Перейти к содержанию

Ложное срабатывание или троян?


Рекомендуемые сообщения

Здравствуйте. Выполнял стандартное сканирование системы антивирусом Kaspersky Free (делаю раз в неделю приблизительно) и внезапно получил сигнал о вирусе (HEUR:Trojan-Downloader.Win32.Bitser.gen). Вирус якобы был в файле, который хранится на компьютере уже несколько лет, раньше ни одно сканирование ничего не выявляло. Также вирус не видел ни Malwarebytes, ни CureIt! Никаких внешних проявления за все это время я тоже не замечал.

К сожалению, Касперский сразу поместил файл в карантин, а при восстановлении из карантина удалял за пару секунд — не было возможности загрузить на VirusTotal. После перезагрузки системы антивирус удалил файл с концами. По результатам повторного сканирования ничего не нашел (удивило только, что повторное сканирование прошло очень быстро, нетипично).

Приложу отчёт от антивируса к посту. Интересует вопрос: остались ли какие-то следы вируса и что это было — реальный троян, который несколько лет никак не диагностировался, или просто ложное срабатывание?

CollectionLog-2021.06.12-00.42.zip Отчет.txt

Изменено пользователем Khein
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

В логах ничего вредоносного не видно.

В логе замечено, только следующее:

>>  Нарушение ассоциации SCR файлов

Чтобы это исправить выполните следующие инструкции:

 

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
 ExecuteRepair(1);
RebootWindows(false);
end.

 

После выполнения скрипта компьютер перезагрузится.


 

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

 

4 hours ago, Khein said:

и что это было — реальный троян, который несколько лет никак не диагностировался, или просто ложное срабатывание?

К сожалению, без самомо вредоносного файла, сложно что-то сказать.

P.S. Если найдете указанный вредоносный файл попробуйте создать запрос в ЛК, если имеется лицензия. 

Ссылка на сообщение
Поделиться на другие сайты
2 hours ago, SQ said:
  • Прикрепите отчет к своему следующему сообщению.

 

Спасибо за ответ, прикрепляю. Пользовался этой программой и раньше, до удаления вируса — тоже не было никакой реакции.

 

 

2 hours ago, SQ said:

Если найдете указанный вредоносный файл попробуйте создать запрос в ЛК, если имеется лицензия. 

 

Я знаю, где скачивал этот файл и могу, в теории, скачать ещё раз, но, к сожалению, лицензии у меня нет (пользуюсь Free-версией). Из вариантов вижу отослать на проверку в Dr.Web (там это можно сделать без лицензии), но не уверен в эффективности сего действа. Могу так же отправить этот файл сюда.

Если это всё же вирус, не могли бы вы подсказать, как избежать последствий, если буду качать его заново для отправки на проверку, хватит ли включенного Shadow Fefender'а?

AdwCleaner[S00].txt

UPD: Скачал файл по ShadowDefender'ом, как и ожидалось, Касперский сразу удалил его, сделав недоступным для загрузки куда-либо. Пришлось отключить на время защиту. Просканировал файл Malwarebytes — никакого результата. Закинул на VirusTotal — тоже, Касперский на VirusTotal не показал угрозы (было сообщение об опасности от двух ноунейм-антивирусов из ~50, но они, по моему опыту, реагируют вообще на любой exe-файл так). Отправил на проверку в Dr.Web, сюда пока не загружаю, жду вашего ответа.

Изменено пользователем Khein
Ссылка на сообщение
Поделиться на другие сайты

UPD2: Просканировал Kaspersky Virus Removal Tool — вот он уже нашел тот же самый троян. Что интересно — им я тоже раньше проверял компьютер при наличии этого файла и ничего найдено не было. Также прилагаю результаты сканирования Virus Total'а. https://sun9-68.userapi.com/impg/QPfosTK0wVuQLIcE36Q5ITS6iUQlHsIGJHgd1Q/Emj25wRBoIM.jpg?size=1712x437&quality=96&sign=5d64609f6ffda97cfa642e1cc1c4820f&type=album

Изменено пользователем Khein
Ссылка на сообщение
Поделиться на другие сайты

Пришел ответ от Dr.Web. Можно ли безопасно узнать, что именно скачивал этот bat-файл и чем это грозит?

