Как вылечить exe файл от трояна
#1
pnets
pnets
- Posters
- 9 Сообщений:
Newbie
Отправлено 23 Июнь 2014 — 19:55
Здравствуйте! Нужна помощь по лечению от нового трояна Trojan.Tofsee.
Как попал на компьютер неизвестно.
Сканер обнаруживает в памяти svchost.exe:3960, Угроз обнаружено 11, Угроз обезврежено 1.
После перезагрузки и повторного сканирования, тоже самое с другим номером.
При попытке проверить отдельный файл через правую клавишу в проводнике сканер не запускается.
При запуске свежего CureIt! Выдается сообщение «Отказано в доступе к указанному устройству, пути или файлу. Возможно у вас нет прав доступа к этому объекту»,
При запуске CureIt! в защищенном режиме Угроз не обнаружено.
Из перечисленных загружаемых модулей ничего не обнаружено.
Есть только файл из описания — <SYSTEM32>secupdat.dat
логи не прицепляются — Ошибка ИО, куда можно их отправить?
#2
Dr.Robot
Dr.Robot
- Helpers
- 2 714 Сообщений:
Poster
Отправлено 23 Июнь 2014 — 19:55
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ — сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
— попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
— детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
— дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.
Что НЕ нужно делать:
— лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
— переустанавливать операционную систему;
— менять расширение у зашифрованных файлов;
— очищать папки с временными файлами, а также историю браузера;
— использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из «Аптечки сисадмина» Dr. Web;
— использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Что необходимо сделать:
— прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба — это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
— собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума.
4. При возникновении проблем с интернетом, таких как «не открываются сайты», в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа «Содержание сайта заблокировано» и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig
Для этого проделайте следующее:
- Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить…
- В появившемся окне наберите cmd и нажмите клавишу . Появится черное окно консоли (интерпретатора команд).
- Напишите в этом черном окне команду ipconfig /all>»%userprofile%ipc.log» и нажмите клавишу , затем наберите там же команду explorer.exe /select,»%userprofile%ipc.log» и нажмите клавишу , нужный файл будет показан в Проводнике Windows.
- Приложите этот файл к своему сообщению на форуме.
Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.
#3
pnets
pnets
- Posters
- 9 Сообщений:
Newbie
Отправлено 24 Июнь 2014 — 05:23
DrWeb SysInfo. тоже не запускается
лог сканера
230614_221020.zip 4,63Мб
4 Скачано раз
и хайджек
hijackthis.zip 5,14К
8 Скачано раз
Сообщение было изменено pnets: 24 Июнь 2014 — 05:24
#4
AndreyKa
AndreyKa
- Posters
- 723 Сообщений:
Advanced Member
Отправлено 24 Июнь 2014 — 10:59
Пофиксите в HijackThis строки:
O4 — HKLM..Run: [Domru] «C:Documents and SettingsАдминистраторLocal SettingsApps2.0B5LZGOH7.HEKB090EGGZ.DX4domr..tion_2edef5e10e1944ec_0000.0000_cea579f3bd0306adDomru.exe» /auto
O4 — HKCU..Run: [MSConfig] «C:Documents and SettingsАдминистраторimdhjque.exe» (filesize 51003392 bytes, MD5 2A4F80C2E74276F2F1F29A194D48A276)
O4 — HKCU..Run: [agentIdentities] «C:Documents and SettingsАдминистраторApplication DataIdentitiesagentIdentities.exe» (filesize 110592 bytes, MD5 E0672EBD586533A993D9D9AA924291E4)
O4 — HKLM..PoliciesExplorerRun: [5109] C:DOCUME~1ALLUSE~1.0LOCALS~1Tempmsxqreot.scrC:DOCUME~1ALLUSE~1.0LOCALS~1Tempmsxqreot.scr
Файлы «C:Documents and SettingsАдминистраторApplication DataIdentitiesagentIdentities.exe» и «C:DOCUME~1ALLUSE~1.0LOCALS~1Tempmsxqreot.scr» отправьте тут — https://vms.drweb.com/sendvirus/
Запакуйте в архив файл «C:Documents and SettingsАдминистраторimdhjque.exe» Какой размер получился?
