Перейти к содержанию
Правила раздела

Ложное срабатывание или троян?

Khein
 Share Подписчики 0

Рекомендуемые сообщения

Khein

Khein 0

Опубликовано
Опубликовано (изменено)

Здравствуйте. Выполнял стандартное сканирование системы антивирусом Kaspersky Free (делаю раз в неделю приблизительно) и внезапно получил сигнал о вирусе (HEUR:Trojan-Downloader.Win32.Bitser.gen). Вирус якобы был в файле, который хранится на компьютере уже несколько лет, раньше ни одно сканирование ничего не выявляло. Также вирус не видел ни Malwarebytes, ни CureIt! Никаких внешних проявления за все это время я тоже не замечал.

К сожалению, Касперский сразу поместил файл в карантин, а при восстановлении из карантина удалял за пару секунд — не было возможности загрузить на VirusTotal. После перезагрузки системы антивирус удалил файл с концами. По результатам повторного сканирования ничего не нашел (удивило только, что повторное сканирование прошло очень быстро, нетипично).

Приложу отчёт от антивируса к посту. Интересует вопрос: остались ли какие-то следы вируса и что это было — реальный троян, который несколько лет никак не диагностировался, или просто ложное срабатывание?

CollectionLog-2021.06.12-00.42.zip Отчет.txt

Изменено пользователем Khein
Ссылка на сообщение
Поделиться на другие сайты
SQ

SQ 812

Опубликовано
Опубликовано

Здравствуйте,

В логах ничего вредоносного не видно.

В логе замечено, только следующее: 

>>  Нарушение ассоциации SCR файлов

Чтобы это исправить выполните следующие инструкции:

 

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора. 

begin
 ExecuteRepair(1);
RebootWindows(false);
end.

 

После выполнения скрипта компьютер перезагрузится.


 

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

 

4 hours ago, Khein said:

и что это было — реальный троян, который несколько лет никак не диагностировался, или просто ложное срабатывание?

К сожалению, без самомо вредоносного файла, сложно что-то сказать.

P.S. Если найдете указанный вредоносный файл попробуйте создать запрос в ЛК, если имеется лицензия. 

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Khein

Khein 0

Опубликовано
  • Автор
Опубликовано (изменено)
2 hours ago, SQ said:
  • Прикрепите отчет к своему следующему сообщению.

 

Спасибо за ответ, прикрепляю. Пользовался этой программой и раньше, до удаления вируса — тоже не было никакой реакции.

 

 

2 hours ago, SQ said:

Если найдете указанный вредоносный файл попробуйте создать запрос в ЛК, если имеется лицензия. 

 

Я знаю, где скачивал этот файл и могу, в теории, скачать ещё раз, но, к сожалению, лицензии у меня нет (пользуюсь Free-версией). Из вариантов вижу отослать на проверку в Dr.Web (там это можно сделать без лицензии), но не уверен в эффективности сего действа. Могу так же отправить этот файл сюда.

Если это всё же вирус, не могли бы вы подсказать, как избежать последствий, если буду качать его заново для отправки на проверку, хватит ли включенного Shadow Fefender'а?

AdwCleaner[S00].txt

UPD: Скачал файл по ShadowDefender'ом, как и ожидалось, Касперский сразу удалил его, сделав недоступным для загрузки куда-либо. Пришлось отключить на время защиту. Просканировал файл Malwarebytes — никакого результата. Закинул на VirusTotal — тоже, Касперский на VirusTotal не показал угрозы (было сообщение об опасности от двух ноунейм-антивирусов из ~50, но они, по моему опыту, реагируют вообще на любой exe-файл так). Отправил на проверку в Dr.Web, сюда пока не загружаю, жду вашего ответа.

Изменено пользователем Khein
Ссылка на сообщение
Поделиться на другие сайты
Khein

Khein 0

Опубликовано
  • Автор
Опубликовано (изменено)

UPD2: Просканировал Kaspersky Virus Removal Tool — вот он уже нашел тот же самый троян. Что интересно — им я тоже раньше проверял компьютер при наличии этого файла и ничего найдено не было. Также прилагаю результаты сканирования Virus Total'а. https://sun9-68.userapi.com/impg/QPfosTK0wVuQLIcE36Q5ITS6iUQlHsIGJHgd1Q/Emj25wRBoIM.jpg?size=1712x437&quality=96&sign=5d64609f6ffda97cfa642e1cc1c4820f&type=album

Изменено пользователем Khein
Ссылка на сообщение
Поделиться на другие сайты
Khein

Khein 0

Опубликовано
  • Автор
Опубликовано

Пришел ответ от Dr.Web. Можно ли безопасно узнать, что именно скачивал этот bat-файл и чем это грозит?

 

изображение.png

изображение.png

 

Написал на форум, где скачивал файл: 169342445_.png.68f4674196619de06e860e318c241bf7.png

 

После перезалива перекачал: 854506840_-1.thumb.png.d977b03499c8decaba112421aa52c729.png

 

Не знаю, насколько это правда и можно ли это как-то теперь проверить. В общем-то много чего с этого сайта загружал, никогда не было каких-либо проблем. 

