Сидит Trojan Tofsee

Printable View

25.07.2014, 23:02
Not

Вложений: 2

Сидит Trojan Tofsee

Здравствуйте.
Винда 7 максимальная 64бит.
Цепанул где то трояна. Заметил, что комп при загрузке винды уж больно долго ч HDD читает чего то.
Проверил DrWeb (который у меня установлен на компе. лицензионный), пишет:

nvtray.exe:2700 Trojan.Tofsee обезврежен оперативная память.

Более нигде ничего не находит но при каждой проверке выдает такую же строку.
Загрузил в безопсаном режиме и проверил утилитой Веба. Ничего не нашлось.
Согласно инструкции выполнил все действия, однако для AVZ написано "[COLOR=red]Если у Вас 64-разрядная или серверная операционная система, выполнять п.1 данного раздела не следует. Переходите сразу к п.2."
[/COLOR]Так, как я пропустил п.1 для AVZ, получилось у меня два лога а не три ка написано.
25.07.2014, 23:05
Info_bot

Уважаемый(ая) [B]Not[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
25.07.2014, 23:16
regist

Выполните скрипт в AVZ

[CODE]begin
ExecuteRepair(14);
RebootWindows(false);
end.[/CODE]

- Проведите [url=http://virusinfo.info/content.php?r=290-virus-detector][b]эту[/b][/url] процедуру. Полученную ссылку после загрузки карантина [b]virusinfo_auto_имя_вашего_ПК.zip[/b] через [url=http://virusinfo.info/virusdetector/uploadform.php][b]данную форму[/b][/url] напишите в своём в сообщении здесь.

- Сделайте лог [url=http://virusinfo.info/showpost.php?p=457118&postcount=1]полного сканирования МВАМ.[/url]
25.07.2014, 23:44
Not

[QUOTE=regist;1141368]Выполните скрипт в AVZ

[CODE]begin
ExecuteRepair(14);
RebootWindows(false);
end.[/CODE]

- Проведите [URL="http://virusinfo.info/content.php?r=290-virus-detector"][B]эту[/B][/URL] процедуру. Полученную ссылку после загрузки карантина [B]virusinfo_auto_имя_вашего_ПК.zip[/B] через [URL="http://virusinfo.info/virusdetector/uploadform.php"][B]данную форму[/B][/URL] напишите в своём в сообщении здесь.

- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ.[/URL][/QUOTE]

Карантин [url]http://virusinfo.info/virusdetector/report.php?md5=E07534AAAF96D8126CB5C309D1FB41CB[/url]

AVZ написал очень много красных строк типа:
"Ошибка карантина файла, попытка прямого чтения (nvstreamsvc.exe)
Карантин с использованием прямого чтения - ошибка"
Строк много, названия файлов разные
25.07.2014, 23:59
mike 1

[QUOTE]AVZ написал очень много красных строк типа:[/QUOTE]
Это нормальное поведение при выполнении 8 стандартного скрипта.
26.07.2014, 00:16
Not

[QUOTE=regist;1141368]
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ.[/URL][/QUOTE]

Проблема с MBAM. При установке несколько раз пишет про внутренние ошибки а после установки при попытке запуска пишет "прекращена работа приложения". Уже три раза удалял, ребутил и переустанавливал заново. Еще раз скачал и попробовал установить но все так же внутренние ошибки.
26.07.2014, 00:28
regist

попробуйте эту версию [url]http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.75.0.1300.exe[/url]
27.07.2014, 18:39
Not

Вложений: 1

[QUOTE=regist;1141368]
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ.[/URL][/QUOTE]

[ATTACH]486641[/ATTACH]

Найдено 4 гада. МВАМ предлагает удалить. Удалять?
Еще после установки МВАМ с частотой минут пять блокирует попытки законнектиться к какими то сайтами.
27.07.2014, 18:43
mike 1

[QUOTE]Версия базы данных: v2013.04.04.07
[/QUOTE]
Базы MBAM обновите.

