Страница 2 из 2 Первая 12
Показано с 21 по 33 из 33.

Помогите добить майнер :) [Trojan-Banker.Win32.Banbra.wojq, Trojan.BAT.Agent.bbf] (заявка № 220761)

  1. #21
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    12,843
    Вес репутации
    327
    • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
      Код:
      CreateRestorePoint:
      Zip:c:\windows\web\c3.bat
      Folder: c:\windows\web
      c:\windows\web\c3.bat
      c:\windows\web\n.VBS
    • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
    • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!



    На рабочем столе образуется карантин вида <date>.zip загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  2. Это понравилось:


  3. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  4. #22
    Junior Member Репутация
    Регистрация
    02.11.2018
    Сообщений
    33
    Вес репутации
    26
    Готово.

    Карантин не загрузился:
    "Результат загрузки
    Ошибка загрузки. Данный файл уже был загружен"

    Изменить имя архива на минуту позже?

  5. #23
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    12,843
    Вес репутации
    327
    карантин пустой, пробуйте загрузиться в нормальный режим. Также пройдитесь утилитой KVRT, только после того как установите обновления.
    Код:
    "c:\windows\web\c3.bat" => not found
    Сообщите по окончанию, что с проблемой?
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  6. Это понравилось:


  7. #24
    Junior Member Репутация
    Регистрация
    02.11.2018
    Сообщений
    33
    Вес репутации
    26
    Спасибо большое заранее, за Ваше потраченное время. Сначала пробегусь ещё раз вручную по реестру и попробую без подключения к сети запустить обновления. Отпишусь по результатам.

    - - - - -Добавлено - - - - -

    Прошёлся по автозагрузке в реестре - всё ок
    Прогнал cureit - удалил downloader'ов
    Вложение 674741
    Прогнал KVRT - кроме вирусов в архиве нашёл какой-то в корзине
    Вложение 674742
    Прогнал ещё раз Вашими утилитами, ничего подозрительного не увидел.

    После этого загрузился с отключенной витой парой от сетевой, запустил обновление kb4012212, всё ок, перезагрузился. kb4012215 не установилось, выдало ошибку, что не подходит для моего ПК, хотят качал аналогично как и kb4012212 для Win7 x64. Загрузился в БР (безопасном режиме), подключил инет, скачал демо-версию касперского, из БР он не ставится, загрузился с отключенным инетом в обычном режиме, без инета он не устанавливается, подключил, всё время мониторил диспетчер задач, все было ок, на середине загрузки касперский выдал ошибку, что установка не может быть продолжена и что на компьютере вирусы. Перезагрузился и всё по новой... Винду сносить не поможет? Уже готов на такие радикальные меры, хоть и считаю это неправильным.

    - - - - -Добавлено - - - - -

    В общем, почистил опять всё, чтобы не мешало запускаться нормально, при запуске убил conhost, запустил KVRT. В итоге был найден и вылечен MEM:Rootkit.Win64.DarkGalaxy.a
    Сейчас касперский ещё прогоняет дальше после перезагрузки ПК, но никакие левые процессы уже не грузились и проблемные папки тоже без зловредов. Поэтому огромное Вам ещё раз спасибо. Завтра точно уже сообщу результаты и можно закрывать тему.

    - - - - -Добавлено - - - - -

    Всё, тему можно закрывать. Проблем больше нет, касперский тоже установился. Огромное Вам спасибо за оперативное решение!

  8. #25
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    12,843
    Вес репутации
    327
    Отлично, скорее всего из-за MEM:Rootkit.Win64.DarkGalaxy.a прооблема возращалась, так как он находится в загрузочном секторе.

    В завершение:
    1.
    • Пожалуйста, запустите adwcleaner.exe
    • В меню Настройки - Удалить AdwCleaner - выберите Удалить.
    • Подтвердите удаление, нажав кнопку: Да.


    Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
    Компьютер перезагрузится.