#5
Ivan Korolev
Ivan Korolev
- Virus Analysts
- 946 Сообщений:
Advanced Member
Отправлено 24 Июнь 2014 — 11:03
C:Documents and SettingsАдминистраторApplication DataIdentitiesagentIdentities.exe — Trojan.Packed.27884
C:Documents and SettingsАдминистраторimdhjque.exe
C:DOCUME~1ALLUSE~1.0LOCALS~1Tempmsxqreot.scrC:DOCUME~1ALLUSE~1.0LOCALS~1Tempmsxqreot.scr
Как пришлете в вирлаб, напишите тут номер тикета.
#6
pnets
pnets
- Posters
- 9 Сообщений:
Newbie
Отправлено 24 Июнь 2014 — 17:47
Пофиксил, удалил указанные файлы, перезагрузил..
при загрузке заметил в панели задач промелькнуло окно с непереводимым названием, запустил сканер — тот же троян в памяти..
снова хайджек — по тем же путям файлы с другими именами..
перезапустился в защищенном режиме, удалил файлы, почистил реестр в ExplorerRun
запустился нормально, окно не мелькало, сканер и CureIt! запускаются — Угроз не обнаружено
Спасибо за помощь!
файлы отправил, но тикеты не пришли
#7
pnets
pnets
- Posters
- 9 Сообщений:
Newbie
Отправлено 24 Июнь 2014 — 19:53
Trojan.Packed.27884
а что за троян? что делает? не нашел описания и почему сканер его как Trojan.Tofsee определяет?
#8
fetch
fetch
- Posters
- 324 Сообщений:
Member
Отправлено 24 Июнь 2014 — 21:13
Trojan.Packed.27884
а что за троян? что делает? не нашел описания и почему сканер его как Trojan.Tofsee определяет?
Предполагаю, что Tofsee сканер ловит в памяти, а образ этого файла на диске должен определяться как Trojan.Packed.
Как придут номер(а) тикета(ов) отпишите их тут, чтобы аналитики могли их оперативно обработать.
#9
pnets
pnets
- Posters
- 9 Сообщений:
Newbie
Отправлено 25 Июнь 2014 — 15:34
Ответ техподдержки
Файл agentIdentities.exe оказался новой вредоносной программой, которая добавлена в наши базы как Trojan.Inject1.43482
#10
VVS
VVS
- Moderators
- 17 585 Сообщений:
The Master
Отправлено 25 Июнь 2014 — 15:53
Ответ техподдержки
Файл agentIdentities.exe оказался новой вредоносной программой, которая добавлена в наши базы как Trojan.Inject1.43482
Судя по названию трояна и по тому, что он не был выловлен, у Вас установлена не 9-я версия DrWeb?
—
меня вот что возмутило. что даже не начинают толком диалог сразу дампы…… © alehas777
#11
pnets
pnets
- Posters
- 9 Сообщений:
Newbie
Отправлено 25 Июнь 2014 — 16:05
да еще 8ая, а 9ая ловит всех?
#12
VVS
VVS
- Moderators
- 17 585 Сообщений:
The Master
Отправлено 25 Июнь 2014 — 16:14
да еще 8ая, а 9ая ловит всех?
Инжектеров и энкодеров ловит по поведению.
—
меня вот что возмутило. что даже не начинают толком диалог сразу дампы…… © alehas777
#13
Ольгерд
Ольгерд
- Posters
- 36 Сообщений:
Newbie
Отправлено 25 Июнь 2014 — 17:11
да еще 8ая, а 9ая ловит всех?
Инжектеров и энкодеров ловит по поведению.
Извините, а что такое инжектер?
#14
VVS
VVS
- Moderators
- 17 585 Сообщений:
The Master
Отправлено 25 Июнь 2014 — 17:19
да еще 8ая, а 9ая ловит всех?
Инжектеров и энкодеров ловит по поведению.
Извините, а что такое инжектер?
Внедряется в память запущенного процесса.
—
меня вот что возмутило. что даже не начинают толком диалог сразу дампы…… © alehas777
#15
VVS
VVS
- Moderators
- 17 585 Сообщений:
The Master
Отправлено 26 Июнь 2014 — 20:54
StraNiX, номера тикетов на форуме публиковать нельзя.
—
меня вот что возмутило. что даже не начинают толком диалог сразу дампы…… © alehas777
#16
StraNiX
StraNiX
- Posters
- 72 Сообщений:
Newbie
Отправлено 26 Июнь 2014 — 21:30
Как придут номер(а) тикета(ов) отпишите их тут, чтобы аналитики могли их оперативно обработать.
номера тикетов на форуме публиковать нельзя.
Как Вас понимать?