[QUOTE]МВАМ предлагает удалить. Удалять?[/QUOTE]
Нет. Самостоятельно ничего не удаляйте.
27.07.2014, 21:04
Not

Вложений: 1

[QUOTE=mike 1;1141657]Базы MBAM обновите.
.[/QUOTE]
[QUOTE=regist;1141368]- Сделайте лог [url=http://virusinfo.info/showpost.php?p=457118&postcount=1]полного сканирования МВАМ.[/url][/QUOTE]

Обновил... нашлось 7

[ATTACH]486653[/ATTACH]
27.07.2014, 23:04
mike 1

Кроме кряков MBAM ничего не нашел.

[QUOTE]Проверил DrWeb (который у меня установлен на компе. лицензионный), пишет:

nvtray.exe:2700 Trojan.Tofsee обезврежен оперативная память.[/QUOTE]
Похоже на ложное срабатывание антивирус т.к. этот файл относится к видеокарте Nvidia. У вас 9 версия антивируса установлена? Базы антивирусные актуальны?
27.07.2014, 23:19
Not

[QUOTE=mike 1;1141706]Кроме кряков MBAM ничего не нашел.
Похоже на ложное срабатывание антивирус т.к. этот файл относится к видеокарте Nvidia. У вас 9 версия антивируса установлена? Базы антивирусные актуальны?[/QUOTE]

Да 9й, базы свежие.
МВАМ постоянно пишет о блокировке попыток доступа к вредоносному сайту в момент когда я никуда не лезу.
Например пишет часто сайт с названием dwnetfilter. Еще ip какие то постоянно блокирует.

А nvtray.exe:2700 Trojan.Tofsee находит в памяти.
27.07.2014, 23:32
mike 1

[QUOTE]МВАМ постоянно пишет о блокировке попыток доступа к вредоносному сайту в момент когда я никуда не лезу.[/QUOTE]
Это особенность пробной версии MBAM. MBAM деинсталлируйте. Сделайте еще такой лог

[LIST=1][*]Скачайте [B][URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL][/B] (uVS)[*]Извлеките uVS из [I]архива[/I] или из [I]zip-папки[/I]. Откройте папку с UVS и запустите файл [B]start.exe[/B]. В открывшимся окне выберите пункт [B]"Запустить под текущим пользователем"[/B].[*]Выберите меню [B]"Файл"[/B] => [B]"Сохранить полный образ автозапуска"[/B]. Программа предложит вам указать место сохранения лога в формате [B]"имя_компьютера_дата_сканирования"[/B]. Лог необходимо сохранить на рабочем столе.
[INDENT][SIZE="1"][B]!!!Внимание.[/B] Если у вас установлены архиваторы [B]WinRAR[/B] или [B]7-Zip[/B], то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.[/SIZE][/INDENT][*]Дождитесь окончания работы программы и прикрепите лог к посту в теме.
[INDENT][SIZE="1"][B]!!! Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [B]Windows XP[/B] так и есть. В [B]Windows Vista[/B] и [B]Windows 7[/B] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [B]Запуск от имени Администратора[/B], при необходимости укажите пароль администратора и нажмите [B]"Да"[/B].[/SIZE][/INDENT][*][/LIST]
28.07.2014, 02:38
regist

[quote="Not;1141716"]Например пишет часто сайт с названием dwnetfilter.[/quote]
похоже доктора пытается блокировать :D
[quote="Not;1141716"]А nvtray.exe находит в памяти.[/quote]
отправьте к вебовцам с пометкой ложное срабатывание [url]https://vms.drweb.com/sendvirus/?lng=ru[/url]
28.07.2014, 19:16
Not

Вложений: 1

[QUOTE=mike 1;1141722]Это особенность пробной версии MBAM. MBAM деинсталлируйте. Сделайте еще такой лог

