Перейти к содержанию
Правила раздела

Антивирус постоянно ловит новые трояны и черви [LOG+]

strembob

Автор strembob
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

strembob

strembob

Опубликовано
Опубликовано

Здравствуйте!

 

Зашел на какой-то сайт, после чего комп сразу самостоятельно перегрузился.

После чего антивирусник ловит различные трояны, черви и прочее вредоносное ородье, я пытаюсь вручную удалять их из SYSTEM32, но они появляются снова и снова...

Упала производительность, постоянно вращается винчестер, и без остановки бежит трафик (не пойму, что качает).

А самое неприятное идет постоянное обращение к флопи приводу (с периодичностью 1 раз в 15-20 сек), я им не пользуюсь, просто остался от старых компов, а тут в системнике свободное место было. А после как поймал эту заразу хрюкающий звук включающегося флопа достал.

 

Помогите плиз...

Сообщение от модератора Falcon
Открепил файл карантина virusinfo_cure.zip, в дальнейшем, пожалуйста, не стоит его прикладывать. Спасибо.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Falcon

Falcon

Опубликовано
Опубликовано

Выполните в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearHostsFile;
QuarantineFile('C:\WINDOWS\system32\Drivers\utk0mtm2.sys','');
QuarantineFile('C:\WINDOWS\Temp\rdl307D.tmp.exe','');
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\iqvw32.sys','');
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
DeleteFile('C:\WINDOWS\Temp\rdl307D.tmp.exe');
DeleteFile('C:\Temp\Documents\Слава\Application Data\Microsoft\Installer\{8DFB3904-FBDB-4C2B-AC98-20EFDD37C83D}\_9BBD95EDD09943628BD4707D81A906EF.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-682003330-1645522239-725345543-1003\Dc39\fbc1FC9.tmp');
DeleteFile('C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\WP02XNP5\pin[1].exe');
BC_ImportAll;
ExecuteRepair(6);
ExecuteRepair(9);
ExecuteSysclean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Затем в AVZ:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Oтправьте quarantine.zip по электронной почте на адрес newvirus@kaspersky.com (укажите в письме, что пароль на архив - virus).

О результате сообщите.

 

Пофиксите:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

Выполните скрипт в AVZ:

begin
SetAVZPMStatus(true);
RebootWindows(true); 
end.

ПК перезагрузится.

 

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

- скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

- если вы используете Opera, нажмите Opera - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

 

-> Это вам знакомо?

21b93dd685c3.jpg

 

Скачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

 

Также ждем новые логи AVZ и HJT.

strembob

strembob

Опубликовано
  • Автор
Опубликовано

Доброго времени суток!

 

Все что Вы говорили выполнил.

 

Единственное Gmer удалось завершить только на четвертой попытке, до этого он просто работал несколько минут и система просто начисто зависала (приходилось делать грубую презагрузку), да и то, после завершения работы Gmer систему пришлось перезагрузить, так как при запуске лубого приложения система выдавала сообщение, что не хватает оперативной памяти (до конца даже не уверен Gmer оработал коректно).

 

Та картинка с вопросом "Вам это знакомо?", что выв мне прислали - это скорее всего то, что я пользуюсь итернет браузером google chrome...

 

После выполненных скриптов обращения к флопу исчезли,

Но в основном моеню google chrome и при нажатии правой клавиши мыши в поле браузера пропал русский шрифт - теперь всё на английском.

И сегодня снова антивирусник зафиксироал трояны:

utk0mtm2.sys - Windows\system\drivers\

avz_1468_1.tmp - Local Settings\Temp\

 

Вот снова высылаю Вам информацию о системе и те файлы которые Вы просили.

 

 

Кстати сайт на котором я поймал эту заразу вот:

_//autobazar.od.ua[/url]

 

Сообщение от модератора wise-wistful
Удалил карантин из темы. Его не нужно прикреплять к сообщению

Строгое предупреждение от модератора Falcon
Пожалуйста, не нужно постить гиперссылку на подобного рода сайты. Обезвредил.

Gmer.log

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

thyrex

thyrex

Опубликовано
Опубликовано (изменено)

Вредоносные ссылки и объекты (в данном случае файл карантина) выкладывать нельзя

 

utk0mtm2.sys - не троян. Это от AVZ

На время подготовки логов и выполнения скриптов антивирус нужно отключать, как и другое защитное ПО, которое может помешать выполнению скриптов.