 

изображение.png

изображение.png

 

Написал на форум, где скачивал файл: 169342445_.png.68f4674196619de06e860e318c241bf7.png

 

После перезалива перекачал: 854506840_-1.thumb.png.d977b03499c8decaba112421aa52c729.png

 

Не знаю, насколько это правда и можно ли это как-то теперь проверить. В общем-то много чего с этого сайта загружал, никогда не было каких-либо проблем. 

Ссылка на сообщение
Поделиться на другие сайты

Мало вероятно, если сторонний антивирусных вендор (DrWeb) также обнаружил в файле вредоносную угрозу, то значит все таки это не было ложным срабатыванием.

В любом случае в ваших логах ничего вредоносного не замечено. Но что там было реклама или что-то другое уже не узнать.

P.S. Если сайт содердит нелегальный контент, то всегда есть вероятность, что данный контент будет содержать вредоносное ПО (как минимум Adware-рекламу).

 

 

Если у Вас не осталось вопросов, то выполните пожалуйста завершающие шаги:


1. Пожалуйста, запустите adwcleaner.exe
В меню Параметры прокрутите вниз и выберите Удалить.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Ознакомьтесь со следующими рекомендациями:

---------------------- [ AntiVirusFirewallInstall ] -----------------------
Malwarebytes version 4.3.0.98 v.4.3.0.98 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 18.01 (x64) v.18.01 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
qBittorrent 4.3.3 v.4.3.3 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.12 Внимание! Скачать обновления

 

 


Читайте Рекомендации после удаления вредоносного ПО
 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • kptsv
      От kptsv
      Добрый день.
      Kaspersky Security для Windows Server 10.1.2.996 выдает сообщение, что обнаружены троянские программы HEUR:Trojan.MSIL.Inject.gen и HEUR:Trojan.Win32.Strab.gen. Проверка kvrt ничего не нашла. Dr.Web CureIt тоже ничего не нашел.
      Сообщение заносится в журнал каждый час. Как избавиться от напасти?
      CollectionLog-2024.02.29-08.17.zip kaspersky_log.csv.zip
    • bon1kk
      От bon1kk
      Здравствуйте! Столкнулся с проблемой..на компьютер попал троян...несколько дней назад он появился, я сразу же с помощью антивируса Касперского вроде как удалил его вместе с перезагрузкой компьютера. Через 2 дня вирус снова был обнаружен на компьютере. Как он попадает? И как избавиться от него навсегда? Касперский помогает лишь на несколько дней...работаю с ADS browser, в подобной теме видел что у ребят это вылезает из-за перехода по ссылке которую касперский метит, и не значит что файл в системе, верно!? В последний раз заходил на этот сайт, и сейчас снова показывает как подозрительный, может быть ли это из-за него?


    • Shkine
      От Shkine
      Доброго времени суток на днях заметил что защитник обнаружил троян. Но при попытке удалить его - ничего не происходит он снова появляется. Находил похожие от части темы, где использовали Farbar Recovery Scan Tool. Так что ко всем файлам прикладываю и его результаты. Буду благодарен за помощь.


      Addition.txt FRST.txt
    • Valeria_Tropina
      От Valeria_Tropina
      Не получается удалить этот вирус, уже несколько раз пыталась! 
      Помимо него есть еще несколько от которых я также не могу избавиться. 
      Еще три: 
      Trojan.BAT.Agent.bzg 
      Trojan.Multi.Agent.n 
      HEUR:Trojan.Win32.Convagent.gen 
    • Clf
      От Clf
      Добрый день!
      Такая же проблема как и в данной теме https://forum.kasperskyclub.ru/topic/439255-resheno-heurtrojanwin64minergen-pomogite-udalit/
       
      Помогите удалить HEUR:Trojan.Win64.Miner.gen

      Прикрепил логи по правилам оформления запроса созданные через AutoLogger

      Также прикрепил логи анализа системы при помощи Farbar Recovery Scan Tool 
      + образ автозапуска в uVS

       
      FRST.txt Addition.txt DENIS_2024-01-24_22-33-29_v4.15.1.7z
      CollectionLog-2024.01.24-23.06.zip
×
×
  • Создать...