Перейти к содержанию

Файл С:\WINDOWS\FILE.BAT; Trojan-Proxy.Win32.Small.mu


Олег (Булка)

Рекомендуемые сообщения

Со вчерашнего Kaspersky liitentet Security 7.0 говорит, что С:\WINDOWS\FILE.BAT содержит троянскую программу Trojan-Proxy.Win32.Small.mu, Касперcкий этот file.bat удаляет, но через секунду он снова появляется на своём месте! На это Касперский просит процедуру лечения с перезагрузкой - при положительном моём ответе Касперский перезагружает комп, а при загрузке ОС он снова на месте... и так по кругу!

Помогите ребят мне стереть то, что восстанавливает file.bat!

Комп домашний.

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты

Выполните следующий скрипт В AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('C:\WINDOWS\services.exe');
DeleteService('i386si');
QuarantineFile('C:\WINDOWS\System32\atkosdmini.dll','');
QuarantineFile('C:\WINDOWS\EIO.DLL','');
QuarantineFile('C:\WINDOWS\aticlocklib.dll','');
QuarantineFile('c:\windows\services.exe','');
DeleteFile('c:\windows\services.exe');
DeleteFile('C:\WINDOWS\system32\drivers\i386si.sys');
DeleteFile('C:\WINDOWS\system32\ctlsys.dll');
DeleteFile('C:\WINDOWS\system32\rssync.dll');
BC_ImportALL;
BC_DeleteSvc('i386si');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

ПК перезагрузится.

 

Теперь выполним следующий скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Затем пофиксить в HJT:

O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
O20 - Winlogon Notify: ctlsys - ctlsys.dll (file missing)
O20 - Winlogon Notify: rssync - rssync.dll (file missing)
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\

Oтправьте карантин по электронной почте на адрес newvirus@kaspersky.com, предварительно установив пароль на архив virus (пароль укажите в письме). Как это сделать (пункт №1). О результате сообщите. Логи повторите.

Изменено пользователем Falcon
Ссылка на комментарий
Поделиться на другие сайты

Ура! :)

Система работает хорошо! Признаков, на выше указанные проблемы, нет!

Благодарю!

Повторные логи - прилогаю.

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты

Цель достигнута, c:\windows\services.exe - замаскированный вирус,удален, признаков активного заражения нет.

Изменено пользователем Falcon
Ссылка на комментарий
Поделиться на другие сайты

Цель достигнута, c:\windows\services.exe - замаскированный вирус,удален, признаков активного заражения нет.

Благодарю! Хорошо, что есть такие порядочные люди как Вы! :(

Ссылка на комментарий
Поделиться на другие сайты

  • 1 месяц спустя...

Извиняюсь, что поднимаю старую тему. Сегодня зашел на сайт и ко мне попала эта гадость - тот самый file.bat и services.exe. Первый (Trojan-Proxy.Win32.Small.mu) был успешно удален, а второй КИС взял проактивной защитой. Система осталась чистой, но уже несколько раз отправляли карантин АВЗ и т.п. с этими файлами в Лабораторию еще в 2008 году. Почему до сих пор не детектим сигнатурно? ;)

Отправил образец, надеюсь все будет ОК!

Изменено пользователем Venus Doom
Ссылка на комментарий
Поделиться на другие сайты

Ну так вирусописатели не дремлют, вносят изменения в свои файлы и сигрнатурно их уже не задетектить, пока кто-то не отправит новый образец зловреда.

Ссылка на комментарий
Поделиться на другие сайты

Ну, пока пусть обломятся:

ответили, что это Email-worm.Win32.Joleee.kd

А проактивка хорошо сработала, если б не она, то рассылал бы сейчас спам :lol:

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Kdademon
      Автор Kdademon
      02.072025 обнаружили что на 2 компа (Windows 7) попал вирус шифровальщик 
      подключились предположительно по RDP
      зашифровали все базы 1с, бэкапы, архивы, документы
      файл с обращением от вымогателей нашли
      Kaspersky Virus Removal Tool нашел вируc HEUR:Trojan-Ransom.Win32.Mimic.gen

      Подскажите порядок действий по лечению этих компов и возможна ли дешифровка?
      Как можно обезопасится от подобного?
      Поможет ли установка Kaspersky на все компьютеры сети?

      Во вложении архив с примерами зашифрованных файлов из папки php
      Файлы постарался выбрать стандартные, общеизвестные может поможет в дешифровке
      Также приложил скрин с проверкой от Kaspersky Virus Removal Tool

