Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте. Выполнял стандартное сканирование системы антивирусом Kaspersky Free (делаю раз в неделю приблизительно) и внезапно получил сигнал о вирусе (HEUR:Trojan-Downloader.Win32.Bitser.gen). Вирус якобы был в файле, который хранится на компьютере уже несколько лет, раньше ни одно сканирование ничего не выявляло. Также вирус не видел ни Malwarebytes, ни CureIt! Никаких внешних проявления за все это время я тоже не замечал.

К сожалению, Касперский сразу поместил файл в карантин, а при восстановлении из карантина удалял за пару секунд — не было возможности загрузить на VirusTotal. После перезагрузки системы антивирус удалил файл с концами. По результатам повторного сканирования ничего не нашел (удивило только, что повторное сканирование прошло очень быстро, нетипично).

Приложу отчёт от антивируса к посту. Интересует вопрос: остались ли какие-то следы вируса и что это было — реальный троян, который несколько лет никак не диагностировался, или просто ложное срабатывание?

CollectionLog-2021.06.12-00.42.zip Отчет.txt

Изменено пользователем Khein
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

В логах ничего вредоносного не видно.

В логе замечено, только следующее:

>>  Нарушение ассоциации SCR файлов

Чтобы это исправить выполните следующие инструкции:

 

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
 ExecuteRepair(1);
RebootWindows(false);
end.

 

После выполнения скрипта компьютер перезагрузится.


 

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

 

4 hours ago, Khein said:

и что это было — реальный троян, который несколько лет никак не диагностировался, или просто ложное срабатывание?

К сожалению, без самомо вредоносного файла, сложно что-то сказать.

P.S. Если найдете указанный вредоносный файл попробуйте создать запрос в ЛК, если имеется лицензия. 

Ссылка на сообщение
Поделиться на другие сайты
2 hours ago, SQ said:
  • Прикрепите отчет к своему следующему сообщению.

 

Спасибо за ответ, прикрепляю. Пользовался этой программой и раньше, до удаления вируса — тоже не было никакой реакции.

 

 

2 hours ago, SQ said:

Если найдете указанный вредоносный файл попробуйте создать запрос в ЛК, если имеется лицензия. 

 

Я знаю, где скачивал этот файл и могу, в теории, скачать ещё раз, но, к сожалению, лицензии у меня нет (пользуюсь Free-версией). Из вариантов вижу отослать на проверку в Dr.Web (там это можно сделать без лицензии), но не уверен в эффективности сего действа. Могу так же отправить этот файл сюда.

Если это всё же вирус, не могли бы вы подсказать, как избежать последствий, если буду качать его заново для отправки на проверку, хватит ли включенного Shadow Fefender'а?

AdwCleaner[S00].txt

UPD: Скачал файл по ShadowDefender'ом, как и ожидалось, Касперский сразу удалил его, сделав недоступным для загрузки куда-либо. Пришлось отключить на время защиту. Просканировал файл Malwarebytes — никакого результата. Закинул на VirusTotal — тоже, Касперский на VirusTotal не показал угрозы (было сообщение об опасности от двух ноунейм-антивирусов из ~50, но они, по моему опыту, реагируют вообще на любой exe-файл так). Отправил на проверку в Dr.Web, сюда пока не загружаю, жду вашего ответа.

Изменено пользователем Khein
Ссылка на сообщение
Поделиться на другие сайты

UPD2: Просканировал Kaspersky Virus Removal Tool — вот он уже нашел тот же самый троян. Что интересно — им я тоже раньше проверял компьютер при наличии этого файла и ничего найдено не было. Также прилагаю результаты сканирования Virus Total'а. https://sun9-68.userapi.com/impg/QPfosTK0wVuQLIcE36Q5ITS6iUQlHsIGJHgd1Q/Emj25wRBoIM.jpg?size=1712x437&quality=96&sign=5d64609f6ffda97cfa642e1cc1c4820f&type=album

Изменено пользователем Khein
Ссылка на сообщение
Поделиться на другие сайты

Пришел ответ от Dr.Web. Можно ли безопасно узнать, что именно скачивал этот bat-файл и чем это грозит?

