Показано с 1 по 10 из 10.

Видимо троян. Прошу помощи. [Trojan.Win32.StartPage.fsgi, not-a-virus:RiskTool.Win32.GlobalUpdate.dx ] (заявка № 191546)

  1. #1
    Junior Member (OID) Репутация
    Регистрация
    20.10.2015
    Сообщений
    8
    Вес репутации
    8

    Видимо троян. Прошу помощи. [Trojan.Win32.StartPage.fsgi, not-a-virus:RiskTool.Win32.GlobalUpdate.dx ]

    Здравствуйте.
    На школьный компьютер в классе дочери занесли какую-то заразу.
    Троян подменяет линки в ярлыках браузеров на свои, которые ведут на батники, расположенные в папке C:\ProgramData
    KRD нашёл 24 файла с AdWare, но проблема осталась.
    Подчистка вручную не помогла, потому что что-то постоянно создает задачи в планировщике, которые видимо и запускают трояна.
    Ручное отключение задач в планировщике не помогает, после ребута всё повторяется. Во вложенных логах видно.
    ОС Win 10 x64, поэтому п.1 инструкции не выполнялся, вложения два.
    Очень надеюсь на помощь, классный руководитель расстроена((


    virusinfo_syscheck.zip

    hijackthis.log
    Последний раз редактировалось Василий Данюк; 20.10.2015 в 16:39.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,461
    Вес репутации
    342
    Уважаемый(ая) Василий Данюк, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member (OID) Репутация
    Регистрация
    20.10.2015
    Сообщений
    8
    Вес репутации
    8
    Да, еще, если важно...
    Даже если запустить Хром из его рабочей папки, сам ехешник без параметров, то единожды при клике в любой области окна открывается ещё одно (не вкладка) с рекламой.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,590
    Вес репутации
    836
    Выполните скрипт в AVZ:
    Код:
    begin
     SetServiceStart('contentdefenderdrv', 4);
     StopService('HHandler Service');
     StopService('ContentDefender');
     StopService('globalUpdatem');
     StopService('globalUpdate');
     QuarantineFile('C:\Program Files (x86)\HP Defender\HHandler.exe', '');
     QuarantineFile('C:\Program Files\Content Defender\ContentDefender.exe', '');
     QuarantineFile('C:\WINDOWS\system32\drivers\contentdefenderdrv.sys', '');
     QuarantineFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe', '');
     DeleteFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe', '32');
     DeleteFile('C:\WINDOWS\system32\drivers\contentdefenderdrv.sys', '32');
     DeleteFile('C:\ProgramData\vzL\HgLIgw0.bat', '32');
     DeleteFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe', '32');
     DeleteFile('C:\WINDOWS\Tasks\04aa17d4-99a1-4c18-98f6-287c91af2617-1-6.job', '32');
     DeleteFile('C:\WINDOWS\Tasks\04aa17d4-99a1-4c18-98f6-287c91af2617-1-7.job', '32');
     DeleteFile('C:\WINDOWS\Tasks\04aa17d4-99a1-4c18-98f6-287c91af2617-10_user.job', '32');
     DeleteFile('C:\WINDOWS\Tasks\04aa17d4-99a1-4c18-98f6-287c91af2617-11.job', '32');
     DeleteFile('C:\WINDOWS\Tasks\04aa17d4-99a1-4c18-98f6-287c91af2617-5.job', '32');
     DeleteFile('C:\WINDOWS\Tasks\04aa17d4-99a1-4c18-98f6-287c91af2617-5_user.job', '32');
     DeleteFile('C:\WINDOWS\Tasks\710add05-1deb-49ad-b51b-9449f30561f6-1-6.job', '32');
     DeleteFile('C:\WINDOWS\Tasks\710add05-1deb-49ad-b51b-9449f30561f6-1-7.job', '32');
     DeleteFile('C:\WINDOWS\Tasks\710add05-1deb-49ad-b51b-9449f30561f6-10_user.job', '32');
     DeleteFile('C:\WINDOWS\Tasks\710add05-1deb-49ad-b51b-9449f30561f6-11.job', '32');
     DeleteFile('C:\WINDOWS\Tasks\710add05-1deb-49ad-b51b-9449f30561f6-5.job', '32');
     DeleteFile('C:\WINDOWS\Tasks\710add05-1deb-49ad-b51b-9449f30561f6-5_user.job', '32');
     DeleteFile('C:\WINDOWS\Tasks\aedca078-77f9-4ef1-a564-d8b197ab2139-1-6.job', '32');
     DeleteFile('C:\WINDOWS\Tasks\aedca078-77f9-4ef1-a564-d8b197ab2139-1-7.job', '32');
     DeleteFile('C:\WINDOWS\Tasks\aedca078-77f9-4ef1-a564-d8b197ab2139-10_user.job', '32');
     DeleteFile('C:\WINDOWS\Tasks\aedca078-77f9-4ef1-a564-d8b197ab2139-11.job', '32');
     DeleteFile('C:\WINDOWS\Tasks\aedca078-77f9-4ef1-a564-d8b197ab2139-5.job', '32');
     DeleteFile('C:\WINDOWS\Tasks\aedca078-77f9-4ef1-a564-d8b197ab2139-5_user.job', '32');
     DeleteFile('C:\WINDOWS\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-1-6.job', '32');
     DeleteFile('C:\WINDOWS\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-1-7.job', '32');
     DeleteFile('C:\WINDOWS\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-10_user.job', '32');
     DeleteFile('C:\WINDOWS\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-11.job', '32');
     DeleteFile('C:\WINDOWS\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-5.job', '32');
     DeleteFile('C:\WINDOWS\Tasks\c3961c62-1963-4aee-a1b9-47aa7e455440-5_user.job', '32');
     DeleteFile('C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineCore.job', '32');
     DeleteFile('C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineUA.job', '32');
     DeleteFile('C:\WINDOWS\Tasks\temp_aedca078-77f9-4ef1-a564-d8b197ab2139-1-6.job', '32');
     DeleteFile('C:\Program Files\Content Defender\ContentDefender.exe', '32');
     DeleteFile('C:\Program Files (x86)\HP Defender\HHandler.exe', '32');
     DeleteService('HHandler Service');
     DeleteService('ContentDefender');
     DeleteService('contentdefenderdrv');
     DeleteService('WdsManPro');
     DeleteService('globalUpdatem');
     DeleteService('globalUpdate');
     DeleteFileMask('C:\Program Files\Content Defender', '*', true);
     DeleteFileMask('C:\Program Files (x86)\HP Defender', '*', true);
     DeleteFileMask('C:\Program Files (x86)\globalUpdate', '*', true);
     DeleteDirectory('C:\Program Files\Content Defender');
     DeleteDirectory('C:\Program Files (x86)\HP Defender');
     DeleteDirectory('C:\Program Files (x86)\globalUpdate');
     ExecuteFile('schtasks.exe', '/delete /TN "04aa17d4-99a1-4c18-98f6-287c91af2617-1-6" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "04aa17d4-99a1-4c18-98f6-287c91af2617-1-7" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "04aa17d4-99a1-4c18-98f6-287c91af2617-11" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "04aa17d4-99a1-4c18-98f6-287c91af2617-5" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "710add05-1deb-49ad-b51b-9449f30561f6-1-6" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "710add05-1deb-49ad-b51b-9449f30561f6-1-7" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "710add05-1deb-49ad-b51b-9449f30561f6-11" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "710add05-1deb-49ad-b51b-9449f30561f6-5" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "aedca078-77f9-4ef1-a564-d8b197ab2139-1-6" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "aedca078-77f9-4ef1-a564-d8b197ab2139-1-7" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "aedca078-77f9-4ef1-a564-d8b197ab2139-11" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "aedca078-77f9-4ef1-a564-d8b197ab2139-5" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "c3961c62-1963-4aee-a1b9-47aa7e455440-1-6" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "c3961c62-1963-4aee-a1b9-47aa7e455440-1-7" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "c3961c62-1963-4aee-a1b9-47aa7e455440-11" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "c3961c62-1963-4aee-a1b9-47aa7e455440-5" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "globalUpdateUpdateTaskMachineCore" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "globalUpdateUpdateTaskMachineUA" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "temp_aedca078-77f9-4ef1-a564-d8b197ab2139-1-6" /F', 0, 15000, true);
    ExecuteSysClean;
     ExecuteWizard('SCU', 2, 2, true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Выполните в AVZ скрипт:
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

    Сделайте лог AdwCleaner (by Xplode).

    Сделайте лог Check Browsers' LNK.
    WBR,
    Vadim

  6. Это понравилось:


  7. #5
    Junior Member (OID) Репутация
    Регистрация
    20.10.2015
    Сообщений
    8
    Вес репутации
    8
    Спасибо, что не прошли мимо. Карантин отправил, логи во вложении.

    Check_Browsers_LNK.log

    AdwCleaner[S1].txt

    virusinfo_syscheck.zip

  8. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,590
    Вес репутации
    836
    Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

    Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
    После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C1].txt, прикрепите к своему следующему сообщению.
    Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.
    WBR,
    Vadim

  9. Это понравилось:


  10. #7
    Junior Member (OID) Репутация
    Регистрация
    20.10.2015
    Сообщений
    8
    Вес репутации
    8
    Спасибо, выглядит всё нормально, проблемы себя не проявляют.

    ClearLNK-22.10.2015_15-53.log

    AdwCleaner[C1].txt

  11. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    26,590
    Вес репутации
    836
    Запустите AdwCleaner и нажмите Деинсталлировать (Uninstall).

    Выполните рекомендации после лечения.
    WBR,
    Vadim

  12. Это понравилось:


  13. #9
    Junior Member (OID) Репутация
    Регистрация
    20.10.2015
    Сообщений
    8
    Вес репутации
    8
    Исполнено!) Благодарю!

  14. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 4
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\program files (x86)\globalupdate\update\globalupdate.exe - not-a-virus:RiskTool.Win32.GlobalUpdate.dx
      2. c:\program files (x86)\hp defender\hhandler.exe - Trojan.Win32.StartPage.fsgi ( AVAST4: Win32:Malware-gen )
      3. c:\program files\content defender\contentdefender.exe - not-a-virus:RiskTool.Win64.NetFilter.o
      4. c:\windows\system32\drivers\contentdefenderdrv.sys - not-a-virus:RiskTool.Win64.NetFilter.o


  • Уважаемый(ая) Василий Данюк, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 2
      Последнее сообщение: 14.10.2015, 21:40
    2. Ответов: 2
      Последнее сообщение: 29.12.2012, 20:11
    3. Пробрался на комп троян, прошу помощи
      От Daemon66 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 10.01.2012, 22:43
    4. Троян Carberp, прошу помощи
      От Riz в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 28.11.2011, 21:07
    5. Прошу помощи троян Pandex
      От foboss в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 08:39

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00014 seconds with 17 queries