Перейти к содержанию

Обнаружен вредоносный объект


Рекомендуемые сообщения

Добрый день!

Kaspersky регулярно обнаруживает вредоносный обьект, полная проверка не помогает:

Описание результата: Обнаружено
Тип: Троянская программа
Название: HEUR:Trojan.Script.Generic
Объект: http://pgold.pro/code\1054.js
Причина: Экспертный анализ
 

CollectionLog-2021.11.26-09.55.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

В подробном отчёте видно на какой файл срабатывает антивирус?

 

Деинсталлируйте неподдерживаемый

Цитата

Adobe Flash Player 32 ActiveX

 

Дополнительно:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты
3 часа назад, Sandor сказал:

В подробном отчёте видно на какой файл срабатывает антивирус?

Полная проверка не обнаруживает вирусы, но KSC ежедневно фиксирует угрозу из основного сообщения. Подозреваю что это происходит при использовании пользователем браузера, но на что реагирует KSC непонятно

AdwCleaner[S00].txt

Ссылка на сообщение
Поделиться на другие сайты

1.

  • Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Информационная панель нажмите Запустить проверку.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

 

26.11.2021 в 14:44, Sandor сказал:
  • В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Информационная панель нажмите Запустить проверку.

Файлов (данных) для удаления не было найдено

AdwCleaner[S01].txt FRST.txt Addition.txt

Ссылка на сообщение
Поделиться на другие сайты
26.11.2021 в 13:44, Sandor сказал:

Обратите внимание - C и S - это разные буквы

Не обратили :)

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    U3 aswbdisk; отсутствует ImagePath
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
    WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
    WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
    FirewallRules: [{63C188F5-F95E-4CDB-8E27-7622331AFD3E}] => (Allow) C:\Users\admin.FGBU46\AppData\Local\Temp\7ZipSfx.000\bin\tools\aria2c.exe => Нет файла
    FirewallRules: [{07FE3FE4-B154-486C-B020-4BE09A5521F9}] => (Allow) C:\Program Files (x86)\LiteManager Pro - Server\ROMServer.exe => Нет файла
    FirewallRules: [{881D561D-C138-4691-8785-27478C211835}] => (Allow) C:\Program Files (x86)\LiteManager Pro - Server\ROMServer.exe => Нет файла
    FirewallRules: [{0DFAC900-A576-422B-89DA-BE88A1F66CE8}] => (Allow) LPort=1688
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
21 минуту назад, Sandor сказал:

Не обратили :)

В каталоге С:\AdwCleaner\Logs\ только файлы с индексом S 🤔

Fixlog.txt

Изменено пользователем vetal747
Ссылка на сообщение
Поделиться на другие сайты

Как правило, после очистки должен появиться отчет с символом [Cxx], то есть Clean.

Сделайте еще раз полную проверку антивирусом Касперского и сообщите результат.

Ссылка на сообщение
Поделиться на другие сайты

Полная проверка не обнаруживает ничего, проблема все еще актуальна

Вчерашний лог:

Спойлер

Событие: Обнаружен вредоносный объект
Пользователь: 
Тип пользователя: Активный пользователь
Имя программы: chrome.exe
Путь к программе: C:\Program Files (x86)\Google\Chrome\Application
Компонент: Защита от веб-угроз
Описание результата: Обнаружено
Тип: Троянская программа
Название: HEUR:Trojan.Script.Generic
Точность: Эвристический анализ
Степень угрозы: Высокая
Тип объекта: Файл
Имя объекта: 1054.js
Путь к объекту: http://pgold.pro/code
SHA256: A90095044767F97998202BC93ACECB7BABE77D3A76B6C36C721EA5C1C33B1C23
MD5: E76FDABBEB32074930A1E09ABCD215F5
Причина: Экспертный анализ
Дата выпуска баз: Вчера, 30.11.2021 7:15:00

 

После с компьютера был удален Google Chrome и установлен Mozilla Firefox, в результате сегодня снова вредоносный объект:

Спойлер

Событие: Обнаружен вредоносный объект
Пользователь: 
Тип пользователя: Активный пользователь
Имя программы: firefox.exe
Путь к программе: C:\Program Files\Mozilla Firefox
Компонент: Защита от веб-угроз
Описание результата: Обнаружено
Тип: Троянская программа
Название: HEUR:Trojan.Script.Generic
Точность: Эвристический анализ
Степень угрозы: Высокая
Тип объекта: Файл
Имя объекта: 1054.js
Путь к объекту: http://pgold.pro/code
SHA256: E11BC3DA20563BDD26C13B1789944D665EAC73E865315AE0BC082BA329FBD90D
MD5: 2046AB3E134A1DCD6492598E7C83A959
Причина: Экспертный анализ
Дата выпуска баз: Сегодня, 01.12.2021 4:36:00

 

Событие возникает только 1 раз в день, источник по прежнему неизвестен...

Ссылка на сообщение
Поделиться на другие сайты

Предположу, что срабатывание происходит при входе на некий зараженный сайт. Проанализируйте историю браузера и попробуйте определить такой сайт.

 

Сделайте такую проверку:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на сообщение
Поделиться на другие сайты

Хорошо.