    Остальные утилиты лечения и папки можно просто удалить.
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  9. Это понравилось:


  10. #26
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    983

    =C8=F2=EE=E3 =EB=E5=F7=E5=ED=E8=FF

    =D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
    =E5=F7=E5=ED=E8=FF:
    • =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 3
    • =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 20
    • =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
      =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
      1. c:\windows\debug\item.dat - HEUR:Trojan.Win32.DiskWriter.gen=
        ( AVAST4: Win32:Trojan-gen )
      2. c:\windows\syswow64\drivers\64.exe - not-a-virus:RiskTool.W=
        in32.BitCoinMiner.jubw
        ( AVAST4: Win32:Malware-gen )
      3. c:\windows\temp\conhost.exe - Trojan.Win64.Miner.ijc ( A=
        VAST4: Win32:Trojan-gen )
      4. c:\windows\update.exe - HEUR:Trojan.Win32.DiskWriter.gen =
        ( AVAST4: Win32:Malware-gen )
      5. \update.exe - HEUR:Trojan.Win32.DiskWriter.gen ( AVAST4: W=
        in32:Malware-gen )
      6. \zoo\msief.exe._a2fe663fa3f62136abab63694caa4ff15a df704a - Tr=
        ojan-Banker.Win32.Banbra.wojq

  11. Это понравилось:


  12. #27
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    12,843
    Вес репутации
    327
    Цитата Сообщение от sTeeL42rus Посмотреть сообщение
    В итоге был найден и вылечен MEM:Rootkit.Win64.DarkGalaxy.a
    Уточните пожалуйста, проблема случайно не возвращалась?
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  13. Это понравилось:


  14. #28
    Junior Member Репутация
    Регистрация
    02.11.2018
    Сообщений
    33
    Вес репутации
    26
    Цитата Сообщение от SQ Посмотреть сообщение
    Уточните пожалуйста, проблема случайно не возвращалась?
    Добрый вечер. Нет, сейчас всё нормально.

  15. #29
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    12,843
    Вес репутации
    327
    Если проблема вернется то подготовьте лог uVS с загрузочного диска https://chklst.ru/discussion/61/winpe-uvs
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  16. Это понравилось:


  17. #30
    Junior Member Репутация
    Регистрация
    02.11.2018
    Сообщений
    33
    Вес репутации
    26
    Цитата Сообщение от SQ Посмотреть сообщение
    Если проблема вернется то подготовьте лог uVS с загрузочного диска https://chklst.ru/discussion/61/winpe-uvs
    Хорошо. Есть какие-то подозрения, что может вернуться?

  18. #31
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    12,843
    Вес репутации
    327
    Цитата Сообщение от sTeeL42rus Посмотреть сообщение
    Хорошо. Есть какие-то подозрения, что может вернуться?
    Дело в том, что mem означает, что угрозу нашел в памяти, а обычно эта угроза назодится в загрузочном секторе и его можно выловить, только загрузившись с помощью загрузочного диска winpe.

    Код:
    MEM:Rootkit.Win64.DarkGalaxy.a
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  19. Это понравилось:


  20. #32
    Junior Member Репутация
    Регистрация
    02.11.2018
    Сообщений
    33
    Вес репутации
    26
    Цитата Сообщение от SQ Посмотреть сообщение
    Дело в том, что mem означает, что угрозу нашел в памяти, а обычно эта угроза назодится в загрузочном секторе и его можно выловить, только загрузившись с помощью загрузочного диска winpe.

    Код:
    MEM:Rootkit.Win64.DarkGalaxy.a
    Когда KVRT пытался его вылечить, то отправил ПК в ребут и запросил разрешения на действия до входа в пользователя (с помощью контроля учётных записей). Есть шанс, что он мог справиться самостоятельно? Если маловероятно, то я могу загрузиться с winpe, но это ближе к концу недели. Пока я вообще запретил запуск .exe через папку Temp.
    Temp.png

  21. #33
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    12,843
    Вес репутации
    327
    Было бы не плохо убедиться, что вредоносного ПО не осталось в загрузочном секторе. Так сказать наверняка не могу, что KVRT справился или нет.
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  22. Это понравилось:


Страница 2 из 2 Первая 12

Похожие темы

  1. Помогите добить зловреда
    От Big J в разделе Помогите!
    Ответов: 19
    Последнее сообщение: 08.12.2011, 23:56
  2. помогите добить
    От Vano1980 в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 29.03.2011, 02:48
  3. Помогите добить
    От Е.Ш. в разделе Помогите!
    Ответов: 8
    Последнее сообщение: 03.07.2009, 16:39
  4. Помогите добить
    От alex_ в разделе Помогите!
    Ответов: 11
    Последнее сообщение: 19.02.2009, 21:26
  5. Помогите добить WinCtrl32.dll
    От Dexer в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 11.12.2008, 05:37

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01620 seconds with 19 queries