[LIST=1][*]Скачайте [B][URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL][/B] (uVS) [*]Извлеките uVS из [I]архива[/I] или из [I]zip-папки[/I]. Откройте папку с UVS и запустите файл [B]start.exe[/B]. В открывшимся окне выберите пункт [B]"Запустить под текущим пользователем"[/B]. [*]Выберите меню [B]"Файл"[/B] => [B]"Сохранить полный образ автозапуска"[/B]. Программа предложит вам указать место сохранения лога в формате [B]"имя_компьютера_дата_сканирования"[/B]. Лог необходимо сохранить на рабочем столе.[INDENT][SIZE=1][B]!!!Внимание.[/B] Если у вас установлены архиваторы [B]WinRAR[/B] или [B]7-Zip[/B], то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.[/SIZE][/INDENT]
[*]Дождитесь окончания работы программы и прикрепите лог к посту в теме.[INDENT][SIZE=1][B]!!! Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [B]Windows XP[/B] так и есть. В [B]Windows Vista[/B] и [B]Windows 7[/B] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [B]Запуск от имени Администратора[/B], при необходимости укажите пароль администратора и нажмите [B]"Да"[/B].[/SIZE][/INDENT]
[/LIST]
[/QUOTE]

[ATTACH]486749[/ATTACH]

Судя по всему осталось много мусора от программ которых уже нет на компе
28.07.2014, 21:50
mike 1

Проверьте эти файлы на [url=http://www.virustotal.com/index.html]virustotal[/url]
[CODE]
C:\USERS\NON\DOWNLOADS\MTKDROIDTOOLS\MTKDROIDTOOLS.EXE
[/CODE]
кнопка [b]Выбрать файл[/b] (Choose File) - ищете нужный файл у вас в системе - [b]Открыть[/b] (Browse) - [b]Проверить[/b] (Scan it!). Нажать на кнопку [b]Повторить анализ[/b] (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.
28.07.2014, 23:20
Not

[QUOTE=mike 1;1141944]Проверьте эти файлы на [URL="http://www.virustotal.com/index.html"]virustotal[/URL]
[CODE]
C:\USERS\NON\DOWNLOADS\MTKDROIDTOOLS\MTKDROIDTOOLS.EXE
[/CODE]
кнопка [B]Выбрать файл[/B] (Choose File) - ищете нужный файл у вас в системе - [B]Открыть[/B] (Browse) - [B]Проверить[/B] (Scan it!). Нажать на кнопку [B]Повторить анализ[/B] (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.[/QUOTE]

Трисичуха прямо какая то [url]https://www.virustotal.com/ru/file/195c897423a323933756b00b4050a203cdd76e3e3fad4ef36700d967b7402e56/analysis/1406575170/[/url]

А я эту прогу и на телефон и на планшет ставил.
28.07.2014, 23:44
mike 1

Раз программа знакома, то больше не к чему придраться. Логи у вас в порядке. Я думаю это ложное срабатывание антивируса.
29.07.2014, 19:29
Not

[QUOTE=mike 1;1141967]Раз программа знакома, то больше не к чему придраться. Логи у вас в порядке. Я думаю это ложное срабатывание антивируса.[/QUOTE]

Программа знакома но это же не гарантирует отсутсвие троянов.
Я ее уже снес. За проверки спасибо. Есть еще маленькая просьба. Есть програмы для чистки реестра, может есть ссылка на какую нибуть рекомендуемую (где то видел здесь но где не знаю)
29.07.2014, 20:14
mike 1

Ccleaner попробуйте.
29.07.2014, 20:56
regist

+ Выполните скрипт в AVZ при наличии доступа в интернет:

[CODE]var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]
31.07.2014, 22:41
Not

[QUOTE=mike 1;1141967]Раз программа знакома, то больше не к чему придраться. Логи у вас в порядке. Я думаю это ложное срабатывание антивируса.[/QUOTE]

Спасибо.
Но все равно как то боязно.