Ссылка на сообщение
Поделиться на другие сайты
SQ

SQ 812

Опубликовано
Опубликовано

Мало вероятно, если сторонний антивирусных вендор (DrWeb) также обнаружил в файле вредоносную угрозу, то значит все таки это не было ложным срабатыванием.

В любом случае в ваших логах ничего вредоносного не замечено. Но что там было реклама или что-то другое уже не узнать.

P.S. Если сайт содердит нелегальный контент, то всегда есть вероятность, что данный контент будет содержать вредоносное ПО (как минимум Adware-рекламу).

 

 

Если у Вас не осталось вопросов, то выполните пожалуйста завершающие шаги:


1. Пожалуйста, запустите adwcleaner.exe
В меню Параметры прокрутите вниз и выберите Удалить.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
SQ

SQ 812

Опубликовано
Опубликовано

Ознакомьтесь со следующими рекомендациями:

---------------------- [ AntiVirusFirewallInstall ] -----------------------
Malwarebytes version 4.3.0.98 v.4.3.0.98 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 18.01 (x64) v.18.01 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
qBittorrent 4.3.3 v.4.3.3 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.12 Внимание! Скачать обновления

 

 


Читайте Рекомендации после удаления вредоносного ПО
 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • tim_spirit
      Расшифровка файлов после Trojan-Ransom.MSIL.Crypmod.gen
      От tim_spirit
      Здравствуйте! Поймали шифровальщика Trojan-Ransom.MSIL.Crypmod.gen, предположительно, заражение произошло через открытый порт RDP (был включён удалённый рабочий стол с простым паролем).
      Система не переустанавливалась, запустили KVRT, папку карантина сохранили, могу отправить при необходимости.
      Зашифрованные файлы и оригинальная копия одного из файлов.rar Addition.txt FRST.txt Shortcut.txt
    • JiK
      Удаленное управление машиной.
      От JiK
      Добрый день. Проблема с удаленным доступом злоумышленников, который возможно остался после заражения ПК.
      Суть вопроса: Возможна ли ситуации, что даже после очистки ПК и переустановки системы у злоумышленника остался доступ к моему ПК? Подробнее я описал в теме соседнего раздела, но отписать сюда.
      Вот тема: 
       
    • JiK
      Удаленное управление машиной.
      От JiK
      Добрый день, я знаю, что сообщение будет не по форме, но у меня на то весомые причины, прошу прочитать.
      Логов у меня нет, т.к. на момент ситуации не думал, что буду писать сюда, но жизненная ситуация вынудила.
       
      Прилагаю ссылку, т.к нет логов из-за срока давности ситуации (опишу позже).
      Ссылка на вредоносный сайт, где можно скачать софт  :
       
      Полная хронология событий:

      1) 28 августа скачал вредоностный софт, который описан выше и запустил. осознав ошибку сразу скачал Dr.Web Cureit и просканировал систему. Было найдено 14 троянов, которые я попытался вылечить. После лечения Dr.Web Cureit попросил перезгрузить ПК, что я и сделал. Но винда не запустилась из-за какой-то критической ошибки. Я начал процесс восстановления по бекапу недельной давности, что мне и удалось. После восстановления я ещё раз проверил компьютер и вирусов уже не было. Подумав, что проблема решена я забыл про неё.
       
      2) 29 августа мне приходит уведомление об удалении номера телефона и двухфакторной аутентификации в гугл аккаунте. Но как так? Ведь для захода необходимо получить коды подтверждения по телефону, чего естевственно не приходило. Я сразу сменил пароль и удалил все авторизации.  Также я заметил, что в истории авторизации не было сторонних устройств. Были только мои личные. (В тот моментя  почему-то не предал этому значение).

      3) 1 сентября мне взломали инстаграмм, аналогично как и с гуглом. Авторизации только с моих устройств, пароли не меняли. Я сразу подумал, что полюбому дело в том, что червяк засел в системе даже после восставноления. Снес винду, переустановил и заменил все пароли по новой.  Вирусов в системе никаких нет.
       
      На данный момент у меня более ничего не ломали, но страх повторения ситуации есть. Подскажите как быть и что делать, спасибо.
      Ещё раз извиняюсь, что без логов, но ситуация такая.
    • _bezuss_
      Трояны Trojan:script/Wacatac.B1ml, Trojan:win32/Wacatac.B1ml, Trojan:script/Casur.A!c
      От _bezuss_
      В защитнике Вигдовс в списке "разрешенные" трояны Trojan:script/Wacatac.B1ml, Trojan:win32/Wacatac.B1ml, Trojan:script/Casur.A!cl, никакие антивирусы их не видят!!!

    • tuvumba
      Winmon.sys, windefender.exe, csrss
      От tuvumba
      Недавно обнаружил на рабочем компе вирус, попытки вручную удалить не увенчались успехом. При буте в нормальном режиме снова всё возвращается. Kaspersky Virus Removal Tool находит Winmon.sys, windefender, csrss и прочие файлы. Логи прилагаю.
      CollectionLog-2021.07.21-12.09.zip
×
×
  • Создать...