Перейти к содержанию
Правила раздела

Digeste.dll плодит трояны

Rosman-kr

От Rosman-kr
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Rosman-kr Постоялец

Rosman-kr

Опубликовано
Опубликовано

Добрый день!

Переодически выскакивает диалоговое окно в котором ругается Rundll32.exe на библиотеку digeste.dll, при всем Касперский постоянно находит новые вредоносные объекты, которые удаляешь но при перезагрузки происходит тоже самое. Вот логи для обозрения:

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты
  • Ответов 41
  • Created
  • Последний ответ

Top Posters In This Topic

  • Rosman-kr

    21

  • akoK

    11

  • thyrex

    8

  • Apollon

    1

Popular Days

Top Posters In This Topic

Popular Days

Rosman-kr Постоялец

Rosman-kr

Опубликовано
  • Автор
Опубликовано

Проблему с digeste.dll решил с помощью Троян ремувера, но он обнаружел ещё проблему с userinit.exe Касперский тоже определяет что заражен Винлогон только дальнейших действий не предлогает как быть?

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Проблему с digeste.dll решил с помощью Троян ремувера
Дело ваше, если не дождались скрипта

 

Троян ремувера, но он обнаружел ещё проблему с userinit.exe
В последней версии Trojan Remover есть такая беда. Скорее всего у Вас "сборка", а он, видимо, сравнивает с лицензионным файлом. Хотя раньше на сборках все проходило тип-топ.

 

Касперский тоже определяет что заражен Винлогон только дальнейших действий не предлогает как быть?
Мое предложение

1. Проверить этот файл на www.virustotal.com/ru

2. Cделать повторные логи и выложить.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Да, в этом файле результат 9/39 в основном трояны, как лечить?
Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{4BB3881C-AE29-4CB0-849A-EED9A84C32F9}');
QuarantineFile('mcbawxm.dll','');
QuarantineFile('c:\windows\system32\mcbawxm.dll','');
DeleteFile('c:\windows\system32\mcbawxm.dll');
DeleteFile('mcbawxm.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится

 

Выполните еще один скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com В теле письма укажите пароль на архив virus. Полученный ответ сообщите здесь.

 

Пофиксите в HiJack

O20 - Winlogon Notify: alkmbjmv - C:\WINDOWS\SYSTEM32\mcbawxm.dll

 

Повторите логи

Ссылка на комментарий
Поделиться на другие сайты
Rosman-kr Постоялец

Rosman-kr

Опубликовано
  • Автор
Опубликовано

Файл quarantine.zip отправил вот ответ: В присланном Вами файле обнаружено новое вредоносное программное обеспечение.

Его детектирование будет включено в очередное обновление антивирусных баз.

Благодарим за оказанную помощь.

Backdoor.Win32.Rbot.kpb

 

Повторяю логи:

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано (изменено)
Файл quarantine.zip отправил вот ответ: В присланном Вами файле обнаружено новое вредоносное программное обеспечение.

Его детектирование будет включено в очередное обновление антивирусных баз.

Благодарим за оказанную помощь.

Backdoor.Win32.Rbot.kpb

 

Повторяю логи:

А зараза не удалилась. :coffee: Пока пойдем другим путем

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\system32\mcbawxm.dll');
DeleteFile('mcbawxm.dll');
DelBHO('{4BB3881C-AE29-4CB0-849A-EED9A84C32F9}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteFile('c:\windows\system32\mcbawxm.dll');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится

 

Проверьте-ка еще это C:\WINDOWS\system32\Drivers\pdnoclps.sys

Повторите логи

Изменено пользователем thyrex
Ссылка на комментарий
Поделиться на другие сайты
Rosman-kr Постоялец

Rosman-kr

Опубликовано
  • Автор
Опубликовано (изменено)

Файл pdnoclps.sys - чист, сейчас скручу и выложу очередные логи

 

Файл pdnoclps.sys - чист, сейчас скручу и выложу очередные логи

 

Свежеиспеченные логи в студии:

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Изменено пользователем Rosman-kr
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Файл pdnoclps.sys - чист, сейчас скручу и выложу очередные логи

Свежеиспеченные логи в студии:

Вот теперь сгинула :coffee:

Косметическая уборка

Пофиксите в HiJack

O20 - Winlogon Notify: alkmbjmv - C:\WINDOWS\

 

Следующий раз при подозрении на зловредов или их наличие не занимайтесь самолечением, пожалуйста :(

Ссылка на комментарий
Поделиться на другие сайты
Rosman-kr Постоялец

Rosman-kr

Опубликовано
  • Автор
Опубликовано
Вот теперь сгинула :coffee:

Косметическая уборка

Пофиксите в HiJack

O20 - Winlogon Notify: alkmbjmv - C:\WINDOWS\

 

Следующий раз при подозрении на зловредов или их наличие не занимайтесь самолечением, пожалуйста :(

 

Спасибо, а подскажите после пофиксивания в HiJack сама строка (O20 - Winlogon Notify: alkmbjmv - C:\WINDOWS\) должна удалиться или нет а то у меня она пишет что какбы фиксица а строка не удаляется и при очередном сканировании её снова видно? :(

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Спасибо, а подскажите после пофиксивания в HiJack сама строка (O20 - Winlogon Notify: alkmbjmv - C:\WINDOWS\) должна удалиться или нет а то у меня она пишет что какбы фиксица а строка не удаляется и при очередном сканировании её снова видно? :coffee:
После нажатия на FixChecked она не исчезает? Или я неправильно понимаю?
Ссылка на комментарий
Поделиться на другие сайты
akoK Ветеран

akoK

Опубликовано
Опубликовано

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • orpham
      троян .kwx8
      От orpham
      Добрый день.
      15.02 вечером, зашифровало все файлы. Комп настроен для удаленного подключения по RDP, включен круглосуточно. Все файлы с расширением .kwx8/
      Помогите пож-та.
      Лог сканирования KVRT во вложении.
      report_2025.02.17_15.55.29.klr.rar
    • GLORYX
      скачал какой то вирус вроде троян
      От GLORYX
      не знаю как но где словил троян в диспечере задай просто находится пустой проц с аватаркой шестеренки пробовал через все програму успехом не увенчалось.
    • Hendehog
      Помощь в определении функциональности трояна
      От Hendehog
      Здравствуйте.
      Вирус замаскированный под файл от госорганов.
      Просканировал KVRT, DR.Web, и сняты логи автологгером.
      Прошу подсказки - что именно делается вирус, куда внедряется, как ворует деньги с банковских счетов?
      Ну и понять, чист сейчас ПК или нет.
      CollectionLog-2025.02.07-10.57.zip KVRT2020_Data.zip
    • KL FC Bot
      SparkCat — первый троян-стилер, пробравшийся в App Store | Блог Касперского
      От KL FC Bot
      В галерее вашего смартфона почти наверняка найдется важная информация, сфотографированная для надежности и удобства — например, фото документов, банковских договоров или сид-фраз, позволяющих восстановить доступ к криптокошелькам. Все эти данные могут быть украдены вредоносным приложением, подобным обнаруженному нами стилеру SparkCat. В текущей конфигурации этот зловред обучен красть данные криптокошельков, но с другими настройками он может мгновенно перейти к краже любой другой ценной информации.
      Самое неприятное — этот зловред пробрался в официальные магазины приложений, и только из Google Play зараженные им аппы суммарно загрузили почти 250 тысяч раз. И если в Google Play вредоносные приложения не единожды обнаруживались и до этого, то в App Store троян-стилер обнаружен впервые. Как же устроена эта угроза и что сделать для защиты?
      Довесок к легитимным приложениям
      Приложения, содержащие вредоносные компоненты SparkCat, делятся на две группы. Некоторые из них — например, многочисленные схожие мессенджеры с заявленными функциями ИИ от одного и того же разработчика — очевидно, опубликованы сугубо как приманка. Но есть и другие — легитимные приложения сервисов доставки еды, чтения новостей, утилиты для владельцев криптокошельков. Как в них появилась троянская функциональность, мы не знаем. Возможно, это была атака на цепочку поставок, при которой был заражен один из вспомогательных компонентов — «кирпичиков», из которых собрано готовое приложение, или же разработчики намеренно встраивали трояна в свои приложения.
      Первое приложение, в котором мы обнаружили SparkCat — это сервис для доставки еды в ОАЭ и Индонезии под названием ComeCome. Зараженное приложение было обнаружено как в Google Play, так и в App Store
       
      View the full article
    • tau34
      Троян в pdf файле?
      От tau34
      Здравствуйте зашел на один сайт посмотреть pdf документ и Касперский выдад уведомление , мне сейчас надо как то удалять его или что? пишет вот такой троян:  HEUR:Trojan.PDF.Badur.gena
      я просто в браузере pdf открыл этот там видать ссылка на вредоносный сайт или что раз так Касперский срнагировал
       
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь по персональным продуктам  
       
       
       
       
       
       
       
       

×
×
  • Создать...