 

изображение.png

изображение.png

 

Написал на форум, где скачивал файл: 169342445_.png.68f4674196619de06e860e318c241bf7.png

 

После перезалива перекачал: 854506840_-1.thumb.png.d977b03499c8decaba112421aa52c729.png

 

Не знаю, насколько это правда и можно ли это как-то теперь проверить. В общем-то много чего с этого сайта загружал, никогда не было каких-либо проблем. 

Ссылка на сообщение
Поделиться на другие сайты

Мало вероятно, если сторонний антивирусных вендор (DrWeb) также обнаружил в файле вредоносную угрозу, то значит все таки это не было ложным срабатыванием.

В любом случае в ваших логах ничего вредоносного не замечено. Но что там было реклама или что-то другое уже не узнать.

P.S. Если сайт содердит нелегальный контент, то всегда есть вероятность, что данный контент будет содержать вредоносное ПО (как минимум Adware-рекламу).

 

 

Если у Вас не осталось вопросов, то выполните пожалуйста завершающие шаги:


1. Пожалуйста, запустите adwcleaner.exe
В меню Параметры прокрутите вниз и выберите Удалить.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Ознакомьтесь со следующими рекомендациями:

---------------------- [ AntiVirusFirewallInstall ] -----------------------
Malwarebytes version 4.3.0.98 v.4.3.0.98 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 18.01 (x64) v.18.01 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
qBittorrent 4.3.3 v.4.3.3 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.12 Внимание! Скачать обновления

 

 


Читайте Рекомендации после удаления вредоносного ПО
 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Lesikma
      От Lesikma
      Доброго времени суток!
       
      Скачивала игры с непроверенных источников и поймала букет вирусов. Перечитала предыдущие темы, вижу что набор стандартный)
      Вирусы находятся в списке разрешенных угроз и конечно же - не удаляются оттуда. Стоит доктор веб и периодически ругается на них.
      Хотелось бы распрощаться с этими вирусами, буду благодарна за помощь 🙏


      CollectionLog-2021.11.25-20.16.zip
    • Larsvontrier
      От Larsvontrier
      Как я понял, это уже классика целого раздела
      Скачал файл, словил вирус, из антивирусов стоял только защитник винды 
      Журнал защиты стал чист, после скачивания dr.web (до этого висел троян)  
       

      FRST.txt Addition.txt
    • kinder_fortune
      От kinder_fortune
      Добрый день!
      У меня такая проблема: сразу при включении компьютера выскакивает сообщение от Касперского о трояне с названием mem:trojan.win64.generic.mem. Расположение: системная память. Лечить с перезагрузкой и без неё не помогает, буквально через минуту сообщение появляется снова. 
      Файл протоколов прикрепляю.
      CollectionLog-2021.11.22-21.11.zip
    • tim_spirit
      От tim_spirit
      Здравствуйте! Поймали шифровальщика Trojan-Ransom.MSIL.Crypmod.gen, предположительно, заражение произошло через открытый порт RDP (был включён удалённый рабочий стол с простым паролем).
      Система не переустанавливалась, запустили KVRT, папку карантина сохранили, могу отправить при необходимости.
      Зашифрованные файлы и оригинальная копия одного из файлов.rar Addition.txt FRST.txt Shortcut.txt
    • JiK
      От JiK
      Добрый день. Проблема с удаленным доступом злоумышленников, который возможно остался после заражения ПК.
      Суть вопроса: Возможна ли ситуации, что даже после очистки ПК и переустановки системы у злоумышленника остался доступ к моему ПК? Подробнее я описал в теме соседнего раздела, но отписать сюда.
      Вот тема: 
       
×
×
  • Создать...