СергейC Опубликовано 13 декабря, 2021 Опубликовано 13 декабря, 2021 Доброго времени суток! Все шло хорошо и ничего не предвещало беды пока мне не понадобилось выложить несколько файлов на свежий Windows-сервер. И тут он раз - и стал мои файлы удалять, троян там, говорит. Пытался загружать на вирустотал - показывает из всей уймы систем антивирусных срабатывают 2-3-4 штуки. Пробовал сканировать MS safety scaner (ну и поделка!), McAfee, Malwarebytes и еще какой-то экзотикой - никто ничего не находит. Но зараза есть, причем активная - я пробовал загрузить на вирустотал свежескомпилированные ехе из VisualStudio и Delphi - показывает на них то же самое, что есть трояны. Помогите, пожалуйста, кто сталкивался с такой бедой. ЗЫ: Не могу никак найти, как вложить файлы с результатом сканирования, попробую после сохранения
Soft Опубликовано 13 декабря, 2021 Опубликовано 13 декабря, 2021 Выполните «Порядок оформления запроса о помощи».
СергейC Опубликовано 14 декабря, 2021 Автор Опубликовано 14 декабря, 2021 Оказывается, без учетной записи сообщение на форум написать можно, а вложение к нему прикрепить - уже нет. CollectionLog-2021.12.13-19.03.zip
Sandor Опубликовано 14 декабря, 2021 Опубликовано 14 декабря, 2021 Здравствуйте! 15 часов назад, СергейC сказал: Пробовал сканировать MS safety scaner (ну и поделка!), McAfee, Malwarebytes Если сохранились отчёты, прикрепите их к следующему сообщению. Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.
СергейC Опубликовано 14 декабря, 2021 Автор Опубликовано 14 декабря, 2021 Отчет FRST прикреплен, я его сделал одновременно с AVZ в надежде что-нибудь там увидеть, но не увидел)) Отчеты не сохранились. McAfee и все остальные просто ничего не нашли, а убогая и кривая поделка от MS хоть и сказала, что нашла 40 с чем-то файлов, в логе показала только три файла, причем все кейгены, а не трояны. Лог этот я расстроился и удалил. Еще раз выполнить сканирование можно, но очень не хочется, поскольку работало оно где-то сутки. Addition.txt FRST.txt
Sandor Опубликовано 14 декабря, 2021 Опубликовано 14 декабря, 2021 Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: SystemRestore: On CreateRestorePoint: HKU\S-1-5-21-4256097950-2540605602-2437126090-1002\...\MountPoints2: {20adcc68-ea71-11e2-b50d-dca9710ae31b} - G:\autorun.exe HKU\S-1-5-21-4256097950-2540605602-2437126090-1002\...\MountPoints2: {419c6230-8104-11e2-97dc-dca9710ae31b} - G:\autorun.exe HKU\S-1-5-21-4256097950-2540605602-2437126090-1002\...\MountPoints2: {419c6232-8104-11e2-97dc-dca9710ae31b} - G:\autorun.exe GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\Test\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\Сережа\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Task: {136A93FD-CE87-4BE5-A84E-5059037CA325} - \Uninstaller_SkipUac_Сережа -> Нет файла <==== ВНИМАНИЕ Task: {51CB484D-E1AB-4AB9-9A3D-2F99209A608A} - System32\Tasks\EasyPartitionManager => C:\Windows\MSetup\BA46-12225A02\EPM.exe (Нет файла) Task: {937FBEF7-EC64-4FEF-9641-91D7DC2D1D6A} - \{91DFDEBA-E976-434E-BD56-B7323ED5DBCC} -> Нет файла <==== ВНИМАНИЕ Task: {D1A0D066-13C0-4F59-B44E-60047ED0FBF0} - \{8D1EE48A-2DAA-454A-AF55-DB19E9401207} -> Нет файла <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ FF NetworkProxy: Mozilla\Firefox\Profiles\b55agfwi.default -> type", 0 WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\":: WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99] WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate] AlternateDataStreams: C:\ProgramData\Temp:1FB1CEE3 [152] AlternateDataStreams: C:\Users\Сережа\Application Data:1 [148] AlternateDataStreams: C:\Users\Сережа\Local Settings:String [148] AlternateDataStreams: C:\Users\Сережа\AppData\Local:String [148] AlternateDataStreams: C:\Users\Сережа\AppData\Roaming:1 [148] AlternateDataStreams: C:\Users\Сережа\AppData\Local\Application Data:String [148] HKU\S-1-5-21-4256097950-2540605602-2437126090-1010\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWucbjwj6mzzJCvArwpJhOtRZjZgcYxLHgjpD3nDQnrsLSpxCb7_atsh3FgfZPmeTQHUm1MR5wkh_wK5RoypgmoafQ6mrC2D94r5WldC1QMEfGweT698MKQlu536S0GizzC_TZa2tpOVTzYQtaVQ8cp3XzfU5BSOfpIn78ZKb6&q={searchTerms} SearchScopes: HKU\S-1-5-21-4256097950-2540605602-2437126090-1010 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWucbjwj6mzzJCvArwpJhOtRZjZgcYxLHgjpD3nDQnrsLSpxCb7_atsh3FgfZPmeTQHUm1MR5wkh_wK5RoypgmoafQ6mrC2D94r5WldC1QMEfGweT698MKQlu536S0GizzC_TZa2tpOVTzYQtaVQ8cp3XzfU5BSOfpIn78ZKb6&q={searchTerms} SearchScopes: HKU\S-1-5-21-4256097950-2540605602-2437126090-1010 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWucbjwj6mzzJCvArwpJhOtRZjZgcYxLHgjpD3nDQnrsLSpxCb7_atsh3FgfZPmeTQHUm1MR5wkh_wK5RoypgmoafQ6mrC2D94r5WldC1QMEfGweT698MKQlu536S0GizzC_TZa2tpOVTzYQtaVQ8cp3XzfU5BSOfpIn78ZKb6&q={searchTerms} BHO-x32: Нет имени -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> Нет файла Toolbar: HKU\S-1-5-21-4256097950-2540605602-2437126090-1002 -> Нет имени - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Нет файла Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - Нет файла FirewallRules: [{A60F5983-AD08-4E6D-BE16-9558A6C2AC3E}] => (Allow) LPort=2869 FirewallRules: [{61DC8670-CE43-46E1-BA8E-0925B2FAE571}] => (Allow) LPort=1900 FirewallRules: [{14D0B41A-CAA1-47F9-9BD8-243D4DDBBFF0}] => (Allow) LPort=4500 FirewallRules: [{700DB0B5-3F3B-470A-B645-8F47FF9A5E9D}] => (Allow) LPort=500 FirewallRules: [{33FFC4AD-D85B-41B3-94E1-AAA17498318E}] => (Allow) LPort=135 FirewallRules: [{5200DF6A-DFA1-491B-A449-EF32EAE87F8B}] => (Allow) C:\Users\Сережа\AppData\Local\Amigo\Application\amigo.exe => Нет файла FirewallRules: [{542374D7-5411-40C8-B7EB-A3BFC50F6214}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла FirewallRules: [{C2E29CCB-3C14-4A76-B67C-C70555F37841}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла FirewallRules: [{91EC4903-16F5-481F-BA75-8070AD4F31FA}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла FirewallRules: [{0AC75E65-C0DA-4B33-84C9-0D11FA59DE1E}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла FirewallRules: [{798E8723-6810-467D-9981-596267250E9E}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла FirewallRules: [{38B85D1A-0CF9-4036-8088-06599E1B98F2}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве.
СергейC Опубликовано 14 декабря, 2021 Автор Опубликовано 14 декабря, 2021 (изменено) Вот лог. Fixlog.txt Чуда не произошло... Консольное приложение, которое печатает "Hello, world", определилось на virustotal как BitDefenderTheta Gen:NN.ZelphiF.34084.jSW@aKjFTbhi MaxSecure Trojan.Malware.300983.susgen McAfee-GW-Edition BehavesLike.Win32.Wabot.ch SecureAge APEX Malicious VBA32 TScope.Trojan.Delf Изменено 14 декабря, 2021 пользователем СергейC
Sandor Опубликовано 14 декабря, 2021 Опубликовано 14 декабря, 2021 Мы тут волшебством и не занимались По сути была очистка мусора. 2 часа назад, СергейC сказал: определилось на virustotal как Так у них срабатывает эвристика, значит. Нужно писать о ложном срабатывании.
СергейC Опубликовано 15 декабря, 2021 Автор Опубликовано 15 декабря, 2021 Полной уверенности нет, но скорее всего это не ложное срабатывание, поскольку то же самое "hello world", но скомпилированное на другом компьютере, срабатываний ни у кого не вызывает...
Sandor Опубликовано 15 декабря, 2021 Опубликовано 15 декабря, 2021 Давайте ещё посмотрим лог MBAM, если уже его удалили: Скачайте Malwarebytes v.4. Установите и запустите. (На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию"). Запустите Проверку и дождитесь её окончания.Самостоятельно ничего не помещайте в карантин!!! Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan". Отчёт прикрепите к сообщению. Подробнее читайте в руководстве.
СергейC Опубликовано 15 декабря, 2021 Автор Опубликовано 15 декабря, 2021 ничего не нашло malwarebytes.log
Sandor Опубликовано 15 декабря, 2021 Опубликовано 15 декабря, 2021 Посоветуйтесь ещё в соседнем разделе. Ссылку на эту тему там укажите.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти