google Update Helper [20141113]-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
Google Update Helper [20180520]-->MsiExec.exe /I{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}

советую деинсталировать.

Unity Web Player [2018/06/20 11:40:25]-->C:\Users\Иван\AppData\Local\Unity\WebPlayer\Uninstall.exe /CurrentUser

если сами не ставили, то тоже.

 

4)

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt.
  • Прикрепите отчет к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Спасибо.

 

Файл после AVG получился 128 МВ, но не хочет уже третий раз закачиваться.

Кстати, после того как файл с 3ей попытки закачался, avz завис.

 

MsiExec.exe - в списке программ нет. Нашла его в папке C:\Windows\System32 попробовала удалить.

Сначала написал нужны права администратора, потом:

"Вам необходимо разрешение на выполнение этой операции.

Запросите разрешение от "TrustedInstaller" на изменение этого файла."

 

C:\Users\Иван\AppData\Local\Unity\WebPlayer\Uninstall.exe

У меня как-то странно и русская и английская версия сосуществуют.

Сейчас все папки русские

Windows8_OS(C:)\Пользователи\Иван\

Что имеется ввиду под Local не нашла.

 

Саму программу UnityWebPlayer нашла в загрузках и удалила.

AdwCleanerS00.txt

Изменено пользователем Ульянка
Ссылка на комментарий
Поделиться на другие сайты

 

 


Файл после AVG получился 128 МВ, но не хочет уже третий раз закачиваться. Кстати, после того как файл с 3ей попытки закачался, avz завис.
Вы про пункт №2 ? AVZ для сбора того архива достачно было один раз запустить. Если не получается закачать, то загрузите на файлообменник и ссылку укажите здесь.

 

 

 


Саму программу UnityWebPlayer нашла в загрузках и удалила.
надо было смотреть в Панель управления - Удаление программ.

 

 

Файл после AVG
не понятно вы снова поставили AVG или он сейчас удалён?
Ссылка на комментарий
Поделиться на другие сайты

Спасибо.

 

AVG один раз запускала. С третьей попытки это я про загрузку отчета и после этого avz завис. Хотя как это связано не понимаю.

 

 

Про удаление программ.

 

Обычно когда находила программу и хотела удалить меня автоматически выбрасывало в удаление программ. А тут не случилось.

 

AVG не удаляла.

 

Только что зашла наконец и через удаление программ удалила UnityWebPlayer.

Google Update Helper в списке нет, сам файл MsiExec.exe как уже писала удалить не дает.

Ссылка на комментарий
Поделиться на другие сайты

AVG не удаляла.

на момент создания темы его уже не было.

 

 

Google Update Helper в списке нет, сам файл MsiExec.exe как уже писала удалить не дает.

MsiExec.exe и нельзя удалять.

Нажмите windows + R в отрывшееся окно скопируйте и вставьте следующее

MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
после этого Enter, должна запуститься деинсталяция.

 

+

  • Запустите повторно AdwCleaner через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать"), а по окончании сканирования нажмите кнопку "Clean & Repair" ("Очистить и восстановить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты

Сорри, у меня avz и avg смешались. Есть AVZ и нет и не было  AVG.

 

Команду запустила, но показалось в окошке было про инсталляцию.

 

Спасибо.

AdwCleanerC01.txt

AdwCleanerS01.txt

Изменено пользователем Ульянка
Ссылка на комментарий
Поделиться на другие сайты

  • Пожалуйста, запустите adwcleaner.exe
  • В меню Настройки - Удалить AdwCleaner - выберите Удалить.
  • Подтвердите удаление, нажав кнопку: Да.

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

 

Выполните рекомендации после лечения.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • DonorRaboti
      Автор DonorRaboti
      Добрый день, по своей глупости скачал файл exe и запустил его после чего на компьютере появились рекламные ярлыки на рабочем столе и как будто часть сайтов с антивирусным по затормозились. Сканировал Dr.Web CureIt и KVRT, но ничего не было найдено того, что ранее не видел. Возможно, видел новый созданный профиль в Windows, подписанный как неизвестный или что-то такое и удалил его. Проверки Антивирусами ничего не выявляли, кроме пары файлов в корзине. Сам компьютер, как мне показалось, иногда подвисал, словно был загружен, но в диспетчере задач, как и в resmon ничего не выявил. На VirusTotal при проверке файла указывало на вредоносное ПО, содержащее Trojan:Win32/Wacatac.B!ml. Также заметил, что не могу попасть на сайт safezone.cc, скачивал автологер через 2 зеркало
      CollectionLog-2025.06.19-02.13.zip
    • Isik
      Автор Isik
      Малварбайт обнаружил процесс исходящего траффика в пути- C:\Users\user\AppData\Local\Temp\2xzjMMUGjeobOYtjoc0gOuMKKHC, потом это появлялось снова и снова. В диспетчере задач обнаружил три процесса Setup, которые ведут к папке 2xzjMMUGjeobOYtjoc0gOuMKKHC в Temp. Что это такое не пойму, никогда ничего подобного не видел. Заранее благодарю.
    • Vovkaproshka
      Автор Vovkaproshka
      После установки лоадера впнов появился процесс setup нагружает только оперативку.
      Doctor  web antivirus удаляет три трояна, после сетап пропадает из процессов, после перезагрузки процесс снова появляется, думаю прикрепился к какому-то приложению, через безопасный режим также после удаления и перезагрузки загружается,  находится по пути AppData\Local\Temp\2xzjMMUGjeobOYtjoc0gOuMKKHC
    • varzi_73
      Автор varzi_73
      Добрый день! подцепил троян. Как восстановить данные?
      RDesk_Backup.rar
    • Milink
      Автор Milink
      скачал игру с торрента, после чего в браузере Chrome после каждого перезапуска пк начало устанавливаться левое расширение якобы Adblock. Так же в temp появляется папка 2xzjMMUGjeobOYtjoc0gOuMKKHC. Пробовал чистить антивирусами - не помогло.
      Нашел решение, avz скачал, Autologger я так понимаю тоже надо качать: 
      Актуально ли оно?
       
×
×
  • Создать...