HEUR:Trojan.Win32.Generic

Printable View

Показывать 40 сообщений этой темы на одной странице

23.12.2010, 11:39
inguard

HEUR:Trojan.Win32.Generic

Антивирус Касперского периодически, раз в 2-3 часа, обнаруживает HEUR:Trojan.Win32.Generic в файлах C:\windows\temp\49022844.exe и C:\windows\temp\49022844.exe/UPX.
23.12.2010, 12:01
polword

1.[URL="http://virusinfo.info/showthread.php?t=4491"]Профиксите[/URL] в HijackThis
[CODE]
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
[/CODE]
2.[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Installer\8de91.msi','');
QuarantineFile('C:\Program Files\pchd\PCHDPlayer.exe','');
QuarantineFile('C:\Games\Рисоваська\risovaska.exe','');
DeleteService('ddservice');
QuarantineFile('C:\WINDOWS\winexp.exe','');
DeleteService('srviecheck');
QuarantineFile('C:\WINDOWS\iecheck.exe','');
DeleteFile('C:\WINDOWS\iecheck.exe');
DeleteFile('C:\WINDOWS\winexp.exe');
DeleteFile('C:\Program Files\pchd\PCHDPlayer.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PCHDPlayer');
DeleteFileMask('C:\Program Files\pchd', '*.*', true);
DeleteDirectory('C:\Program Files\pchd');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
23.12.2010, 12:41
inguard

Файл сохранён как 101223_124045_quarantine_4d13191d788c4.zip
Размер файла 1353345
MD5 78dc8bf408d826ed5d867a02b870583b
23.12.2010, 12:50
inguard

загружены virusinfo_syscheck.zip;hijackthis.log
23.12.2010, 13:09
polword

что с проблемой?
23.12.2010, 16:09
inguard

Последнее сообщение от Касперского было в 11:28:57, то есть до предложенного Вами лечения:
23.12.2010 11:28:57 Антивирус Касперского Центр защиты Обнаружено: HEUR:Trojan.Win32.Generic C:\windows\temp\49022844.exe.

пока все чисто, еще пару часиков помониторю и сообщу результат.

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 29 минут[/I][/B][/color][/size]

Похоже что проблема не исчезла:
23.12.2010 15:38:42 Антивирус Касперского Центр защиты Обнаружено: HEUR:Trojan.Win32.Generic C:\WINDOWS\temp\49022844.exe
23.12.2010 15:38:42 Антивирус Касперского Центр защиты Обнаружено: HEUR:Trojan.Win32.Generic C:\WINDOWS\temp\49022844.exe/UPX
23.12.2010 14:18:07 Антивирус Касперского Центр защиты Обнаружено: HEUR:Trojan.Win32.Generic C:\WINDOWS\temp\49022844.exe
23.12.2010 14:18:07 Антивирус Касперского Центр защиты Обнаружено: HEUR:Trojan.Win32.Generic C:\WINDOWS\temp\49022844.exe/UPX
:sad:
23.12.2010, 18:40
polword

сделайте новый комплект логов
24.12.2010, 19:51
inguard

новые логи загружены
24.12.2010, 20:39
thyrex

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
25.12.2010, 10:49
inguard

просканировал
25.12.2010, 11:54
polword

- [URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]удалите[/URL] в [B]MBAM[/B]
[CODE]
Заражённые ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FieryAds (Adware.FieryAds) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\TDSS (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\zipdrivers (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\zipdrivers (Trojan.Agent) -> No action taken.

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://webalta.ru/) Good: (http://www.google.com/) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://webalta.ru) Good: (http://www.google.com/) -> No action taken.

Заражённые папки:
c:\program files\FieryAds (Adware.Adware.FearAds) -> No action taken.

Заражённые файлы:
c:\program files\FieryAds\fieryadsuninstall.exe (Adware.FieryAds) -> No action taken.
c:\WINDOWS\system32\phc9mhj0e5cp.bmp (Trojan.FakeAlert) -> No action taken.
c:\WINDOWS\system32\TDSSfxmp.dll (Rootkit.TDSS) -> No action taken.
[/CODE]

Пролечитесь [URL="http://support.kaspersky.ru/faq/?qid=208636926"]так[/URL]
- лог работы утилиты прикрепите к сообщению
[QUOTE][B][I]По умолчанию[/I][/B] утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.0_23.07.2010_15.31.43_log.txt[/QUOTE]
25.12.2010, 15:37
inguard

Загружен
25.12.2010, 15:39
polword

- Сделайте повторный лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
26.12.2010, 06:17
inguard

готово
26.12.2010, 08:21
polword

[QUOTE=inguard;749498]готово[/QUOTE]
где лог?
26.12.2010, 11:40
inguard

видимо не прикрепился в первый раз
26.12.2010, 13:27
thyrex

Что с проблемой?
26.12.2010, 20:08
inguard

Все еще живет... :-(
26.12.2010 13:05:25 Антивирус Касперского Центр защиты Обнаружено: HEUR:Trojan.Win32.Generic C:\windows\temp\49022844.exe
26.12.2010 13:05:24 Антивирус Касперского Центр защиты Обнаружено: HEUR:Trojan.Win32.Generic C:\windows\temp\49022844.exe/UPX

[size="1"][color="#666686"][B][I]Добавлено через 36 секунд[/I][/B][/color][/size]

снова запустил MBAM

[size="1"][color="#666686"][B][I]Добавлено через 4 часа 50 минут[/I][/B][/color][/size]

MBAM говорит что чисто, а Касперский опять находит
26.12.2010 20:02:06 Антивирус Касперского Центр защиты Обнаружено: HEUR:Trojan.Win32.Generic C:\windows\temp\49022844.exe
26.12.2010 20:02:06 Антивирус Касперского Центр защиты Обнаружено: HEUR:Trojan.Win32.Generic C:\windows\temp\49022844.exe/UPX
26.12.2010 18:42:14 Антивирус Касперского Центр защиты Обнаружено: HEUR:Trojan.Win32.Generic C:\windows\temp\49022844.exe
26.12.2010 18:42:13 Антивирус Касперского Центр защиты Обнаружено: HEUR:Trojan.Win32.Generic C:\windows\temp\49022844.exe/UPX
26.12.2010, 20:13
inguard

лог MBAM а аттача
26.12.2010, 22:31
polword

в логе чисто

Показывать 40 сообщений этой темы на одной странице