Перейти к содержанию

Trojan-Proxy.Win32.Small.vo


Рекомендуемые сообщения

При запуска компьютера КИС-2009 сообщает, что C:\WINDOWS\file.bat содержит Trojan-Proxy.Win32.Small.vo и рекомендует лечение, требующее перезагрузки. Согласие и лечение ничего не дают, несмотря на многократные повторы.

Прилагаю файлы результатов анализа с помощью AVZ и HijackThis

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis_log.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

Добро пожаловать на форум!

Наши специалисты по AVZ скриптам обязательно Вам помогут!

они в этом деле не одну "собаку" съели! :)

Ссылка на комментарий
Поделиться на другие сайты

Мы собаками не питаемся :huh:

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\services.exe','');
DeleteFile('C:\WINDOWS\System32\Drivers\avperwqu.SYS');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\Program Files\MyCentria\InfoBar\MyCentriaInfoBar.dll');
BC_Activate;
BC_ImportALL;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

Это Ваш провайдер? (вернее какой из них ваш :) )

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{36657514-310A-43EA-91CF-A4F50BA698DF}: NameServer = 195.34.31.50,62.112.106.130
O17 - HKLM\System\CCS\Services\Tcpip\..\{86DA7ED3-0760-4B35-AF2A-C8804C92A4B6}: NameServer = 10.104.40.199,10.100.18.199
O17 - HKLM\System\CCS\Services\Tcpip\..\{98873F98-CCEE-42B2-85D8-C21F64BAEB19}: NameServer = 212.188.4.10,195.34.32.116
O17 - HKLM\System\CS1\Services\Tcpip\..\{36657514-310A-43EA-91CF-A4F50BA698DF}: NameServer = 195.34.31.50,62.112.106.130
O17 - HKLM\System\CS2\Services\Tcpip\..\{36657514-310A-43EA-91CF-A4F50BA698DF}: NameServer = 195.34.31.50,62.112.106.130

 

Повторите логи

Изменено пользователем akoK
Ссылка на комментарий
Поделиться на другие сайты

Спасибо огромное, akoK!

После выполнения первого скрипта и перезагрузки сообщение о трояне наконец-то не возникло. Полученный по втрому скрипту архив отправил по указанному адресу newvirus@kaspersky.com

Но я не понял, что должен сделать с третьим кодом, который после вопроса о провайдере.

И что значит - Повторите логи

?

Извините, я не слишком продвинутый пользователь :)

 

 

 

 

Мы собаками не питаемся :)

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\services.exe','');
DeleteFile('C:\WINDOWS\System32\Drivers\avperwqu.SYS');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('C:\Program Files\MyCentria\InfoBar\MyCentriaInfoBar.dll');
BC_Activate;
BC_ImportALL;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

Это Ваш провайдер? (вернее какой из них ваш :cray: )

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{36657514-310A-43EA-91CF-A4F50BA698DF}: NameServer = 195.34.31.50,62.112.106.130
O17 - HKLM\System\CCS\Services\Tcpip\..\{86DA7ED3-0760-4B35-AF2A-C8804C92A4B6}: NameServer = 10.104.40.199,10.100.18.199
O17 - HKLM\System\CCS\Services\Tcpip\..\{98873F98-CCEE-42B2-85D8-C21F64BAEB19}: NameServer = 212.188.4.10,195.34.32.116
O17 - HKLM\System\CS1\Services\Tcpip\..\{36657514-310A-43EA-91CF-A4F50BA698DF}: NameServer = 195.34.31.50,62.112.106.130
O17 - HKLM\System\CS2\Services\Tcpip\..\{36657514-310A-43EA-91CF-A4F50BA698DF}: NameServer = 195.34.31.50,62.112.106.130

 

Повторите логи

 

 

Забыл добавить, что у меня 2 провайдера, akoK, - Корвет-телеком и МГТС по телефонной линии как дублирующая система при отказах на линии Корвета.

Gato

 

 

Спасибо огромное, akoK!

После выполнения первого скрипта и перезагрузки сообщение о трояне наконец-то не возникло. Полученный по втрому скрипту архив отправил по указанному адресу newvirus@kaspersky.com

Но я не понял, что должен сделать с третьим кодом, который после вопроса о провайдере.

И что значит - Повторите логи ?

Извините, я не слишком продвинутый пользователь :)

Ссылка на комментарий
Поделиться на другие сайты

Это значит выполнить правила заново и выложить результат сюда для контроля.

 

 

Спасибо, Falcon!

Собственно, я так и думал, но решил удостовериться. Правила повторил, результаты прилагаю.

Можно ли теперь включить опцию Восстановление системных файлов? Провести перед этим дефрагментацию диска С или не надо?

И что там за подозрение на вирус в одном из dll в Nero Vizion? Надо ли мне с этим что-то делать? Сказано, что этот файл успешно помещен в карантин.

Gato

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.zip

Ссылка на комментарий
Поделиться на другие сайты

Чисто. Какие проблемы еще наблюдаются?

 

Спасибо еще раз. По части вирусов в данный момент КИС-2009 проблем не усматривает.

Опцию Восстановление системных файлов на диске С уже включил.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Ivy_Sekoru
      От Ivy_Sekoru
      После включения ноутбука начала появляться сообщения от касперски по поводу обнаружения HEUR:Trojan.Multi.GenBadur.genw
      Выполняла лечение с перезагрузкой но после этого снова появляется тоже самое сообщение
    • Seraph Luteus
      От Seraph Luteus
      Доброго времени суток. Решил провести проверку системы на майнеры и прочие вирусы. Как итог, я выявил сначала такой файл trojan siggen 20 2783, после чего удалил (на что надеюсь) его через антивирусник. После сделал ещё проверки и обнаружил уже net malware.url, а его удалить не получается.  Прошу совета и помощи в решении проблемы у знатоков.
       
      По уже похожей проблеме у другого пользователя собрал нужные логи и прикреплю их. 
      PIKA_2024-11-18_15-41-59_v4.99.4v x64.7z
      FRST.txt Addition.txt AV_block_remove_2024.11.18-15.35.log
    • Aman2008
      От Aman2008
      решил в игрульки поиграть, скачал и касперский находит троян, я перезапускаю и касперский снова его находит, и снова и снова, что делать
    • Ra11lex
      От Ra11lex
      Касперский плюс нашел вирус HEUR: Trojan. Multi.GenBadur.genw Расположение: Системная память, после лечения с перезагрузкой опять его нашел, а потом лечение с перезагрузкой и опять он тут. AVT его тоже находит, лечит, но после перезагрузки он опять тут. Пробовал в безопасном режиме, AVT его уже не находит. Windows 11, с последними обновлениями. Протокол прилагается. Также логи FRST. И результаты отчета uvs. 
      Это уже мой второй ноутбук. Видимо я переносил данные и вирус перенес. Прошлая ветка и решение: 
       
      ОтчетКасперский.txt Addition.txt FRST.txt ITAN_RA_2024-10-24_23-37-40_v4.99.2v x64.7z
    • parnishka
      От parnishka
      Вот такая проблема, при сканировании касперский обнаружил какие-то Luiminati в Media get 2 и в папке яндекса троян UDS Shelm, логи скоро сделаю
       
      А и да, компьютер виснет намертво после удаления, приложения открывает через 20 минут а при выключении через кнопку (Пуск не работает, меню не открывается) он пишет что выключается а не выключается 
×
×
  • Создать...