Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Трояны

alexanderexpert

Автор alexanderexpert
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

alexanderexpert

alexanderexpert

Опубликовано
Опубликовано

Доброго времени суток. Проверил компьютер утилитой при помощи KVRT Removal Tool. Нейтрализовал 12 объектов.

Собранные логи прикрепляю.

 

CollectionLog-2019.01.25-10.55.zip

Ссылка на комментарий
Поделиться на другие сайты
akoK

akoK

Опубликовано
Опубликовано

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

  • Запустите AVZ.
  • Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  • В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  • Закачайте полученный архив, как описано на этой странице.
  • Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:

>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Помощник по обновлению до Windows 10.lnk"           -> ["C:\Windows10Upgrade\Windows10UpgraderApp.exe"  =>> /ClientID "Win10Upgrade:VNL:EosWu:{}"]
>>>  "C:\Users\Хозяин\Desktop\Помощник по обновлению до Windows 10.lnk"          -> ["C:\Windows10Upgrade\Windows10UpgraderApp.exe"  =>> /ClientID "Win10Upgrade:VNL:EosWu:{}"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Администратор системы АТТЕСТАЦИЯ (v. 1.1)\Uninstall Администратор системы АТТЕСТАЦИЯ.lnk"   -> ["C:\test_admin\unins000.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Администратор системы АТТЕСТАЦИЯ (v. 1.1)\Администратор системы АТТЕСТАЦИЯ.lnk"   -> ["C:\test_admin\admin.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Справки БК\Справки БК.lnk"      -> ["D:\СправкиБК\БК.exe"]
>>>  "C:\Users\Public\Desktop\Справки БК.lnk"      -> ["D:\СправкиБК\БК.exe"]
>>>  "C:\Users\Public\Desktop\UmmyVideoDownloader.lnk"       -> ["C:\Users\Public\AppData\Local\UmmyVideoDownloader\UmmyVideoDownloader.exe"]
Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Хозяин\AppData\Local\wutphost\wutphost.exe','');
 QuarantineFile('C:\Users\Хозяин\AppData\Local\wupdate\wupdate.exe','');
 QuarantineFile('C:\WINDOWS\System32\AutoWorkplace.exe','');
 DeleteFile('C:\Users\Хозяин\AppData\Local\wupdate\wupdate.exe','64');
 DeleteFile('C:\Users\Хозяин\AppData\Local\wutphost\wutphost.exe','64');
 DeleteSchedulerTask('wutphost');
 DeleteSchedulerTask('wupdate');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
akoK

akoK

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
VirusTotal: C:\Program Files\WinDjView-0.3.3.exe;C:\Program Files (x86)\CR2.exe
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
2015-11-03 23:43 - 2015-11-04 09:40 - 000000098 _____ () C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
2015-11-03 23:43 - 2015-11-04 09:40 - 000000098 _____ () C:\Users\Все пользователи\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
Task: {065F055A-26C3-4E50-A048-EFB15D316D09} - System32\Tasks\{AD54DE06-20D1-41CD-9C33-461690AFE116} => C:\Windows\system32\pcalua.exe -a E:\Setup.exe -d E:\
FirewallRules: [{3DB04619-A7A1-43B0-9001-D4CC61F80B0F}] => (Allow) C:\Users\Хозяин\AppData\Roaming\uTorrent\uTorrent.exe No File
FirewallRules: [{E64A8F8F-08DB-443D-9C40-6C7D15C7ADC6}] => (Allow) C:\Users\Хозяин\AppData\Roaming\uTorrent\uTorrent.exe No File
C:\Windows\Microsoft\svchost.exe
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
alexanderexpert

alexanderexpert

Опубликовано
  • Автор
Опубликовано

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами ссылки были проверены с помощью облачной технологии Kaspersky Security Network.

В антивирусных базах информация по присланным вами ссылкам отсутствует:
https://cloud.mail.ru/stock/pS1m5vWMcuJaw2JJ2GVkJ5Gn

Cсылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте. 

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700 
http://www.kaspersky.com https://www.securelist.com"

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • varzi_73
      Троян trojan.multi.aum
      Автор varzi_73
      Добрый день! подцепил троян. Как восстановить данные?
      RDesk_Backup.rar
    • MirTa
      Троян ISTANBULTEAM зашифровал файлы
      Автор MirTa
      Здравствуйте, вчера в два этапа  10.00 и  20.00 оказались зашифрованы почти все файлы, в том числе и архиватор, поэтому не могу сложить в архив и не могу их прикрепить, подскажите, пожалуйста, как их сюда добавить
      Important_Notice.txt Addition.txt FRST.txt
    • user344
      Поймал майнер или троян
      Автор user344
      Здравствуйте! Недавно компьютер в простое начинает переодически нагружаться до 100%, вентиляторы начинают крутить на полную в течении 5-10 минут, только начинаешь водить мышкой по рабочему столу, то сразу же нагрузка падает до дефолтных значений. Проверял лечащай утилитой др.веб и kvrt они вирусов не нашли.
      CollectionLog-2025.06.25-21.11.zip
    • DonorRaboti
      [РЕШЕНО] Подозрение на троян Trojan:Win32/Wacatac.B!ml
      Автор DonorRaboti
      Добрый день, по своей глупости скачал файл exe и запустил его после чего на компьютере появились рекламные ярлыки на рабочем столе и как будто часть сайтов с антивирусным по затормозились. Сканировал Dr.Web CureIt и KVRT, но ничего не было найдено того, что ранее не видел. Возможно, видел новый созданный профиль в Windows, подписанный как неизвестный или что-то такое и удалил его. Проверки Антивирусами ничего не выявляли, кроме пары файлов в корзине. Сам компьютер, как мне показалось, иногда подвисал, словно был загружен, но в диспетчере задач, как и в resmon ничего не выявил. На VirusTotal при проверке файла указывало на вредоносное ПО, содержащее Trojan:Win32/Wacatac.B!ml. Также заметил, что не могу попасть на сайт safezone.cc, скачивал автологер через 2 зеркало
      CollectionLog-2025.06.19-02.13.zip
    • Wgis
      Троян HEUR/AGEN.1374183
      Автор Wgis
      Добрый день, поймали такой вирус: https://www.virustotal.com/gui/file/55d05771086c5acc0c6275be9e1366819b5bb941a1bfb85ea4a1721ce6486a85/
       
      Помогите пожалуйста с лечением, вот отчёты FRST:
       
      frst.zip
×
×
  • Создать...