Перейти к содержанию

Обнаружен вредоносный объект


Рекомендуемые сообщения

Добрый день!

Kaspersky регулярно обнаруживает вредоносный обьект, полная проверка не помогает:

Описание результата: Обнаружено
Тип: Троянская программа
Название: HEUR:Trojan.Script.Generic
Объект: http://pgold.pro/code\1054.js
Причина: Экспертный анализ
 

CollectionLog-2021.11.26-09.55.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

В подробном отчёте видно на какой файл срабатывает антивирус?

 

Деинсталлируйте неподдерживаемый

Цитата

Adobe Flash Player 32 ActiveX

 

Дополнительно:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты
3 часа назад, Sandor сказал:

В подробном отчёте видно на какой файл срабатывает антивирус?

Полная проверка не обнаруживает вирусы, но KSC ежедневно фиксирует угрозу из основного сообщения. Подозреваю что это происходит при использовании пользователем браузера, но на что реагирует KSC непонятно

AdwCleaner[S00].txt

Ссылка на сообщение
Поделиться на другие сайты

1.

  • Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Информационная панель нажмите Запустить проверку.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

 

26.11.2021 в 14:44, Sandor сказал:
  • В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Информационная панель нажмите Запустить проверку.

Файлов (данных) для удаления не было найдено

AdwCleaner[S01].txt FRST.txt Addition.txt

Ссылка на сообщение
Поделиться на другие сайты
26.11.2021 в 13:44, Sandor сказал:

Обратите внимание - C и S - это разные буквы

Не обратили :)

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    U3 aswbdisk; отсутствует ImagePath
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
    WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
    WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
    FirewallRules: [{63C188F5-F95E-4CDB-8E27-7622331AFD3E}] => (Allow) C:\Users\admin.FGBU46\AppData\Local\Temp\7ZipSfx.000\bin\tools\aria2c.exe => Нет файла
    FirewallRules: [{07FE3FE4-B154-486C-B020-4BE09A5521F9}] => (Allow) C:\Program Files (x86)\LiteManager Pro - Server\ROMServer.exe => Нет файла
    FirewallRules: [{881D561D-C138-4691-8785-27478C211835}] => (Allow) C:\Program Files (x86)\LiteManager Pro - Server\ROMServer.exe => Нет файла
    FirewallRules: [{0DFAC900-A576-422B-89DA-BE88A1F66CE8}] => (Allow) LPort=1688
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
21 минуту назад, Sandor сказал:

Не обратили :)

В каталоге С:\AdwCleaner\Logs\ только файлы с индексом S 🤔

Fixlog.txt

Изменено пользователем vetal747
Ссылка на сообщение
Поделиться на другие сайты

Как правило, после очистки должен появиться отчет с символом [Cxx], то есть Clean.

Сделайте еще раз полную проверку антивирусом Касперского и сообщите результат.

Ссылка на сообщение
Поделиться на другие сайты

Полная проверка не обнаруживает ничего, проблема все еще актуальна

Вчерашний лог:

Спойлер

Событие: Обнаружен вредоносный объект
Пользователь: 
Тип пользователя: Активный пользователь
Имя программы: chrome.exe
Путь к программе: C:\Program Files (x86)\Google\Chrome\Application
Компонент: Защита от веб-угроз
Описание результата: Обнаружено
Тип: Троянская программа
Название: HEUR:Trojan.Script.Generic
Точность: Эвристический анализ
Степень угрозы: Высокая
Тип объекта: Файл
Имя объекта: 1054.js
Путь к объекту: http://pgold.pro/code
SHA256: A90095044767F97998202BC93ACECB7BABE77D3A76B6C36C721EA5C1C33B1C23
MD5: E76FDABBEB32074930A1E09ABCD215F5
Причина: Экспертный анализ
Дата выпуска баз: Вчера, 30.11.2021 7:15:00

 

После с компьютера был удален Google Chrome и установлен Mozilla Firefox, в результате сегодня снова вредоносный объект:

Спойлер

Событие: Обнаружен вредоносный объект
Пользователь: 
Тип пользователя: Активный пользователь
Имя программы: firefox.exe
Путь к программе: C:\Program Files\Mozilla Firefox
Компонент: Защита от веб-угроз
Описание результата: Обнаружено
Тип: Троянская программа
Название: HEUR:Trojan.Script.Generic
Точность: Эвристический анализ
Степень угрозы: Высокая
Тип объекта: Файл
Имя объекта: 1054.js
Путь к объекту: http://pgold.pro/code
SHA256: E11BC3DA20563BDD26C13B1789944D665EAC73E865315AE0BC082BA329FBD90D
MD5: 2046AB3E134A1DCD6492598E7C83A959
Причина: Экспертный анализ
Дата выпуска баз: Сегодня, 01.12.2021 4:36:00

 

Событие возникает только 1 раз в день, источник по прежнему неизвестен...

Ссылка на сообщение
Поделиться на другие сайты

Предположу, что срабатывание происходит при входе на некий зараженный сайт. Проанализируйте историю браузера и попробуйте определить такой сайт.

 

Сделайте такую проверку:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на сообщение
Поделиться на другие сайты

Хорошо.

 

  • Пожалуйста, запустите adwcleaner.exe
  • В меню Параметры прокрутите вниз и выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

Отчёт SecurityCheck покажите.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Ahroh
      От Ahroh
      CollectionLog-2021.12.05-19.43.zip
      У меня на компьютере троян из-за того, что я скачал Adobe Acrobat с вирусного сайта. Он мне особо жить не мешал, до того момента как Windows Defender не заметил активность Trojan Miner. Я в основном пользуюсь браузером Opera GX, и как только я запускаю диспетчер задач мне пишет, что мой процессор нагружен на +- 60%, а потом через 1 секунд все пропадает и возвращается в норму. Помогите, пожалуйста.


    • Yonavi
      От Yonavi
      Сообщение от модератора Mark D. Pearlstone Внимательно читайте правила раздела! Евгений Касперский не помогает вылечиться от вирусов и не оказывает помощь по продуктам.
    • Xsiw
      От Xsiw
      Здравствуйте
      При проверке компьютера, KVRT ругается на mem:trojan.win64.generic.mem. Расположение: системная память. Лечение с перезагрузкой, либо без нее, вирус удаляет, но через какое то время всё возвращается, и при новой проверке снова ругается на этот же троян.
      CollectionLog-2021.11.26-11.49.zip
    • Кеша
      От Кеша
      Недавно в диспетчере задач появились два новых процесса: WindowsInternal.ComposableShell.Experiences.TextInput.Inp и TiWorker.exe. В гугле нашёл несколько случаев, когда эти файлы описывались как  майнер, поэтому решил проверить и попросить о помощи.
      CollectionLog-2021.11.22-20.33.zip
    • pleco
      От pleco
      Добрый день участники форума.
      У меня после загрузки компьютера часто возникает сообщение от Касперского о трояне в системной памяти. Нажимаю "Лечить с перезагрузкой", Касперский лечит, комп перезагружается, и снова всплывает это же предупреждение.  Как-то связать время, когда впервые появилось это предупреждение, с какими-то событиями на компьютере (установка программ, обновлений и т.п.) я не могу.
      Проверка Kaspersky Virus Removal Tool, DrWeb CureIt и Malwarebytes ничего не дала. 
       
      Антивирус: Kaspersky Internet Security
      ОС: Windows 10
       
      Ругается на  MEM:Trojan.Win64.Generic.mem
      CollectionLog-2021.11.22-14.27.zip
×
×
  • Создать...