Перейти к содержанию
Правила раздела

Найти и обезвредить HEUR:Trojan.Script.lframer

Iraida

От Iraida
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Iraida Новичок

Iraida

Опубликовано
Опубликовано

В моём компьютере поселился троян HEUR:Trojan.Script.lframer. Я выполнила все шаги, указанные по данной ссылке: http://forum.kasperskyclub.ru/index.php?showtopic=1698. Теперь ваша очередь.

virusinfo_syscheck.htm

virusinfo_syscure.htm

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты
  • Ответов 33
  • Created
  • Последний ответ

Top Posters In This Topic

  • Iraida

    17

  • ТроПа

    14

  • akoK

    2

  • itmurun

    1

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

ТроПа
ТроПа

Спасибо, папку получил Самая главная проблема это вот этот файл 'C:\WINDOWS\Temp\78.tmp' - Trojan-PSW.Win32.LdPinch.aebm Этот гад и крал все пароли.

akoK
akoK

Trojan-PSW.Win32.LdPinch.aebm - меняйте все пароли которые еще не сменили после лечения.

akoK Ветеран

akoK

Опубликовано
Опубликовано

Когда базы антивируса в последний раз обновлялись?

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('Secdrv', 4);
QuarantineFile('C:\WINDOWS\Temp\78.tmp','');
QuarantineFile('c:\windows\system32\oembios.exe','');
QuarantineFile('c:\windows\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\twex.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys','');
DeleteFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\twex.exe');
DeleteFile('C:\WINDOWS\system32\drivers\ntndis.exe');
DeleteFile('c:\windows\system32\ntos.exe');
DeleteFile('c:\windows\system32\oembios.exe');
DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
DeleteFile('C:\Program Files\MyPlayCityRU\tbMyPl.dll');
DeleteFile('C:\WINDOWS\Temp\78.tmp');
DelBHO('{dfbeb35b-444d-4f25-8d7d-eb2683c206ec}');
DelBHO('{BA52B914-B692-46c4-B683-905236F6F655}');
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
DeleteService('Secdrv');
BC_ImportALL;
ExecuteRepair(16);
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

Пофиксить в HijackThis следующие строчки

	F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\drivers\ntndis.exe
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\windows\system32\ntos.exe,c:\window s\system32\oembios.exe,C:\WINDOWS\system32\twex.exe,

 

Повторите логи.

Ссылка на комментарий
Поделиться на другие сайты
Iraida Новичок

Iraida

Опубликовано
  • Автор
Опубликовано

посылаю вам результаты сканирования , выполненные исходя из рекомендация по ссылке;)//forum.kasperskyclub.ru/index.php?showtopic=1698

virusinfo_syscheck.htm

virusinfo_syscure.htm

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано

Iraida, а вы рекомендации предложенные akoK выполняли? И вы зачем одни и те-же логи снова выложили. Нужно сделать новые. точно так же как вы делали в первый раз.

Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано

Что конкретно не понятно?

Код

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

 

Это тоже надо выполнить в АВЗ

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Пофиксить в HijackThis следующие строчки

Это есть Как выполнить скрипт в AVZ и "пофиксить" в HijackThis?

Ссылка на комментарий
Поделиться на другие сайты
Iraida Новичок

Iraida

Опубликовано
  • Автор
Опубликовано
Да я выполнила первый шаг, а вот дальше не могу разобраться, подскажите.

"AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". - Это я выполнила.

Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано

Оба скрипта? письмо отправили? Дальше фиксите в HJT, если какой-то из строк не окажется, тогда не ищите её.

После этого сделайте логи как делали первый раз перед тем как вылаживать на форуме.

Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано

Нет - ничего страшного. Делайте логи АВЗ и HJT заново как написано в теме http://forum.kasperskyclub.ru/index.php?showtopic=1698 нам нужно посмотреть, что удалилось, а что проявилось.

Ссылка на комментарий
Поделиться на другие сайты
Iraida Новичок

Iraida

Опубликовано
  • Автор
Опубликовано

Я сделала, мне ответили, что: begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

выполнен без ошибок.

 

 

Подскажите, что отправить в письме. После сканирования у меня появилась папка карантин, я должна её заархивировать и отправить?

Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано

После скрипта появится файл quarantine.zip в папке с AVZ вот его и нужно выслать. Пароль на архи virus ставит АВЗ сама при выполнении срипта. Пароль нужно только указать в письме, что бы аналитики могли распаковать архив.

Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано

Теперь в логах активного заражения не наблюдается. Можете поставить компьютер на полную проверку антивирусом, пусть поищет, может ещё како-то мусор найдётся.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • fodymoran
      [РЕШЕНО] не получается удалить/обезвредить MEM:Trojan.Win32.SEPEH.gen
      От fodymoran
      Добрый вечер! Помогите, пожалуйста, удалить/обезвредить данный троян.
      При проверке через Kaspersky Virus Removal Tool он не отображается, но при проверке через Kaspersky Free он есть.
      При попытке устранения через фри версию также вылетают ошибки перед перезагрузкой пк: browser.exe - Bad image (Состояние ошибки 0x0000022)
      CollectionLog-2024.09.10-22.37.zip
    • je3mbo
      не получается обезвредить "HOSTS:MALWARE.URL" dr web cureit-ом
      От je3mbo
      CollectionLog-2024.09.09-00.56.zipПК начал сильно зависать время от времени, особенно если приложение или видео на весь экран, проверил с помощью DR WEB CUREIT выдает вирус HOSTS:MALWARE.URL, нажимал кнопку обезвредить, но вирус так и остался, после повторной проверки снова выдает "HOSTS:MALWARE.URL" помогите удалить, пожалуйста.
      логи приложил
    • KL FC Bot
      Как сохранить веб-страницу навсегда или найти содержимое удаленных сайтов | Блог Касперского
      От KL FC Bot
      Вопреки распространенному мнению о том, что из Сети ничего невозможно удалить, Интернет помнит далеко не всё. В предыдущем посте из этой серии мы рассмотрели аж девять сценариев, в которых вы можете потерять доступ к данным, хранящимся онлайн, и привели подробные инструкции, какую информацию из онлайн-сервисов нужно обязательно (и желательно — быстро) бэкапить на свой компьютер и как это сделать. Сегодня расскажем о том, как удобнее всего сохранять веб-страницы на локальный компьютер, организовывать эти архивы и что делать, если ваш любимый сайт канул в Лету.
      Предположим, вы хотите сохранить статью с рецептом, сформировать библиографический список статей для своей научной работы или даже зафиксировать ту или иную публикацию в Интернете для суда. Все перечисленное публикуется в виде веб-страниц, и страницы эти ненадежны. Захотелось вспомнить музыкальные новости из 2005 года? Будет нелегко — сайт MTV News закрылся вместе со всеми своими статьями. Проверяете ссылки на источники в статьях Википедии? 11% из них уже ведут в никуда, хотя и были рабочими в момент написания статьи в Википедии. В целом «гниение ссылок» — постепенное удаление или переезд онлайн-контента — идет с высокой скоростью. 38% страниц, которые существовали десять лет назад, сегодня уже недоступны. Поэтому, если какую-то веб-страницу и ее содержимое вы считаете важным, есть смысл создать ее резервную копию.
      Как сохранить веб-страницу на компьютер
      Поскольку веб-страница состоит из десятков и сотен файлов, то для ее сохранения придется немного потрудиться. Основные способы сделать это:
      Сохранить только текст в файле HTML. Нажать в браузере «Сохранить веб-страницы» и выбрать вариант «Только HTML». Сохранится лишь текст веб-страницы, без какой-либо графики и красот.
      Сохранить текст и изображения. Соседняя опция «Сохранить веб-страницу целиком» (Web Page, Complete) создаст кроме файла HTML еще и папку с таким же именем, а в ней сохранит все графические элементы, стили и сценарии со страницы. Этот вариант неудобен тем, что на диске образуется много мусора из вспомогательных файлов страницы. Более удобна опция «Сохранить одним файлом» (Webpage, Single File), которая соберет веб-страницу и все ее ресурсы в файл с расширением .mhtml. Он свободно открывается в Chrome и Edge, но в других браузерах с ним могут возникнуть сложности. Эта опция есть не во всех браузерах, но если установить расширение SingleFile (доступно для большинства браузеров), то можно сохранить всю веб-страницу и ее медиаконтент в единый файл HTML, который прекрасно открывается во всех современных браузерах.
       
      View the full article
    • Egorkorenkov99
      Windows Script Host Не удается найти файл сценария "C:\Users\Default\Links\pluginsd.js".
      От Egorkorenkov99
      Добрый день, выскакивает ошибка  Windows Script Host Не удается найти файл сценария "C:\Users\Default\Links\pluginsd.js".
      CollectionLog-2024.05.23-11.04.zip Addition.txt FRST.txt
    • Darkkliner
      Помогите найти расшифровальщи
      От Darkkliner
      Попал на шифровальщика. СТоял офцальный касперский, к сожалению не помог. Прошу помощи у касперского в поиске расшивровальщика
      FRST.txt Addition.txt
×
×
  • Создать...