Перейти к содержанию

Trojan-Proxy.Win32.Small


Рекомендуемые сообщения

Здравствуйте, у меня та же проблема.

 

Вот вроде бы как те самые три лога, которые я должна сюда прикрепить. Надеюсь на вашу помощь, а то, что-то ну никак не удалить мне эту бяку. Я бы попробовала сделать те скрипты, которые уже были в этой теме, но вдруг у меня что-то по другому =). Спасибо.

Сообщение от модератора Falcon
Выделил сообщения в новую тему, чтобы не было путаницы.

virusinfo_syscure.zip

hijackthis.log

virusinfo_syscheck.zip

Изменено пользователем Falcon
Ссылка на комментарий
Поделиться на другие сайты

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\winlogon.exe','');
DeleteFile('C:\WINDOWS\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес 54712<at>rambler.ru где <at> - это @. В письме укажите ссылку на тему.

 

 

2.Пофиксить в HijackThis следующие строчки

O20 - Winlogon Notify: c002DE2E - c002DE2E.mat (file missing)
O20 - Winlogon Notify: netprp - C:\WINDOWS\
O20 - Winlogon Notify: reset5 - C:\WINDOWS\
O20 - Winlogon Notify: sys32 - sys32.dll (file missing)

 

Сделайте новый комплект логов.

Ссылка на комментарий
Поделиться на другие сайты

C:\WINDOWS\system32\srvany.exe - посмотрите есть такой файл или нет. Если есть - то отправьте в архиве под паролем virus на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам, только о том что в попавших файлах, никакой информации (Ф.И.О и т.д.) о том кто из аналитиков проверял не нужно.

Больше ничего подозрительного не будет.

Ссылка на комментарий
Поделиться на другие сайты

C:\WINDOWS\system32\srvany.exe - посмотрите есть такой файл или нет.
Нет. Ни в ручную и поиском этого файла не найти.

 

Проверила, вроде бы больше не появляется =). Спасибо большое за помощь!

Ссылка на комментарий
Поделиться на другие сайты

каспер очень комп грузит. Пришлось удалить к сожалению. До этого был Нод, но тоже подвисал маленько, решила поставить каспер тогда. Поставила и он нашел вот этот вирус. Сейчас обратно Нод буду ставить. Он граздо легче..

 

Хотя давно еще у меня каспер стоял и такого я не помню, чтобы так грузил..

Ссылка на комментарий
Поделиться на другие сайты

kis 7.0.1.321 такая версия. У меня она еще не устанавливалась толком, оказалось, что нехватает каких-то библиотек. Пока я догнала что делать, раза три удаляла-ставила заново =).

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • gulyeza
      Автор gulyeza
      Здравствуйте, вчера умудрился попостятся на троян. Если рассказывать кратко, качал зип архив с UploadHeaven, но начались перебросы по ссылкам и по итогу скачался exe файл. Сразу закинуть его в проверку ума не хватило, да и повода сомневается не было, очень много в свое время оттуда качал, вот и подумал, может у них обновление какое то, что распаковщик теперь такой. Но стоило только открыть, сразу антивирус начал всю систему грузить, начал пытаться закрывать, но только через диспетчер смог. Так же в диспетчере появились 3 новые процесса, 1 из которых не запомнил, а остальные 2 были: reason cybersecurite и reason cybersecurite vpn. Начал через параметры их удалять, так то даже получилось. Затем зашел в виндоус дефендер, он как то странно тупил, подгружался постоянно, через пару секунд вообще выключился. Ну я и нажал снова включить, как я понял, это и была главная ошибка, потому что высветилось окно подтверждения с изменением файлов (стандартное когда запускаешь антивирусник) я и нажал на "Да". На первый взгляд вообще ничего не поменялось, подумал что пора винду сносить. Все переустановил, правда не с внешнего накопителя, а локально, с этого же ноута. И есть подозрения, что особо красок не поменяло, потому что при заходе в дефендер пишет, мол "Ваш системный администратор ограничил доступ", пытался это выключить по гайдам на сайте майкрасофта, ничего не сработало. Подумал надо и биос сбросить, зашел потыкался, не особо понял поменялось ли вообще что то.
      Прикладываю скан того exe с вирус тотала:
      Так же файл с логами:CollectionLog-2025.06.22-19.56.zip
      Еще, после сбора логов, эта надпись "Ваш системный администратор ограничил доступ" в дефендере пропала, не знаю хорошо это или плохо.
      Заранее Спасибо за ответ, надеюсь проблема решаема.
      upd: после сброса винды, запускал скан доктор веба, ничего не нашел
    • Kdademon
      Автор Kdademon
      02.072025 обнаружили что на 2 компа (Windows 7) попал вирус шифровальщик 
      подключились предположительно по RDP
      зашифровали все базы 1с, бэкапы, архивы, документы
      файл с обращением от вымогателей нашли
      Kaspersky Virus Removal Tool нашел вируc HEUR:Trojan-Ransom.Win32.Mimic.gen

      Подскажите порядок действий по лечению этих компов и возможна ли дешифровка?
      Как можно обезопасится от подобного?
      Поможет ли установка Kaspersky на все компьютеры сети?

      Во вложении архив с примерами зашифрованных файлов из папки php
      Файлы постарался выбрать стандартные, общеизвестные может поможет в дешифровке
      Также приложил скрин с проверкой от Kaspersky Virus Removal Tool

      php.rar
    • The_LastNight
      Автор The_LastNight
      Добрый день! После посещения несколько сайтов словил вирус MEM: TROJAN. MULTI.AGENT.GEN. Касперский его видит, но удалить не может, появляется снова. Некоторые способы с форума уже пробовал, не помогли.
    • Implex
      Автор Implex
      Добрый день, взлом произошел по RDP по порту 3389, получили доступ к учетку Администратор
      Запуск произошел C:\Users\Администратор\Desktop\Recoverifiles@gmail.com.exe

      Dr.Web обнаружил Trojan.Siggen20.38036 (приложил в файле exe virus)
      key id pkey rsakey.7z зашифрованные docx.7z FRST.7z
      Строгое предупреждение от модератора thyrex Вредоносное вложение удалено
    • MultiFace
      Автор MultiFace
      Добрый день, касперски обнаружил 76 объектов вредоносных, но не может удалить 
      Помогите в решении пожалуйста 
      CollectionLog-2025.02.21-18.47.zip 111.txt avz_log.txt
×
×
  • Создать...