Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 26.

Прошу помощи в удалении вируса на ПК [Trojan.Win32.Inject.tdhf ] (заявка № 194122)

  1. #1
    Junior Member Репутация
    Регистрация
    08.12.2015
    Сообщений
    14
    Вес репутации
    4

    Прошу помощи в удалении вируса на ПК [Trojan.Win32.Inject.tdhf ]

    На ПК Avira обнаружила вирус TR/Crypt.XPACK.Gen. Проверка с помощью дисков Касперского и Dr.Web LiveDisk не помогла.
    Avira находит вирус в папке C:\Windows\Temp\ с периодичностью каждый час.
    Полная проверка так же ничего не обнаружила.
    На ПК так же установлен Comodo Firewall - во время обнаружения вируса Avir'ой никакой активности не замечено.
    Логи AVZ4 и HijackThis во вложении
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,268
    Вес репутации
    326
    Уважаемый(ая) NNUser, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,824
    Вес репутации
    780
    У Вас там ещё и Emsisoft... Крайне не рекомендуется использовать одновременно несколько защитных продуктов, велика вероятность конфликтов. Опять же, лишние тормоза и ложные срабатывания.

    Есть возможность файлы, на которые реагирует Avira, вытащить из карантина и проверить на virustotal.com?

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочками также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    08.12.2015
    Сообщений
    14
    Вес репутации
    4
    Emsisoft был установлен до Avir'ы и он только помещал в карантин данный вирус. Посмотрел на av-comparatives рейтинг и поставил бесплатную Avir'у (посчитал, что она должна справиться с тем, кто создает вирус в папке Temp). Emsisoft убрал из автозапуска (да и оба они работают и проблем с конфликтами не замечал).

    Прошу совета, как правильно сделать, чтобы не еще больше не навредить ПК, чтобы вирус из карантина отправить на virustotal.com?

    Указанную программу скачал. Запрашиваемые файлы во вложении.
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,824
    Вес репутации
    780
    Цитата Сообщение от NNUser Посмотреть сообщение
    Emsisoft убрал из автозапуска (да и оба они работают и проблем с конфликтами не замечал).
    Если Вы их не видите, это не означает, что их нет. В любом случае, даже при отключённой из автозапуска оболочке антивируса его драйвера и службы активны. Кстати, и Comodo Firewall имеет компоненты проактивной антивирусной защиты.

    Цитата Сообщение от NNUser Посмотреть сообщение
    Прошу совета, как правильно сделать, чтобы не еще больше не навредить ПК, чтобы вирус из карантина отправить на virustotal.com?
    С Avira дела не имел, попробуйте по инструкции, вариант восстановления в указанную папку (по Вашему усмотрению). Антивирус в это время должен быть отключен, не бойтесь, если сами файл не запустите, ничего не будет страшного. Затем на virustotal.com: кнопка Выберите файл, ищете нужный файл у вас в системе - Открыть - Проверить. Нажать на кнопку Повторить анализ (если будет такой вариант). Дождитесь результата. Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

    Логи посмотрю позже.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    08.12.2015
    Сообщений
    14
    Вес репутации
    4
    Ранее я написал, что изначально был один антивирус - это Emsisoft. Вирус появился при нем. Поставил другой. Работают вместе - не замечал конфликтов. Друг друга понимают (при сканировании). Можно конечно снести один. Так и сделаю, если появятся конфликты.

    Сделал все по инструкции.
    Вот ссылка на результат: https://www.virustotal.com/ru/file/4...is/1449581425/

    Смущает, что данный вирус срабатывает как по расписанию - раз в час (через некоторое время после загрузки ПК) и с определенной периодичностью. Искал в планировщике заданий - вроде нет ничего подозрительного.

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,824
    Вес репутации
    780
    Можете этот файл ещё в карантин по приложениям 1 и 2 правил?

    - - - - -Добавлено - - - - -

    KLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] <===== ATTENTION
    Специально отключили? Зря.
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    08.12.2015
    Сообщений
    14
    Вес репутации
    4
    Карантин прислал согласно указанным приложениям.
    Файл сохранён как 151209_105253_virus_5667cfc5e07b1.zip
    Размер файла 1350336
    MD5 2c5e228ade4788d6d589ae4c28ce8c83

    Имеет смысл восстановление системы сейчас включать?

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,824
    Вес репутации
    780
    После решения проблемы - однозначно стоит.

