-
Junior Member
- Вес репутации
- 39
HEUR:Trojan.Script.Generic [not-a-virus:RiskTool.Win32.BitCoinMiner.frk
]
Друг словил вирус.
При загрузке системы выскакивает ошибка
Windows Script Host
Сценарий: C:\Users\Иван\AppData\Roaming\Windows\Иван.vbs
Код: 800С005
Источник: msxml3.dll
Далее. В тырнете вычитано, что вирус встраивается в станицу и потом как-то себя маскирует.
При попытке попасть на сайт Вконтакте открывается ложная страница (с правильным адресом, а то что она ложная тоже выяснено в сети).
После попытки авторизоваться происходит редирект на http://vk.com/validate_profile.
На страже стоит KIS13. Эту страницу он блокирует с сообщением HEUR:Trojan.Script.Generic. Больше никаких данных об угрозе не сообщает. Полная проверка в хардкор режиме ничего не выявляет.
Браузеры переустанавливали, кукисы чистили.
Если вырубить Каспера, то после авторизации открывается страница с подозрением на то, что страницу взломали и просят ввести свой номер для ее восстановления (все эти страницы точные копии официальных и в адресной строке прописаны правильные url). Рисковать не стали, поскольку на одном форуме кто-то писал, что после ввода своего номера у него списали деньги со счета, да и к тому же с других устройств профиль vk функционирует без подозрений.
Логи avz, HiJackThis и на всякий случай MBAM прикладываю.
Помогите, пожалуйста!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) addrss, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ (как выполнить):
Код:
begin
ClearQuarantine;
QuarantineFile('C:\Users\Иван\appdata\roaming\windows\x64\explorer.exe','');
QuarantineFile('C:\Users\Иван\AppData\Roaming\Windows\Иван.vbs','');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
DeleteFile('C:\Users\Иван\AppData\Roaming\Windows\Иван.vbs','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Explorer');
DeleteFile('C:\Users\Иван\appdata\roaming\windows\x64\explorer.exe','32');
ExecuteSysClean;
ExecuteRepair(21);
ExecuteWizard('SCU',2,2,true);
RebootWindows(true);
end.
Компьютер перезагрузится.
Загрузите quarantine.zip из папки AVZ по красной ссылке "Прислать запрошенный карантин" в шапке этой темы.
Выполните скрипт в AVZ отсюда (скопируйте там весь текст):
http://dataforce.ru/~kad/ScanVuln.txt
Если будут найдены уязвимости, в папке AVZ\LOG появится файл avz_log.txt. Приложите его в теме.
Затем откройте его в блокноте, пройдите по всем ссылкам и установите указанные там обновления.
Перезагрузите компьютер, выполните еще раз этот скрипт и убедитесь, что обновления установились.
Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела "Диагностика" правил) и приложите в теме.
-
-
Junior Member
- Вес репутации
- 39
карантин отправил, уязвимости устранил
Новые логи:
Вложение 452711
Вложение 452712
-
Посмотрите размер и содержимое папок
Код:
C:\Users\Иван\AppData\Roaming\Windows\x64
C:\Users\Иван\AppData\Roaming\Windows\x86
+ - Проведите процедуру, которая описана тут. Ссылку на результат проверки напишите в сообщении здесь.
-
-
Junior Member
- Вес репутации
- 39
Ссылка на результат проверки: http://virusinfo.info/virusdetector/...C0A225B3EBC3C6
Сделал что вы сказали. Не понятно что конкретно значит "посмотрите размер и содержимое папок"
Последний раз редактировалось addrss; 21.12.2013 в 16:07.
-
Сообщение от
addrss
Не понятно что конкретно значит "посмотрите размер и содержимое папок"
размер это значит сколько места на диске они занимают?
а содержимое, что в них находится?
- - - Добавлено - - -
Если не очень много занимают места, то
Заархивируйте в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.
-
-
Junior Member
- Вес репутации
- 39
отправил zip архив с указанными папками.
-
Удалите обе эти папки вручную.
Что с проблемой?
И еще на всякий случай,
Сделайте логи RSIT (как сделать)и приложите.
-
-
Junior Member
- Вес репутации
- 39
Все! Проблема устранена. Огромное спасибо вашей команде, за помощь! Вы делаете важную и нужную работу, а главное делаете её профессионально, что достаточно редкое явление! Успехов и развития вам!
Последний раз редактировалось addrss; 21.12.2013 в 21:10.
-
Выполните скрипт в AVZ (как выполнить):
Код:
begin
ExecuteRepair(21);
ExecuteWizard('SCU',2,2,true);
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте заново логи RSIT (как сделать)и приложите.
Сделайте заново лог virusinfo_syscheck.zip (пункт 2 раздела "Диагностика" правил) и приложите в теме.
-
-
Junior Member
- Вес репутации
- 39
-
деинсталируйте MBAM
Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
-
-
Junior Member
- Вес репутации
- 39
Сделал все как вы сказали. Выполнение скрипта дало такой результат: Вложение 453138
-
устраняйте уязвимость 
.
- - - Добавлено - - -
Советы и рекомендации после лечения компьютера
-
-
Junior Member
- Вес репутации
- 39
После обновления офиса всплывает такое окно с сообщением: "необходимая версия продукта на данном компьютере не найдена".
-
Junior Member
- Вес репутации
- 39
Ребята, спасибо Вам большое! Вы - команда профессионалов. Проблема устранена, тему можно закрыть.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\users\иван\appdata\roaming\windows\x64\explorer .exe - not-a-virus:RiskTool.Win64.BitCoinMiner.a ( BitDefender: Application.BitCoinMiner.BM )
- c:\users\иван\appdata\roaming\windows\иван.vbs - Trojan.VBS.Agent.qg
- \x86\explorer.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.frk ( DrWEB: Tool.BtcMine.130, BitDefender: Application.BitCoinMiner.BK )
-