 

Выполните скрипт в AVZ

 begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{B8F88615-A49E-4443-A26F-E97379BE1B1A}');
QuarantineFile('C:\DOCUME~1\7631~1\APPLIC~1\Aldea\Aldea.dll','');
DeleteFile('C:\DOCUME~1\7631~1\APPLIC~1\Aldea\Aldea.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW', 1, 1, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь.

 

Сделать новые логи

Изменено пользователем thyrex
thyrex

thyrex

Опубликовано
Опубликовано

Еще раз обращаю внимание

На время подготовки логов и выполнения скриптов антивирус нужно отключать, как и другое защитное ПО, которое может помешать выполнению скриптов.

 

Выполните скрипт в AVZ

 begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\iqvw32.sys','');
DeleteService('NAL');
DeleteFile('C:\WINDOWS\system32\Drivers\iqvw32.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь.

 

Сделать новые логи

strembob

strembob

Опубликовано
  • Автор
Опубликовано

А я его блокирую, а он почему продолжает работать и препятствовать AVZ, причем в трее отображается, что временно не активен антивирусник не фаервол.

У меня Symantec.

Если подскажете как это сделать по другому, или как он называется в диспетчере задач, то я его отрублю на время выполнения скриптов совсем.

Apollon

Apollon

Опубликовано
Опубликовано
Если подскажете как это сделать по другому, или как он называется в диспетчере задач, то я его отрублю на время выполнения скриптов совсем.

Здраствуйте! К сожалению данный продукт, как и други Антивирусные продукты имеют функцию самозащиты, так что в диспечере задач вам не удасться его отключить.

Зайдите в настройки в них должна быть галочка рядом со строкой самозащита продука(Антивируса) - отключите его, после чего через трей рядом с часами находится значок трея, нажмите правой там должна быть строчка выйти(отключить) Антивирус.

Попробуйте. Ответ напишите.

strembob

strembob

Опубликовано
  • Автор
Опубликовано

Вы знаете и так тоже я делал.

Все равно пока идет процесс сбора информации AVZ эта галочка самостоятельно отключается и антивирусник вновь начинает работать.

Может можно завершить какие-то процессы в диспетчере задач связанные с Symantec?

Вот только знать бы какие?

akoK

akoK

Опубликовано
Опубликовано

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\WP02XNP5\pin[1].exe - Trojan.Win32.Buzus.baul

C:\WINDOWS\Temp\rdl307D.tmp.exe - Trojan.Win32.Buzus.baul

C:\Program Files\Microsoft Common\svchost.exe - Worm.Win32.AutoRun.ajq

strembob

strembob

Опубликовано
  • Автор
Опубликовано (изменено)

Ну покапался в настройках, нашел автоматическое включение Симантек антивируса после отключениения, полностью его отключить нельзя, но период автоматического включения можно увеличить с 3 мин до 1 часа.

Возможно получилось создать логи правильно, по крайней мере Симантек не ругался.

Жду, что Вы скажете после проверки.

 

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\WP02XNP5\pin[1].exe - Trojan.Win32.Buzus.baul

C:\WINDOWS\Temp\rdl307D.tmp.exe - Trojan.Win32.Buzus.baul

C:\Program Files\Microsoft Common\svchost.exe - Worm.Win32.AutoRun.ajq

 

Это содержится у меня?

Изменено пользователем strembob
strembob

strembob

Опубликовано
  • Автор
Опубликовано

Понятно.

 

Ну теперь получилось с логами?

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Kosch
      После удаления трояна SEPEH осталось постоянное обращение к диску
      Автор Kosch
      После удаления трояна SEPEH осталось постоянное обращение к диску С:
      не особо интенсивное, но "лампочка" активности диска мигает непрерывно
      Причина не отлавливается никак ☹️
       
      Проверено sfc /scannow
      прописаны все твики реестра по указаниям хелперов
      FRST фиксы прописаны
      в безопасном режиме проблема остаётся
      загрузка с РЕ и проверка KRT ничего не находит
      ресурс-монитор никаких подозрительных процессов не показывает
       

