Перейти к содержанию
Правила раздела

Трояны

alexanderexpert

Автор alexanderexpert
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

alexanderexpert

alexanderexpert

Опубликовано
Опубликовано

Доброго времени суток. Проверил компьютер утилитой при помощи KVRT Removal Tool. Нейтрализовал 12 объектов.

Собранные логи прикрепляю.

 

CollectionLog-2019.01.25-10.55.zip

akoK

akoK

Опубликовано
Опубликовано

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

  • Запустите AVZ.
  • Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  • В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  • Закачайте полученный архив, как описано на этой странице.
  • Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:

>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Помощник по обновлению до Windows 10.lnk"           -> ["C:\Windows10Upgrade\Windows10UpgraderApp.exe"  =>> /ClientID "Win10Upgrade:VNL:EosWu:{}"]
>>>  "C:\Users\Хозяин\Desktop\Помощник по обновлению до Windows 10.lnk"          -> ["C:\Windows10Upgrade\Windows10UpgraderApp.exe"  =>> /ClientID "Win10Upgrade:VNL:EosWu:{}"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Администратор системы АТТЕСТАЦИЯ (v. 1.1)\Uninstall Администратор системы АТТЕСТАЦИЯ.lnk"   -> ["C:\test_admin\unins000.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Администратор системы АТТЕСТАЦИЯ (v. 1.1)\Администратор системы АТТЕСТАЦИЯ.lnk"   -> ["C:\test_admin\admin.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Справки БК\Справки БК.lnk"      -> ["D:\СправкиБК\БК.exe"]
>>>  "C:\Users\Public\Desktop\Справки БК.lnk"      -> ["D:\СправкиБК\БК.exe"]
>>>  "C:\Users\Public\Desktop\UmmyVideoDownloader.lnk"       -> ["C:\Users\Public\AppData\Local\UmmyVideoDownloader\UmmyVideoDownloader.exe"]
Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Хозяин\AppData\Local\wutphost\wutphost.exe','');
 QuarantineFile('C:\Users\Хозяин\AppData\Local\wupdate\wupdate.exe','');
 QuarantineFile('C:\WINDOWS\System32\AutoWorkplace.exe','');
 DeleteFile('C:\Users\Хозяин\AppData\Local\wupdate\wupdate.exe','64');
 DeleteFile('C:\Users\Хозяин\AppData\Local\wutphost\wutphost.exe','64');
 DeleteSchedulerTask('wutphost');
 DeleteSchedulerTask('wupdate');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

akoK

akoK

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
VirusTotal: C:\Program Files\WinDjView-0.3.3.exe;C:\Program Files (x86)\CR2.exe
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
2015-11-03 23:43 - 2015-11-04 09:40 - 000000098 _____ () C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
2015-11-03 23:43 - 2015-11-04 09:40 - 000000098 _____ () C:\Users\Все пользователи\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
Task: {065F055A-26C3-4E50-A048-EFB15D316D09} - System32\Tasks\{AD54DE06-20D1-41CD-9C33-461690AFE116} => C:\Windows\system32\pcalua.exe -a E:\Setup.exe -d E:\
FirewallRules: [{3DB04619-A7A1-43B0-9001-D4CC61F80B0F}] => (Allow) C:\Users\Хозяин\AppData\Roaming\uTorrent\uTorrent.exe No File
FirewallRules: [{E64A8F8F-08DB-443D-9C40-6C7D15C7ADC6}] => (Allow) C:\Users\Хозяин\AppData\Roaming\uTorrent\uTorrent.exe No File
C:\Windows\Microsoft\svchost.exe
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Ответ по почте - [KLAN-9508883685]

Сам ответ тоже процитируйте, пожалуйста.
alexanderexpert

alexanderexpert

Опубликовано
  • Автор
Опубликовано

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами ссылки были проверены с помощью облачной технологии Kaspersky Security Network.

В антивирусных базах информация по присланным вами ссылкам отсутствует:
https://cloud.mail.ru/stock/pS1m5vWMcuJaw2JJ2GVkJ5Gn

Cсылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте. 

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700 
http://www.kaspersky.com https://www.securelist.com"

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • admin123
      Проводник грузит процессор постоянно на 50 %
      Автор admin123
      1. Проверял через Dr.Web cureit - Ничего не найдено, пишет, что чисто
      2. Вчера захожу в диспетчер задач, а тут проводник грузит ЦП на  50 % постоянно, открываю Threads в Proccec Explorer, там какая то dll.
      Ещё заметил одну особенность, при отключение интернета эта нагрузка пропадает, подскажите что делать, винду не хочу переустанавливать.

      CollectionLog-2026.01.12-00.34.zip
    • ahahahxdd
      помощь в удалении Trojan[dropper]:Python/Wacatac.C9nj
      Автор ahahahxdd
      По дурости открыл данную вещь без виртуальной машины, через x64dbg:
      https://www.virustotal com/gui/file/e450b7efc8b429b618d2d22a074a3dd55c07b451eef315e0e20be7d9054ef18c
      https://cloud.mail ru/public/kbre/tjmmsWNDM

      CollectionLog-2026.01.06-20.25.zip
      Успел уже сделать откат в точку восстановления винды
      В сэндбоксе было подключение TCP 130.12.181.70:7000

       
    • Константин Д
      [РЕШЕНО] Помощь в удалении Tool.BtcMine.2714,2754
      Автор Константин Д
      Добрый день! Вчера заметил, что в играх стал сильно проседать ФПС. При попытке скачать Dr.Web браузер закрывается, защитник Windows выключен, диспетчер задач не дает посмотреть автозагрузку приложений. В безопасном режиме CureIt обнаружил угрозы: Tool.BtcMine.2714 (объекты amd.exe, appmodule.exe), Trojan.BtcMine.2754, taskhost.exe,taskhostw.exe, Trojan.Autoit.1559, Trojan.Starter.8242. Autologger запустился только в безопасном режиме с измененным именем. В реестре отключен Windows Defender, включить через задачи тоже не дает- нет доступа. 
      CollectionLog-2026.01.06-12.21.zip
    • Dmitry2811
      [РЕШЕНО] trojanstarter,keysender, Трояны, майнеры, нацеплял за много лет
      Автор Dmitry2811
      сегодня играл в игру и обратил внимание, что в целом комп стал совсем слабо тянуть по производительности, потыкался в диспетчере задач с ЦП, все стало норм, обратил внимание что снова появились просадки, когда открывал диспетчер то все было ок, дальше самое интересное)))
      я начал изучать подробности и процессы и диспетчер сам начал закрываться, я сразу же полез в браузер качать антивирусы и все такое прочее, как вдруг браузер резко начал сам выключаться)) с командной строкой и диспетчером задач то же самое, после перезагрузки еле как успел врубить безопасный режим, скачал cureit, нашло 28 пунктов, далее будут на фото, сори что в таком качестве, я не знаю правильно сделал или нет что удалил их, но на нервяке был сильном, через AV block remover прогнал, удалил пользователя John, потом на второй раз прошел cureit, нашло одного трояна, и второй раз шлифанул через AVBR, через скрытый файл hosts вернул доступ к сайтам, прошу прощения что так расписал, но на таком нервяке сейчас…помогите пожалуйста, добить этот треш
       
    • Graf_Bender
      Словил майнер
      Автор Graf_Bender
      Добрый день. Скачал какойCollectionLog-2025.12.03-09.49.zip-то файл на комп и заметил что он стал сильно греться, проверил утилитой Dr.Web и обнаружил что на компе вирусня. Помогите плиз

×
×
  • Создать...