Показано с 1 по 19 из 19.

Windiws 7 заражена Trojan-Dowenloader.Win32 Autolt.q (заявка № 219419)

  1. #1
    Junior Member Репутация
    Регистрация
    23.06.2018
    Сообщений
    9
    Вес репутации
    2

    Windiws 7 заражена Trojan-Dowenloader.Win32 Autolt.q

    Здравствуйте! У меня на ноуте и компьютере завелся зловред. Сканировал систему с помощью AVZ утилиты, она выдает подозрение на Trojan-Dowenloader.Win32 Autolt.q. Пытался чистить с помощью Dr.Web Live Disk. удоляет несколько файлов , а при старте системы троян возвращается. Пробовал ставить на компьютер антивирус Grizzly Pro, он выдает детект в виде Trojan.Win32.Web Shell.fcuswx. Отсюда видно что троян написан на Unix подобном языке и простое удаление не поможетю. Пробовал делать низкоуровневое форматирование с извлечением карты памяти, c обнулением BIOS, извлекая батарейку питания. У меня есть подозрения на саму Windows 7, так как покупал ее давно в магазине. На коробке написана " Ограничения активации" Распространение и обязательная активация должны осуществляться в пределах Содружества Независимых Государст и Грузии" , еще настораживает что систему можно поставить на любой компьютер и активация проходит без проблем. Подскажите, что с этой пакостью можно сделать,чтобы ее канкретно победить? На всякий случай сделал Log файлы и прикрепляю к сообщению.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,469
    Вес репутации
    349
    Уважаемый(ая) Nikolay101, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    11,005
    Вес репутации
    268
    - Подготовьте лог AdwCleaner и приложите его в теме.
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  5. #4
    Junior Member Репутация
    Регистрация
    23.06.2018
    Сообщений
    9
    Вес репутации
    2
    Здравствуйте! Извините что не сразу отвечаю, очень загруженная неделя выдалась. Высылаю Log
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    11,005
    Вес репутации
    268
    - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    • Нажмите кнопку Scan.
    • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
    • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  7. #6
    Junior Member Репутация
    Регистрация
    23.06.2018
    Сообщений
    9
    Вес репутации
    2
    Высылаю все логи программы.

    - - - - -Добавлено - - - - -
    Вложения Вложения
    Последний раз редактировалось Nikolay101; 02.07.2018 в 04:04.

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    11,005
    Вес репутации
    268
    • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
      Код:
      CreateRestorePoint:
      CloseProcesses:
      File: C:\Windows\System32\wbem\WMIADAP.exe
      Task: {65CDA04E-648C-4A97-8D33-33C6A5CCEA8D} - no filepath
      Reboot:
    • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
    • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.


    Обратите внимание, что логируются аппаратные проблемы с диском.
    Код:
    Error: (06/29/2018 01:09:43 PM) (Source: Disk) (EventID: 11) (User: )
    Description: Драйвер обнаружил ошибку контроллера \Device\Harddisk1\DR1.
    
    Error: (06/29/2018 01:09:43 PM) (Source: Disk) (EventID: 11) (User: )
    Description: Драйвер обнаружил ошибку контроллера \Device\Harddisk1\DR1.
    
    Error: (06/29/2018 01:09:42 PM) (Source: Disk) (EventID: 11) (User: )
    Description: Драйвер обнаружил ошибку контроллера \Device\Harddisk1\DR1.
    
    Error: (06/29/2018 01:09:41 PM) (Source: Disk) (EventID: 11) (User: )
    Description: Драйвер обнаружил ошибку контроллера \Device\Harddisk1\DR1.
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  9. #8
    Junior Member Репутация
    Регистрация
    23.06.2018
    Сообщений
    9
    Вес репутации
    2
    Здравствуйте! Высылаю следующий LOG. На счет ошибок контролеров , на ноутбуке стоит Windows 7 со стандартными драйверами из коробки. Я пока не вижу смысла ставить все драйвера, мало ли придется переустанавливать. На втором компе сделал зачистку жесткого диска Actide@KillDisk и под Dos строкой в Hex редакторе просматривал сектора диска, в 0, 1 (в начале и конце остаются дорожки байтров), 6( копируются байты до BOOT загрузчика), 32 секторе (в конце прописаны байты), по сути такого не должно оставаться после низкоуровневого форматирования. В интернете скачал книгу от Касперского про вирусы, стал повышать уровень знаний. В книге сказано, что некие виды троянов могут переносится даже на записанных компакт дисках, добавляя себя поверх записи диска. KillDisk записан на CD-RW, вполне вероятно что на диске еще и прописался паразит. Если нужно будет я пришлю и Log Hex редактора.
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    11,005
    Вес репутации
    268
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  11. #10
    Junior Member Репутация
    Регистрация
    23.06.2018
    Сообщений
    9
    Вес репутации
    2
    Здравствуйте! Вот новый лог автозапуска
    Вложения Вложения

