-
Junior Member
- Вес репутации
- 35
Вирусы Trojan.downloader и Trojan.fraudster [Trojan-Downloader.Win32.Stantinko.ov
]
Добрый день! Примерно недели три назад столкнулась с глюками клавиатуры - периодически перестали срабатывать клавиши qwer, реже - клавиши uio (жму многократно, а срабатывать начинает лишь после где-то 10-15 нажатий, комп при этом не тормозит, курсор не зависает). Раньше такого не случалось. Думала, что клава отдает концы или что-то с клавишами, но решила все-таки проверить на вирусы. Стационарный Dr.Web обнаружил Trojan.downloader, вылечить не смог.Одной из утилит (то ли Cure it, то ли KVRT) вирус-таки удалился - по крайней мере, Dr.Web его больше не нашел. Глюки с клавиатурой резко исчезли. Через некоторое время периодически стала замечать, что что-то в системе как будто бы еще осталось - антивирус иногда кого-то находил в режиме охоты, а при проверке говорил, что все чисто. Пробовала проверить AVZ - скачала ее с оф. сайта, открыла а там сплошные цифры - в меню и везде (как будто кодировка не совпадает). Никогда AVZ в таком виде не наблюдала (есть скрин). Открывала ее, закрывала, скачивала заново - результат один и тот же, куда тыкать не понятно, везде цифры и символы. Пару дней назад запустила полную проверку стационарным Dr.Web - выдал 5 сигнатур (3 из них нашел в своем же собственном карантине). KVRT нашел Trojan-Downloader.Win32.Stantinko.av, сказал, что все вылечил. В этот день, когда выключала комп, диспетчер выдал предупреждение о двух незавершенных процессах, хотя все было закрыто - пока читала, что ему там не нравится, он их принудительно завершил и выключился (успела прочесть только Task Host Window - раньше такого не видела). На следующий день Dr.Web в режиме охоты выдал системным сообщением, что изловил Trojan.fraudster.1492 и куда-то его переместил - так раза 4 подряд с интервалом минут 5. Выключился комп нормально, сразу. Сегодня полная проверка стационарным Dr.Web выдала наличие инфицированного архива Installer в папке Windows, результат - перемещение. KVRT в безопасном режиме не хватило какого-то драйвера, в обоих режимах выдал, что все чисто. Снова скачала AVZ, открыла - вид нормальный, сняла логи. Помогите, пожалуйста, вычистить гуляющую то тут, то там заразу - антивирусы и утилиты ее то видят, то не видят и все время под разными именами. Не в первый раз буду очень благодарна и, разумеется, поддержу проект.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) foxrou, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Junior Member
- Вес репутации
- 35
Извините, забыла прикрепить логи. Два прикрепились. Лог syscure не крепится - некорректный файл. Что делать?
____________________
Второй раз выдало, что файл syscure 18,6 Кб превысил объем на форуме.
Последний раз редактировалось foxrou; 31.03.2015 в 20:20.
-
Сообщение от
foxrou
Лог syscure не крепится - некорректный файл. Что делать?
____________________
Второй раз выдало, что файл syscure 18,6 Кб превысил объем на форуме.
Старые вложения удалите через Мой кабинет - Вложения
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Windows\system32\ir16_32.dll','');
QuarantineFile('C:\Users\Евгения\appdata\local\google\chrome\user data\default\extensions\bdigkpjbmbdepgpkjeabfghlchdmphke\3.2_0\plg\npapihelper.dll','');
DeleteFile('C:\Users\Евгения\appdata\local\google\chrome\user data\default\extensions\bdigkpjbmbdepgpkjeabfghlchdmphke\3.2_0\plg\npapihelper.dll','32');
DeleteFile('C:\Windows\system32\ir16_32.dll','32');
DeleteFile('C:\Users\Евгения\AppData\Local\Baidu\Baidu\1.3.1.157\Baidu.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BaiduClient','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин над первым сообщением темы.
Сделайте новые логи по правилам
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 35
Карантин выслала по инструкции.
Логи от FRST прилагаю, но не уверена, успели ли они правильно сформироваться - Dr.Web заклеймил FRST в качестве Trojan.Encoder и куда-то ее переместил.
- - - - -Добавлено - - - - -
Добавляю еще заново снятые логи.
-
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-1882052423-2603963636-3504150640-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
FF Extension: APIHelper - C:\Users\Евгения\AppData\Roaming\Mozilla\Firefox\Profiles\sl6igkmw.default\Extensions\{2A4702A6-63E6-46E4-BEF3-E2769B6774A0} [2014-12-11]
FF Extension: ВКонтакте.ру Downloader - C:\Users\Евгения\AppData\Roaming\Mozilla\Firefox\Profiles\sl6igkmw.default\Extensions\[email protected] [2014-12-11]
CHR Extension: (APIHelper) - C:\Users\Евгения\AppData\Local\Google\Chrome\User Data\Default\Extensions\bdigkpjbmbdepgpkjeabfghlchdmphke [2014-12-08]
CHR Extension: (Ultimate Discounter) - C:\Users\Евгения\AppData\Local\Google\Chrome\User Data\Default\Extensions\ckcmdpmhiekiihmfjffdehhbhgllpapg [2014-11-28]
OPR Extension: (APIHelper) - C:\Users\Евгения\AppData\Roaming\Opera Software\Opera Stable\Extensions\fhmcldpohlnkhmdbhfggpafgkafbcfnh [2015-02-14]
OPR Extension: (Ultimate Discounter) - C:\Users\Евгения\AppData\Roaming\Opera Software\Opera Stable\Extensions\hnbekdjpdldejohkmdonijjglpohocgo [2014-11-28]
OPR Extension: (Adobe DTM Switch) - C:\Users\Евгения\AppData\Roaming\Opera Software\Opera Stable\Extensions\nlgdemkdapolikbjimjajpmonpbpmipk [2014-11-28]
S2 d3dadapter; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
S2 d3dadapter; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
S2 ir16_32; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
S2 ir16_32; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
S2 kbdmai; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
S2 kbdmai; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
S2 wlanmgr; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
S2 wlanmgr; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
Reboot:
- Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 35
Были сложности - FRST не запускалась (в этот раз говорила, что нет прав), а потом просто исчезла из папки - пришлось скачать ее еще раз. прикладываю лог.
- - - - -Добавлено - - - - -
Сегодня (спустя месяц) вернулся глюк с клавиатурой - не срабатывали клавиши w, u, i (где-то после 20-го тыка начинают работать - сразу все). Не пойму, то ли это все же клава виновата, то ли какой-то кейлоггерный вирус балуется...
-
Сообщение от
foxrou
Не пойму, то ли это все же клава виновата
скорее она, чем вирус
Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 35
Внешних признаков проблем не наблюдается, Dr.Web сегодня никого не вылавливал, ни о чем не сигнализировал, быстрая проверка дала нулевой результат. Выключался комп нормально - никакие задачи ему не мешали. Можно вас благодарить и спать спокойно?
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 16
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\ir16_32.dll - Trojan-Downloader.Win32.Stantinko.ov ( AVAST4: Win32:Agent-AVLF [Trj] )
-