       
      куда копать дальше?
    • KL FC Bot
      SambaSpy — новый RAT-троян | Блог Касперского
      Автор KL FC Bot
      Сегодня поговорим о крысах, но не о тех, что с длинными хвостами, а о компьютерных — RAT (remote access trojan). Так называют трояны, которые позволяют злоумышленнику получить удаленный доступ к устройству. Обычно «крысы» умеют самостоятельно устанавливать и удалять программы, контролировать буфер обмена и считывать данные с клавиатуры.
      В мае 2024 года в нашу крысоловку попался новый представитель RAT-троянов: SambaSpy. Как это вредоносное ПО проникает на устройства жертв и чем оно там занимается — в этой публикации.
      Что такое SambaSpy
      SambaSpy — это многофункциональный RAT-троян, обфусцированный с помощью Zelix KlassMaster, что существенно затрудняет его обнаружение и анализ. Тем не менее мы справились с обеими задачами и выяснили, что новый RAT-троян умеет:
      управлять файловой системой и процессами; загружать и выгружать файлы; управлять веб-камерой; делать скриншоты; красть пароли; загружать дополнительные плагины; удаленно управлять рабочим столом; регистрировать нажатия клавиш; управлять буфером обмена.  
      View the full article
    • ursawarion
      Антивирус постоянно находит "не желетальные" приложения, не могу настроить
      Автор ursawarion
      Kaspersky Security Cloud версия 21.3.10.391, win 10
       
      антивирус постоянно находит кряки, кеугены, активаторы, программы для удалённого доступа и т.д. на моём компьютере (выходит окошко где предлагается удалить или заблокировать угрозу) хотя они находятся на диске D, в настройках при установке антивируса было настроена не обнаруживать потенциально не желательные приложения, рекламные, программы для удалённого доступа и т д, вообще все галочки были убраны, фоновая проверка включена хотя как указано в настройках фоновой проверке проверка осуществляется тока системного диска,  системного раздела, памяти,  системный раздел находится на диске С, почему антивирус лезит на диск D так и не понял, ищет руткиты? может отключить поиск руткитов как это сделать? при чём что интересно антивирус начинает блочить мой сотф "не желательный" (либо выходит окошко удалить или заблокировать угрозу) даже когда не открыт проводник и я этот софт даже не открываю, проверка по расписанию не включена, в настройках антивируса выставлены настройки "Действие при обнаружении угрозы - спрашивать у пользователя" - но я не могу добавить в исключение, тока есть выбор удалить либо заблокировать, почему такая не гибкая политика? очень раздражает, вроде выставил настройки всё правильно, но я не могу добавить файл-программу в исключений при обнаружении (когда выходит окошко где предлагается удалить или заблокировать угрозу), а понимаю что это "софт" крайне не желательный и антивирусами не одобряются, но почему я не могу внести в исключения во время обнаружения их антивирусом, и антивирус так упорно сканирует диск который даже не системный? давно это заметил.....я этим "софтом" толком не пользуюсь на данном компьютере, здесь он хранится в основном, тока на флешку его скидываю время от времени, но при этом отключая антивирус, есть возможность "вроде" внести в исключения в самом антивирусе в настройках, но это крайне не удобно, хотелось бы чтобы можно было внести в исключения когда выходит окошко где предлагается удалить или заблокировать угрозу, иногда такой пункт есть, а иногда нету, я как понял зависит от степени угрозы
    • REDAREW
      В двух браузерах,Opera и Edge постоянно появляются новые расширения.
      Автор REDAREW
      Я то расширения удалил, но осадочек остался.

      Дополню, в браузере оперы gx ничего такого нету
    • Наран Джим
      Пропал антивирус, не могу найти и не могу установить новый
      Автор Наран Джим
      Прошу помочь, пользовался антивирусом Касперского, подписка лицензия, всё есть, но почему-то мой антивирус пропал, ну как пропал, виндовс защита его видит как поставщика защиты ПК, но по кнопке перейти в приложение Касперского ничего не происходит, сколько не жми, само приложение исчезло с раб стола, в пуске пустой ярлык, с пустым листом вместо логотипа, при его открытии пишет не удаётся получить доступ, нет разрешения, даже при администраторе есть открыть, но в свойствах, путь указан, но по этому пути пусто, нет в дисках антивируса, если скачивать новый он требует перезагрузки, после которой ничего не происходит
      Удалить я не могу Касперский, его тупо нет, точнее не могу найти, думал мб из-за этого не получается новый установить, но новые пакеты даже не появляются после распаковки. Наткнулся на окно что у меня нет прав на изменения Касперского, даже если я администратор, что за бред
×
×
  • Создать...