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    11,005
    Вес репутации
    268
    Выполните скрипт в uVS:
    Код:
    ;uVS v4.0.11 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    OFFSGNSAVE
    BREG
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
    delref %SystemDrive%\USERS\WARMEN\APPDATA\LOCAL\TEMP\24CEFE9B.SYS
    delref %SystemDrive%\USERS\WARMEN\APPDATA\LOCAL\TEMP\C5996D02-8AC04A12-84E7FA52-9FE7EAB6\232A962B.SYS
    restart
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  13. #12
    Junior Member Репутация
    Регистрация
    23.06.2018
    Сообщений
    9
    Вес репутации
    2
    Здравствуйте! Прикрепляю следующий LOG. После применения скрипта из автозапуска выгрузился psxss.exe.
    Я посмотрел в менеджере автозаруска программы AVZ и обнаружил, что остается ветка реестра
    C\Windows\system32\psxss.exe
    WoW\Boot progman.exe

    В модуле пространстве ядра остаются файлы по адресу
    C\Windows\system32\Drivers\damp_dumpata.sys
    \damp_dumpfve.sys
    \damp_msahci.sys
    В Диспетчере процессов около 125 PID процессов отмечены красным цветом без всякого описания и без видимых окон, выгрузить не получается из памяти.
    При повторном сканировании AVZ выдает следующее сообщение
    Ядро ntkrnlpa.exe обнаружено в памяти по адресу 8283E000 (участки памяти не статичны)
    SDT=829A69C0
    KiST=828AD030 (401)
    Далее поднимаются все не известные процессы красного цвета. С помощью программы FAR заглянул в файлы Карзины, там лежат несколько файлов с расширением temp. До этого пробовал удалять с помощью Live CD Disk все файлы dump, карзины и еще некоторые, неопознанных процессов становилось меньше но все без успешно.
    Похоже эта пакость очень сильно сопряжена с ядром системы.
    Вложения Вложения

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    11,005
    Вес репутации
    268
    Это нормальное поведение AVZ. Покажите пожалуйста результат следующей команды в командной строке (cmd.exe):
    Код:
    sfc /scannow
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  15. #14
    Junior Member Репутация
    Регистрация
    23.06.2018
    Сообщений
    9
    Вес репутации
    2
    Здравствуйте! После ввода команды ноут выдает следующее: "Защита ресурсов Windows не обнаружила нарушений целостности".
    Я до этого отключил во вкладке защита системы восстановление на всех дисках. Нужно ли присылать LOG из C:\Windows\Logs\CBS\CBS.log ?

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    11,005
    Вес репутации
    268
    Нет, уточните пожалуйста, что с проблемой?
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  17. #16
    Junior Member Репутация
    Регистрация
    23.06.2018
    Сообщений
    9
    Вес репутации
    2
    Здравствуйте! Меня интересует можно ли закрыть такую утечку простым плагином вроде https Everywhere. Если нет то удалите сообщение.
    Благодарю за понимание и поддержку.

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    11,005
    Вес репутации
    268
    Цитата Сообщение от Nikolay101 Посмотреть сообщение
    Здравствуйте! Меня интересует можно ли закрыть такую утечку простым плагином вроде https Everywhere. Если нет то удалите сообщение.
    Благодарю за понимание и поддержку.
    Уточните пожалуйста, о какой утечки идет речь?
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  19. #18
    Junior Member Репутация
    Регистрация
    23.06.2018
    Сообщений
    9
    Вес репутации
    2
    Здравствуйте! О утечке нешифровоного трафика HTTP

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    11,005
    Вес репутации
    268
    Https соединение/трафик может защитить только от так называемых атак по середине (клиент<->сервер). Но однако встраечаются случае, когда перехватывают и зашифрованный трафик, например когда на одном из концов имеется вредоносное ПО или злоумышлиннику известен приватный ключ.
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

Похожие темы

  1. Подозрение на Trojan-Dowloader.Win32.Autolt.q
    От ЯночкаЯ в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 05.03.2017, 10:57
  2. Подозрение на Trojan-Downloader.Win32.Autolt.q
    От k_leo в разделе Помогите!
    Ответов: 9
    Последнее сообщение: 10.03.2016, 16:29
  3. Ответов: 5
    Последнее сообщение: 29.04.2012, 05:51
  4. Заблокирован Windiws
    От men andreyka в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 25.06.2010, 15:32
  5. autolt:Balero-c[wrm]
    От razer в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 16.12.2009, 19:58

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01382 seconds with 18 queries