Ложное срабатывание или троян?

[Khein]

Здравствуйте. Выполнял стандартное сканирование системы антивирусом Kaspersky Free (делаю раз в неделю приблизительно) и внезапно получил сигнал о вирусе (HEUR:Trojan-Downloader.Win32.Bitser.gen). Вирус якобы был в файле, который хранится на компьютере уже несколько лет, раньше ни одно сканирование ничего не выявляло. Также вирус не видел ни Malwarebytes, ни CureIt! Никаких внешних проявления за все это время я тоже не замечал.

К сожалению, Касперский сразу поместил файл в карантин, а при восстановлении из карантина удалял за пару секунд — не было возможности загрузить на VirusTotal. После перезагрузки системы антивирус удалил файл с концами. По результатам повторного сканирования ничего не нашел (удивило только, что повторное сканирование прошло очень быстро, нетипично).

Приложу отчёт от антивируса к посту. Интересует вопрос: остались ли какие-то следы вируса и что это было — реальный троян, который несколько лет никак не диагностировался, или просто ложное срабатывание?

CollectionLog-2021.06.12-00.42.zip Отчет.txt

Изменено 11 июня, 2021 пользователем Khein

[SQ]

Здравствуйте,

В логах ничего вредоносного не видно.

В логе замечено, только следующее:

>>  Нарушение ассоциации SCR файлов

Чтобы это исправить выполните следующие инструкции:

 

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
 ExecuteRepair(1);
RebootWindows(false);
end.

 

После выполнения скрипта компьютер перезагрузится.

 

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

 

4 hours ago, Khein said:

и что это было — реальный троян, который несколько лет никак не диагностировался, или просто ложное срабатывание?

К сожалению, без самомо вредоносного файла, сложно что-то сказать.

P.S. Если найдете указанный вредоносный файл попробуйте создать запрос в ЛК, если имеется лицензия. 

[Khein]

2 hours ago, SQ said:

• Прикрепите отчет к своему следующему сообщению.

 

Спасибо за ответ, прикрепляю. Пользовался этой программой и раньше, до удаления вируса — тоже не было никакой реакции.

 

 

2 hours ago, SQ said:

Если найдете указанный вредоносный файл попробуйте создать запрос в ЛК, если имеется лицензия. 

 

Я знаю, где скачивал этот файл и могу, в теории, скачать ещё раз, но, к сожалению, лицензии у меня нет (пользуюсь Free-версией). Из вариантов вижу отослать на проверку в Dr.Web (там это можно сделать без лицензии), но не уверен в эффективности сего действа. Могу так же отправить этот файл сюда.

Если это всё же вирус, не могли бы вы подсказать, как избежать последствий, если буду качать его заново для отправки на проверку, хватит ли включенного Shadow Fefender'а?

AdwCleaner[S00].txt

UPD: Скачал файл по ShadowDefender'ом, как и ожидалось, Касперский сразу удалил его, сделав недоступным для загрузки куда-либо. Пришлось отключить на время защиту. Просканировал файл Malwarebytes — никакого результата. Закинул на VirusTotal — тоже, Касперский на VirusTotal не показал угрозы (было сообщение об опасности от двух ноунейм-антивирусов из ~50, но они, по моему опыту, реагируют вообще на любой exe-файл так). Отправил на проверку в Dr.Web, сюда пока не загружаю, жду вашего ответа.

Изменено 12 июня, 2021 пользователем Khein

[Khein]

UPD2: Просканировал Kaspersky Virus Removal Tool — вот он уже нашел тот же самый троян. Что интересно — им я тоже раньше проверял компьютер при наличии этого файла и ничего найдено не было. Также прилагаю результаты сканирования Virus Total'а.

Изменено 12 июня, 2021 пользователем Khein

[Khein]

Пришел ответ от Dr.Web. Можно ли безопасно узнать, что именно скачивал этот bat-файл и чем это грозит?

 

 

Написал на форум, где скачивал файл:

 

После перезалива перекачал:

 

Не знаю, насколько это правда и можно ли это как-то теперь проверить. В общем-то много чего с этого сайта загружал, никогда не было каких-либо проблем. 

[SQ]

Мало вероятно, если сторонний антивирусных вендор (DrWeb) также обнаружил в файле вредоносную угрозу, то значит все таки это не было ложным срабатыванием.

В любом случае в ваших логах ничего вредоносного не замечено. Но что там было реклама или что-то другое уже не узнать.

P.S. Если сайт содердит нелегальный контент, то всегда есть вероятность, что данный контент будет содержать вредоносное ПО (как минимум Adware-рекламу).

 

 

Если у Вас не осталось вопросов, то выполните пожалуйста завершающие шаги:

1. Пожалуйста, запустите adwcleaner.exe
В меню Параметры прокрутите вниз и выберите Удалить.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

[Khein]

Благодарю за ответы и помощь! Файл прилагаю:

SecurityCheck.txt

[SQ]

Ознакомьтесь со следующими рекомендациями:

---------------------- [ AntiVirusFirewallInstall ] -----------------------
Malwarebytes version 4.3.0.98 v.4.3.0.98 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 18.01 (x64) v.18.01 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
qBittorrent 4.3.3 v.4.3.3 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.12 Внимание! Скачать обновления

 

 

Читайте Рекомендации после удаления вредоносного ПО