    Cделайте лог сканирования МВАМ.
    WBR,
    Vadim

  11. #10
    Junior Member Репутация
    Регистрация
    08.12.2015
    Сообщений
    14
    Вес репутации
    4
    Добавил лог от указанной Вами программы. Хочу заметить, что данная программа собственный дистриб. посчитала опасным, а так же данное приложение, которое остальные антивирусы не считают опасным - думаю, что это ложное срабатывание
    https://www.virustotal.com/ru/file/6...is/1449728722/
    Вложения Вложения

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,824
    Вес репутации
    780
    Цитата Сообщение от NNUser Посмотреть сообщение
    Хочу заметить, что данная программа собственный дистриб. посчитала опасным
    Потому что это крякнутые дистрибутивы, на загруженный с оффсайта не ругалась бы.

    Цитата Сообщение от NNUser Посмотреть сообщение
    а так же данное приложение, которое остальные антивирусы не считают опасным - думаю, что это ложное срабатывание
    https://www.virustotal.com/ru/file/6...is/1449728722/
    Да, фолс, видимо.

    Файлы, на которые реагирует антивирус, с разными именами в папке C:\Windows\Temp появляются?
    WBR,
    Vadim

  13. #12
    Junior Member Репутация
    Регистрация
    08.12.2015
    Сообщений
    14
    Вес репутации
    4
    Это portable дистриб с сайта http://portableappz.blogspot.ru/
    Вот результат проверки данного дистриба https://www.virustotal.com/ru/file/3...is/1449733611/ - думаю тоже ложное срабатывание

    В указанной папке появляются папки типа tmp0000XXXX, где XXXX - это цифры или буквы
    А уже в этих папках появляются файлы типа tmp00000XXX, где XXX - это также цифры и буквы

  14. #13
    Junior Member Репутация
    Регистрация
    08.12.2015
    Сообщений
    14
    Вес репутации
    4
    Возможно поможет при решении моей проблемы. При проверке были обнаружены следующие объекты (во вложении скриншот). Думал, что вылечил, но при повторной проверке объекты снова появились.
    Изображения Изображения

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,824
    Вес репутации
    780
    WBR,
    Vadim

  16. #15
    Junior Member Репутация
    Регистрация
    08.12.2015
    Сообщений
    14
    Вес репутации
    4
    Добавил лог от указанной Вами программы.

    Если ПК загружать в Безопасном режиме с поддержкой сети, то в папке Temp ничего не появляется, хотя доступ к сети есть. Но стоит загрузить ПК в обычном режиме, то теперь вирус проявляет себя через некоторое время после загрузки и если раньше Avira ругалась на 4-5 файлов в час, то теперь отлавливает по 50 и более. И вирусы сыпяться друг за другом. Потом ПК зависает и приходится перезагружаться. После перезагрузки в данной папке есть не "отловленные" файлы (файлы не нулевого размера).
    Вложения Вложения
    • Тип файла: log gmer.log (90.4 Кб, 2 просмотров)
    Последний раз редактировалось NNUser; 11.12.2015 в 17:19. Причина: Добавил новое поведение вируса.

  17. #16
    Junior Member Репутация
    Регистрация
    08.12.2015
    Сообщений
    14
    Вес репутации
    4
    Возможно у кого-то появились мысли на тему, как избавить ПК от такой заразы? Все запрошенные файлы я приложил.

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,824
    Вес репутации
    780
    Сделайте лог AdwCleaner (by Xplode).
    WBR,
    Vadim

  19. #18
    Junior Member Репутация
    Регистрация
    08.12.2015
    Сообщений
    14
    Вес репутации
    4
    Я могу запустить данную программу из безопасного режима? Т.к. в обычном режиме работать практически не возможно из-за постояных атак вируса.

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,824
    Вес репутации
    780
    Запускайте.
    WBR,
    Vadim

  21. #20
    Junior Member Репутация
    Регистрация
    08.12.2015
    Сообщений
    14
    Вес репутации
    4
    Добавил лог от указанной Вами программы.
    Вложения Вложения

  • Уважаемый(ая) NNUser, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Прошу помощи в удалении вирусов.
      От alter87 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 11.10.2015, 18:29
    2. Ответов: 4
      Последнее сообщение: 13.08.2015, 23:24
    3. Прошу помощи в удалении www.mysearch123.com
      От Gleb V в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 20.06.2015, 17:37
    4. Ответов: 12
      Последнее сообщение: 05.05.2015, 22:26
    5. Ответов: 3
      Последнее сообщение: 08.03.2012, 21:20

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00222 seconds with 21 queries