Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Найти и обезвредить HEUR:Trojan.Script.lframer

Iraida

Автор Iraida
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Iraida Новичок

Iraida

Опубликовано
Опубликовано

В моём компьютере поселился троян HEUR:Trojan.Script.lframer. Я выполнила все шаги, указанные по данной ссылке: http://forum.kasperskyclub.ru/index.php?showtopic=1698. Теперь ваша очередь.

virusinfo_syscheck.htm

virusinfo_syscure.htm

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты
  • Ответов 33
  • Создана
  • Последний ответ

Топ авторов темы

  • Iraida

    17

  • ТроПа

    14

  • akoK

    2

  • itmurun

    1

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

ТроПа
ТроПа

Спасибо, папку получил Самая главная проблема это вот этот файл 'C:\WINDOWS\Temp\78.tmp' - Trojan-PSW.Win32.LdPinch.aebm Этот гад и крал все пароли.

akoK
akoK

Trojan-PSW.Win32.LdPinch.aebm - меняйте все пароли которые еще не сменили после лечения.

akoK Ветеран

akoK

Опубликовано
Опубликовано

Когда базы антивируса в последний раз обновлялись?

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('Secdrv', 4);
QuarantineFile('C:\WINDOWS\Temp\78.tmp','');
QuarantineFile('c:\windows\system32\oembios.exe','');
QuarantineFile('c:\windows\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\twex.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys','');
DeleteFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\twex.exe');
DeleteFile('C:\WINDOWS\system32\drivers\ntndis.exe');
DeleteFile('c:\windows\system32\ntos.exe');
DeleteFile('c:\windows\system32\oembios.exe');
DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
DeleteFile('C:\Program Files\MyPlayCityRU\tbMyPl.dll');
DeleteFile('C:\WINDOWS\Temp\78.tmp');
DelBHO('{dfbeb35b-444d-4f25-8d7d-eb2683c206ec}');
DelBHO('{BA52B914-B692-46c4-B683-905236F6F655}');
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
DeleteService('Secdrv');
BC_ImportALL;
ExecuteRepair(16);
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

Пофиксить в HijackThis следующие строчки

	F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\drivers\ntndis.exe
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\system32\ntos.exe,c:\window s\system32\oembios.exe,C:\WINDOWS\system32\twex.exe,

 

Повторите логи.

Ссылка на комментарий
Поделиться на другие сайты
Iraida Новичок

Iraida

Опубликовано
  • Автор
Опубликовано

посылаю вам результаты сканирования , выполненные исходя из рекомендация по ссылке;)//forum.kasperskyclub.ru/index.php?showtopic=1698

virusinfo_syscheck.htm

virusinfo_syscure.htm

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано

Iraida, а вы рекомендации предложенные akoK выполняли? И вы зачем одни и те-же логи снова выложили. Нужно сделать новые. точно так же как вы делали в первый раз.

Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано

Что конкретно не понятно?

Код

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

 

Это тоже надо выполнить в АВЗ

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Пофиксить в HijackThis следующие строчки

Это есть Как выполнить скрипт в AVZ и "пофиксить" в HijackThis?

Ссылка на комментарий
Поделиться на другие сайты
Iraida Новичок

Iraida

Опубликовано
  • Автор
Опубликовано
Да я выполнила первый шаг, а вот дальше не могу разобраться, подскажите.

"AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". - Это я выполнила.

Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано

Оба скрипта? письмо отправили? Дальше фиксите в HJT, если какой-то из строк не окажется, тогда не ищите её.

После этого сделайте логи как делали первый раз перед тем как вылаживать на форуме.

Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано

Нет - ничего страшного. Делайте логи АВЗ и HJT заново как написано в теме http://forum.kasperskyclub.ru/index.php?showtopic=1698 нам нужно посмотреть, что удалилось, а что проявилось.

Ссылка на комментарий
Поделиться на другие сайты
Iraida Новичок

Iraida

Опубликовано
  • Автор
Опубликовано

Я сделала, мне ответили, что: begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

выполнен без ошибок.

 

 

Подскажите, что отправить в письме. После сканирования у меня появилась папка карантин, я должна её заархивировать и отправить?

Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано

После скрипта появится файл quarantine.zip в папке с AVZ вот его и нужно выслать. Пароль на архи virus ставит АВЗ сама при выполнении срипта. Пароль нужно только указать в письме, что бы аналитики могли распаковать архив.

Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано

Теперь в логах активного заражения не наблюдается. Можете поставить компьютер на полную проверку антивирусом, пусть поищет, может ещё како-то мусор найдётся.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • thawne
      "Не удалось найти файл instaill.exe
      Автор thawne
      Всех приветствую.
      Столкнулся с проблемой, скачал обход блокировки дискорда, само всё работает, но теперь открывается каждые секунд 30 с консолью - https://yapx.ru/album/Zro4D
      Когда не заходишь в игры, консоль сама не открывается визуально, но в диспече задач процессы консоли запускает - https://yapx.ru/album/ZwenT
      Когда заходишь в игры, открывается эта консоль и выдаёт ошибку
      так же дополню, запускает файл svchost.exe
    • Loloshka
      не получается удалить/обезвредить MEM:Trojan.Win32.SEPEH.gen
      Автор Loloshka
      Пытаюсь убрать сделал перезагрузку не че не убирается иногда может быть черный экран когда убираешь этот вирус 
    • danilzot
      [РЕШЕНО] Doctor Web Cureit обнаружил вирус NET:MALWARE.URL, удалить или обезвредить его не смог
      Автор danilzot
      Doctor Web Cureit обнаружил вирус NET:MALWARE.URL, удалить или обезвредить его не смог, помогите пожалуйста, лог прикрепить не могу, так как он весит больше 5 мегайбайт 
    • fodymoran
      [РЕШЕНО] не получается удалить/обезвредить MEM:Trojan.Win32.SEPEH.gen
      Автор fodymoran
      Добрый вечер! Помогите, пожалуйста, удалить/обезвредить данный троян.
      При проверке через Kaspersky Virus Removal Tool он не отображается, но при проверке через Kaspersky Free он есть.
      При попытке устранения через фри версию также вылетают ошибки перед перезагрузкой пк: browser.exe - Bad image (Состояние ошибки 0x0000022)
      CollectionLog-2024.09.10-22.37.zip
    • je3mbo
      не получается обезвредить "HOSTS:MALWARE.URL" dr web cureit-ом
      Автор je3mbo
      CollectionLog-2024.09.09-00.56.zipПК начал сильно зависать время от времени, особенно если приложение или видео на весь экран, проверил с помощью DR WEB CUREIT выдает вирус HOSTS:MALWARE.URL, нажимал кнопку обезвредить, но вирус так и остался, после повторной проверки снова выдает "HOSTS:MALWARE.URL" помогите удалить, пожалуйста.
      логи приложил
×
×
  • Создать...