Перейти к содержанию
Правила раздела

[Лог!] Троян

sima

Автор sima
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

sima Новичок

sima

Опубликовано
Опубликовано

Здравствуйте! Необходимо вылечить комп от трояна:Win32/TrojanProxy.Small.Mu Касперский его блокирует,но не удаляет...При лечении комп перезагружается,проблема остаётся.

Спасибо.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты
Falcon Ветеран

Falcon

Опубликовано
Опубликовано (изменено)

Для начала выполните следующий скрипт В AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('C:\WINDOWS\services.exe ');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\epfwtdir.sys',' ');
QuarantineFile('C:\Documents and Settings\SIMA\Local Settings\Application Data\Google\Update\GoogleUpdate.exe',' ');
QuarantineFile('C:\Program Files\VolumeControl2\LouderIt.exe',' ');
DeleteService('ksi32sk');
DeleteService('gdrv');
DeleteFile('c:\windows\services.exe');
DeleteFile('C:\WINDOWS\gdrv.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ksi32sk.sys');
DeleteFile('C:\WINDOWS\system32\winhelp.exe');
BC_ImportAll;
BC_DeleteSvc('ksi32sk');
BC_DeleteSvc('gdrv ');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

ПК перезагрузится.

 

Затем пофиксить в HJT:

O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\winhelp.exe
O20 - Winlogon Notify: rssync - C:\WINDOWS\

 

Oтправьте карантин по электронной почте на адрес newvirus@kaspersky.com, предварительно установив пароль на архив virus (пароль укажите в письме). Как это сделать (пункт №1). О результате сообщите. Логи повторите.

Изменено пользователем Falcon
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
  • 2 месяца спустя...
alexand Новичок

alexand

Опубликовано
Опубликовано (изменено)

ну а AVZ я повторил а вот в HJT опять же того что в коде написано нет.т.е. он тырит пароли и т.д.?и еще он отрубает брендмауер...

Изменено пользователем alexand
Ссылка на комментарий
Поделиться на другие сайты
INC® Профи

INC®

Опубликовано
Опубликовано
честно не пойму тогда что значит новые логи сделать и интересно почему в HJT того что в коде написано нет

Выполните правила: http://forum.kasperskyclub.ru/index.php?showtopic=1698

Ссылка на комментарий
Поделиться на другие сайты
Venus Doom Постоялец

Venus Doom

Опубликовано
Опубликовано

У меня было такое, services.exe Email-worm.win32.Joleee. Распространяется через взломанные веб-сайты.

Small.mu - C:\WINDOWS\file.bat ? Все легко и прекрасно удаляется, нужно остановить процесс services.exe, это он создает снова и снова file.bat

Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано
отправьте карантин по электронной почте на адрес newvirus@kaspersky.com

Вы отправляли? Получили ответ?

после AVZ в HJT того что в коде прописано нет

странно, строка O20 - Winlogon Notify: rssync - C:\WINDOWS\ - должна была остаться.

Ну и естественно новый комплект логов ждём.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • varzi_73
      Троян trojan.multi.aum
      Автор varzi_73
      Добрый день! подцепил троян. Как восстановить данные?
      RDesk_Backup.rar
    • user344
      Поймал майнер или троян
      Автор user344
      Здравствуйте! Недавно компьютер в простое начинает переодически нагружаться до 100%, вентиляторы начинают крутить на полную в течении 5-10 минут, только начинаешь водить мышкой по рабочему столу, то сразу же нагрузка падает до дефолтных значений. Проверял лечащай утилитой др.веб и kvrt они вирусов не нашли.
      CollectionLog-2025.06.25-21.11.zip
    • DonorRaboti
      [РЕШЕНО] Подозрение на троян Trojan:Win32/Wacatac.B!ml
      Автор DonorRaboti
      Добрый день, по своей глупости скачал файл exe и запустил его после чего на компьютере появились рекламные ярлыки на рабочем столе и как будто часть сайтов с антивирусным по затормозились. Сканировал Dr.Web CureIt и KVRT, но ничего не было найдено того, что ранее не видел. Возможно, видел новый созданный профиль в Windows, подписанный как неизвестный или что-то такое и удалил его. Проверки Антивирусами ничего не выявляли, кроме пары файлов в корзине. Сам компьютер, как мне показалось, иногда подвисал, словно был загружен, но в диспетчере задач, как и в resmon ничего не выявил. На VirusTotal при проверке файла указывало на вредоносное ПО, содержащее Trojan:Win32/Wacatac.B!ml. Также заметил, что не могу попасть на сайт safezone.cc, скачивал автологер через 2 зеркало
      CollectionLog-2025.06.19-02.13.zip
    • sajithebloody
      [РЕШЕНО] Трояны в cohost.exe и explorer.exe
      Автор sajithebloody
      Доброго времени, касперский не может справиться с троянами в этих файлах, лечение с перезагрузкой не помогает. Не нашел детект трояна в отчетах Касперского (но это было в моменте), но нашел упоминание попадания этих файлов в исключение сразу же после установки антивиря - подозрительно. Заранее прикрепляю максимум логов, из аутологгера и uvs. 
      лог к.txt CollectionLog-2025.05.09-02.44.zip DESKTOP-LB93OSN_2025-05-09_03-17-36_v4.99.14v x64.7z
    • Wgis
      Троян HEUR/AGEN.1374183
      Автор Wgis
      Добрый день, поймали такой вирус: https://www.virustotal.com/gui/file/55d05771086c5acc0c6275be9e1366819b5bb941a1bfb85ea4a1721ce6486a85/
       
      Помогите пожалуйста с лечением, вот отчёты FRST:
       
      frst.zip
×
×
  • Создать...