      php.rar
    • gulyeza
      Автор gulyeza
      Здравствуйте, вчера умудрился попостятся на троян. Если рассказывать кратко, качал зип архив с UploadHeaven, но начались перебросы по ссылкам и по итогу скачался exe файл. Сразу закинуть его в проверку ума не хватило, да и повода сомневается не было, очень много в свое время оттуда качал, вот и подумал, может у них обновление какое то, что распаковщик теперь такой. Но стоило только открыть, сразу антивирус начал всю систему грузить, начал пытаться закрывать, но только через диспетчер смог. Так же в диспетчере появились 3 новые процесса, 1 из которых не запомнил, а остальные 2 были: reason cybersecurite и reason cybersecurite vpn. Начал через параметры их удалять, так то даже получилось. Затем зашел в виндоус дефендер, он как то странно тупил, подгружался постоянно, через пару секунд вообще выключился. Ну я и нажал снова включить, как я понял, это и была главная ошибка, потому что высветилось окно подтверждения с изменением файлов (стандартное когда запускаешь антивирусник) я и нажал на "Да". На первый взгляд вообще ничего не поменялось, подумал что пора винду сносить. Все переустановил, правда не с внешнего накопителя, а локально, с этого же ноута. И есть подозрения, что особо красок не поменяло, потому что при заходе в дефендер пишет, мол "Ваш системный администратор ограничил доступ", пытался это выключить по гайдам на сайте майкрасофта, ничего не сработало. Подумал надо и биос сбросить, зашел потыкался, не особо понял поменялось ли вообще что то.
      Прикладываю скан того exe с вирус тотала:
      Так же файл с логами:CollectionLog-2025.06.22-19.56.zip
      Еще, после сбора логов, эта надпись "Ваш системный администратор ограничил доступ" в дефендере пропала, не знаю хорошо это или плохо.
      Заранее Спасибо за ответ, надеюсь проблема решаема.
      upd: после сброса винды, запускал скан доктор веба, ничего не нашел
    • Kirik_
      Автор Kirik_
      Первые скриншоты Windows 11 — изменения коснулись «Пуска», панели задач, интерфейса и многого другого
      В Сети оказались опубликованы скриншоты, сделанные в грядущей операционной системе Windows 11 от компании Microsoft. На опубликованных изображениях демонстрируется новый пользовательский интерфейс, свежее меню «Пуск» и многое другое. Поскольку это очень ранняя сборка, некоторые элементы новой ОС остались такими же, как у текущей версии Windows 10.
       
      Новый пользовательский интерфейс и меню «Пуск» в Windows 11 очень похожи на те, что изначально были в Windows 10X. Microsoft пыталась упростить интерфейс Windows для использования на устройствах с двумя экранами, но в конечном счёте отказалась от дальнейшей разработки Windows 10X. Позже компания пообещала использовать те наработки в основной версии ОС, и как видно, сдержала обещание — многие элементы легли в основу новой Windows 11.
       
      Наиболее заметное визуальное отличие новой ОС связано с панелью задач. Microsoft решила сместить иконки приложений с левого нижнего края экрана в центр. Здесь же находится и новая кнопка меню «Пуск». Последняя представляет собой упрощённую версию того меню, что сегодня присутствует в Windows 10.
       
      В новой версии операционной системы используются закруглённые углы окон. Контекстуальные меню, иконки, а также окно проводника — теперь всё имеет закруглённые углы, включая иконки и окна меню «Пуск».
       
      На панели задач Windows 11 можно увидеть новую иконку Widgets (виджеты). Слухи о том, что компания вернёт их в новую ОС, ходят уже давно. Правда, сами виджеты из-за «сырости» версии сборки пока недогружаются. С помощью виджетов можно будет быстро узнать погоду, свежие новости и другую полезную информацию из Сети.
       
      В ранней сборке Windows 11 компания пока не вносила изменения в интерфейс магазина приложений Windows Store. Прежде сообщалось, что Microsoft собирается серьёзно переработать магазин приложений и сделать его более дружелюбным не только для пользователей, но и для разработчиков приложений. Для них упростят размещение контента на платформе, а также позволят использовать в приложениях сторонние платёжные сервисы.
       
      Визуально изменится и процесс установки Windows 11. Однако пользователя как и раньше будут сопровождать по каждому шагу установки и настройки новой ОС. При каждой загрузке Windows 11 пользователя будет встречать новый звук запуска системы.
       
      Microsoft подробно расскажет о «следующем поколении Windows» на специальном мероприятии, которое состоится в конце этого месяца. Софтверный гигант начал рассылку приглашений на мероприятие, которое будет полностью посвящено программной платформе Windows и начнётся в 18:00 (мск) 24 июня.
       
      Источник
    • Implex
      Автор Implex
      Добрый день, взлом произошел по RDP по порту 3389, получили доступ к учетку Администратор
      Запуск произошел C:\Users\Администратор\Desktop\Recoverifiles@gmail.com.exe

      Dr.Web обнаружил Trojan.Siggen20.38036 (приложил в файле exe virus)
      key id pkey rsakey.7z зашифрованные docx.7z FRST.7z
      Строгое предупреждение от модератора thyrex Вредоносное вложение удалено
    • Jefri28
      Автор Jefri28
      Подловил вирус обнаружил то что в играх фпс очень сильно падает включаю диспетчер задач и он поднимается. У меня есть программа в которой нашёл этот процесс он на скрине в закрытом состоянии, но если отключу диспетчер задач то и оперативка и цп начнут много потреблять как его удалить подскажите пожайлуста Windows 11.
×
×
  • Создать...