Имеется компьютер и подключенное к нему сетевое хранилище NetGear. Содержимое хранилища подключено как сетевой диск.
В каждой папке этого сетевого диска регулярно появляются файлы "Photo.scr" и "info.zip", на локальном диске их нет. Антивирус находит и удаляет эти файлы только если зайти непосредственно в папку с файлом, либо если сделать полное сканирование диска, но через какое-то время эти файлы появляются вновь.
Прошу помощи, прикладываю лог.
Человек, как сказано, имеет свободу воли. Значит, он имеет право и на дурость. Чем, понятно, пользуется ого-го как часто.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) rikinaru, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте,
Уточните на подключаемом диске, расшаренны папки?
- Скачайте Farbar Recovery Scan Toolи сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Логи прилагаю.
Папки не расшарены, насколько я знаю.
Человек, как сказано, имеет свободу воли. Значит, он имеет право и на дурость. Чем, понятно, пользуется ого-го как часто.
- Закройте и сохраните все открытые приложения.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION 2016-12-14 22:59 - 2016-12-14 22:59 - 0000000 ____H () C:\ProgramData\DP45977C.lfl Task: {0ED44815-4413-4880-8EEE-AAED316739CC} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION Task: {1838A670-7BE9-4C85-93DF-C35EBFF8913C} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION Task: {465C5BBD-04DF-482D-8C21-6D34AFA9D265} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION Task: {4AE5DD7C-2169-413D-A917-F1D6C3E25D69} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION Task: {67CD1203-390F-4569-8011-B55C6E95FC0D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION Task: {718C8C0C-F111-4367-853D-0DA194D37818} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION Task: {780F45D5-D9C4-47D3-9D43-BF649B34FCC8} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION Task: {8D482BA1-58C0-4892-9AB7-B871E2FDB72C} - \WPD\SqmUpload_S-1-5-21-2802657588-986218442-199930120-1001 -> No File <==== ATTENTION Task: {98482AA3-4CC7-4E39-8D74-F57E801CE3F3} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION Task: {B492787E-F04D-4F34-BCB6-216DBFAC4B85} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION Task: {C35528DA-E2D8-4774-A62A-534938EEA0A5} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION Task: {F1FDEA34-2BBE-4AD8-951E-C5A880F75061} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION Task: {F85F311F-CEF9-4AC2-B64A-AE60A44FA783} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [152] AlternateDataStreams: C:\ProgramData\TEMP:BF3D62E7 [374] AlternateDataStreams: C:\Users\Все пользователи\TEMP:07BF512B [152] AlternateDataStreams: C:\Users\Все пользователи\TEMP:BF3D62E7 [374] CMD: net share Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Исполнено, лог прикрепляю
Человек, как сказано, имеет свободу воли. Значит, он имеет право и на дурость. Чем, понятно, пользуется ого-го как часто.
Обратите внимание у Вас расшарен каталог C:\Users :
Уточните пожалуйста в этом каталоге образуются вредоносные архивы?Код:========= net share ========= Users C:\Users ========= End of CMD: =========
P.S. Пробуйте закрыть расшаренный каталог.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Нет, не образуются, но общий доступ убрал.
Просканировал перед сном сетевой диск, он убрал файлы. Но сейчас там опять info.zip
Последний раз редактировалось rikinaru; 09.04.2017 в 12:30.
Человек, как сказано, имеет свободу воли. Значит, он имеет право и на дурость. Чем, понятно, пользуется ого-го как часто.
- Покажите лог TDSSKiller
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Прикладываю
Человек, как сказано, имеет свободу воли. Значит, он имеет право и на дурость. Чем, понятно, пользуется ого-го как часто.
Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Выполнил, прилагаю результат
Человек, как сказано, имеет свободу воли. Значит, он имеет право и на дурость. Чем, понятно, пользуется ого-го как часто.
Уточните перед возникновением проблемы, вставляете какие-то стороние флэшки?
Сделайте лог полного сканирования МВАМ
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Прилагаю лог
Я так же просканировал проблемный архив info.zip Касперским и этой программой, но они не видят в нем угрозы. Внутри архива файл - information.vbe.
Мне думается, может просто поудалять эти архивы. Photo.scr больше не появляется.
Человек, как сказано, имеет свободу воли. Значит, он имеет право и на дурость. Чем, понятно, пользуется ого-го как часто.
Приложите в карантин info.zip для анализа.
Удалите MBAM через установку программ в панели управления
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Не могу найти теперь эти info.zip, но photo.scr вернулся. Надеюсь, я правильно его завернул в карантин и архив с паролем.
Malwarebytes говорит, что это "PUP.Optional.BitCoinMiner"
Человек, как сказано, имеет свободу воли. Значит, он имеет право и на дурость. Чем, понятно, пользуется ого-го как часто.
Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Прошу
Человек, как сказано, имеет свободу воли. Значит, он имеет право и на дурость. Чем, понятно, пользуется ого-го как часто.
Выполните скрипт в uVS:
Пробуйте отклбючит ПК от сети на день и не вставлять флэшку, проблема проявляется в этом случае?Код:;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v385c OFFSGNSAVE BREG delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHDOKIEJNPIMAKEDHAJHDLCEGEPLIOAHD%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CHROME.GOOGLE.COM/WEBSTORE/DETAIL/FHOIBNPONJCGJGCNFACEKAIJDBBPLHIB delref HTTPS://YANDEX.RU/SEARCH/?TEXT={SEARCHTERMS}&CLID=2233627 restart
P.S. В логах не заметил этих файлов.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\frst\photo.scr - Trojan.Win32.Agentb.btdr ( BitDefender: Trojan.GenericKD.3039704 )
Уважаемый(ая) rikinaru, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