 

  • Пожалуйста, запустите adwcleaner.exe
  • В меню Параметры прокрутите вниз и выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

Отчёт SecurityCheck покажите.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Андрей2029
      От Андрей2029
      Добрый день. Каждый раз после загрузки ПК вижу сообщение KIS о том, что в памяти обнаружена вредоносная программа. Выключить нельзя, KIS предлагает только лечить без перезагрузки и лечить с перезагрузкой. Лечу. Перезагруэаюсь, спустя какое-то время опять вижу это сообщение. Началось после установки Davinchi Resolve и его доп софта. Давинчи нужен.\
      Разумеется, я проводил полную проверку ПК и с помощью KIS, и через Kaspersky Virus Removal Tool, и через AVZ, даже Adwcleaner запускал - везде все по нулям, как до появления этого сообщения, так и после.
       


    • Shizgael
      От Shizgael
      microsoft security essential в автономном режиме находит но недолечивает после перезагрузки все возвращается обратно
      + видоизменяет хост добавляя в него все сайты антивирусов с нулевыми IP 
      file: C:\Program Files\Google\Chrome\updater.exe
      file: C:\Windows\System32\Tasks\GoogleUpdateTaskMachineQC->(UTF-16LE)
      taskscheduler: C:\Windows\System32\Tasks\GoogleUpdateTaskMachineQC
       
       
       
    • Galem333
      От Galem333
      Здравствуйте,при лечении этих файлов происходит компьютер зависает и появляется черный экран, после перезагрузки вам приходит в норму,но вирусы не лечатся. 


       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Помощь по персональным продуктам".
    • Auyr
      От Auyr
      Здраствуйте, хочу уточнить, что на данный момент актуальная проблема это обнаруженный троян утилитой "Kaspersky Virus Removal Tool"(прикрепляю все скрины) , а также я проверил с помощью avz 4 мне также выдали 2 файла с трояном, также меня очень волнует в истории браузера при заходе на свою страницу "Вконтакте" возникают в огромном количестве непонятные ссылки каждую минуту около 100 штук, при переходе на которые ведут на начальную страницу со входом в аккаунт "ВК"(прикрепляю ссылки) такое я замечал еще ранее, на протяжении года минимум, также 30.04.24 возник экран смерти с ошибкой DCP_WATCH_violation (я перезагрузил ПК, далее подозрительных действий не наблюдалось)
      Скажу что был случай заражения вирусом в 2021 году в то время я снес виндоувс, (отформатировал полностью системный диск С) однако я не стал форматировать второй диск D, и вот сегодня 11.05 решил также проверить диск D и обнаружил как раз остатки трояна, однако до сегодняшнего момента очень явных признаков я не наблюдал (на протяжении 3 лет) , только если сослаться на торможение слегка своего ПК
      Скажу что использую базовую версию антивируса платного Касперский.
      Насчет файла default.rpd я взял сохраненное сообщение на другом форуме где мне не помогли привожу его ниже:
      """""Началось 2 июня 2023 , когда сидел в discord я начал демонстрацию экрана и заметил roaming window (предложено было дискордом демонстрировать данное окно, которое было черное) далее я начал проверку avz и когда она подходила к концу, неожиданно в чате дискорда началось печатания каких то букв , в этот момент я ничего не писал( клавиатура чиста, это не техника) текст был такой примерно "еуеуеуеуеуеуеу" далее я заметил в скрытых значках сенсорную клавиатуру, её значок ( у меня windows 10) которую я не открывал и не мог ее закрыть долгое время(сенсорная клавиатура появилась задолго до этого момента , я просто не обращал внимания) , далее я решил просто удалить старый антивирус бесплатный dr web и установил пробную версию премиум касперского и после этого вроде других действий не замечал до момента когда в папку документов появился скрытый документ default.rpd с размером 0 кб и созданием в тот момент когда я возился с проверками (2 июня ночью)""""
      Также уточню что 10.05.24 (вчера) установил solidworks крякнутый в сайта diakov (я уже пользовался им, проверенный, устанавливал офисы2016 и adobe), там я вводил какие то изменения в реестр по инструкции, ссылался на локальный хост, отключал сеть, программа работает. 
      Внизу прикладываю также скрины найденных файлов вирусных разными сканерами - avz(отдельно сканировал им без аутологгера)--2 файла удаленных привожу полное наименование одного из (CWindowsservicingLCUPackage_for_RollupFix~31bf3856ad364e35~amd64~~19041.4291.1.10amd64_microsoft-windows-m..nt-browser.appxmain_31bf3856ad364e35_10.0.19041.3636_none_708b8c01b2212346fsquare44x44logo.targetsize-48_altform-unplated_contrast-white.png)
      Если возникнут вопросы отвечу на всё и попытаюсь быстро реагировать 





      CollectionLog-2024.05.11-12.53.zip
    • DanM
      От DanM
      Здравствуйте, обнаружил на своем компьютере Trojan:MSIL/Wemaeye.A.
      Ниже прикрепляю логи из приложения Farbar Recovery Scan Tool, помогите, пожалуйста, избавиться от этого трояна.
      logs.zip
×
×
  • Создать...