#17
StraNiX
StraNiX
- Posters
- 72 Сообщений:
Newbie
Отправлено 26 Июнь 2014 — 21:45
Сообщение было изменено StraNiX: 26 Июнь 2014 — 21:48
#18
pig
pig
- Helpers
- 10 704 Сообщений:
Бредогенератор
Отправлено 26 Июнь 2014 — 21:46
Как придут номер(а) тикета(ов) отпишите их тут, чтобы аналитики могли их оперативно обработать.
номера тикетов на форуме публиковать нельзя.
Как Вас понимать?
Впрямую — по отношению к тикетам техподдержки.
Почтовый сервер Eserv тоже работает с Dr.Web
#19
StraNiX
StraNiX
- Posters
- 72 Сообщений:
Newbie
Отправлено 26 Июнь 2014 — 21:50
Впрямую — по отношению к тикетам техподдержки.
Всё равно не понял
#20
VVS
VVS
- Moderators
- 17 585 Сообщений:
The Master
Отправлено 26 Июнь 2014 — 22:05
Тикеты вирлаба на форуме публиковать можно.
Тикеты техподдержки на форуме публиковать нельзя.
—
меня вот что возмутило. что даже не начинают толком диалог сразу дампы…… © alehas777
Источник
Не всегда можно с легкостью обнаружить заражение компьютера, потому что киберпреступники принимают все возможные меры и техники чтобы скрыть свой код и скрыть действия своих программ на зараженном компьютере.
Проблематично выделить симптомы зараженного компьютера, так как большинство симптомов можно отнести к конфликтам оборудования или ПО, однако есть несколько вариантов, по которым можно предположить, что ваш компьютер был заражен:
- Получение сообщения об ошибке «Internet Explorer не может отобразить страницу», при попытках доступа к определенным веб-сайтам
- Ваш браузер (будь то Chrome, Opera или Safari) подвисает, застывает на время или не отвечает
- Изменяется домашняя (стартовая) страница браузера
- Заблокирован доступ к популярным сайта по безопасности (сайты антивирусов и т.п.)
- Вы попадаете совсем не на те страницы, на которые собирались войти
- Вы получаете многочисленные всплывающие сообщения в браузере
- Странные, не известные панели инструментов в верхней части браузера
- Ваш компьютер работает медленнее, чем обычно
- Ваш компьютер на время или намертво зависает
- Появляются новые иконки, вам не известные
- Компьютер перезагружается сам по себе, без предупреждений
- Получение сообщений об ошибках (говорящие что какие-либо системные файлы отсутствуют или повреждены
- Вы не можете получить доступ к панели управления, диспетчеру задач, редактору реестра или командной строке
Эта статья представляет из себя исчерпывающее руководство, с которым возможно удалить большую часть вредоносных программ, которые могут находиться на вашем компьютере.
И если у вас обнаружен любой из вышеперечисленных симптомов, то настоятельно рекомендуется следовать этому руководству, чтобы проверить и удалить любую инфекцию, что могла проникнуть на ваш компьютер.
Как удалить вирусы, вымогателей, червей, троянских коней, руткиты, кейлоггеры, дозвонщики , шпионские программы, рекламного ПО, объекты BHO и другие вредоносные программы
Некоторые виды вредоносных программ могут не позволить вам (будут блокировать все попытки) запустить описанные ниже утилиты или сканеры, пока система запущена в обычном режиме.
Если это произойдет, рекомендуем вам запустить компьютер в безопасном режиме с загрузкой сетевых драйверов и попытаться запустить сканирование оттуда. Но сперва все же попробуйте запуск системы в обычном режиме.
ШАГ 1: Удаляем все инфекции из Master Boot Record с Kaspersky TDSSKiller
Некоторые вредоносные программы, защищая себя, устанавливают руткит на зараженном компьютере, который загружается до загрузки операционной системы. Удаление таких видов руткитов и будет первым шагом. Для этого воспользуемся программой сканером TDSSKiller.
- Скачиваем последнюю актуальную версию TDSSKiller (ссылка на описание и скачивание)
- Запускаем программу, дважды щелкнув по файлу TDSSKiller.exe. Будет отображен экран приветствия и нам нужно будет нажать на «Изменить параметры»
- Выбираем пункт «Детектировать файловую систему TDLFS» и нажимаем ОК
- Далее нам надо запустить саму проверку, для чего нажимаем «Начать сканирование»
- Теперь Kaspersky TDSSKiller будет сканировать ваш компьютер на наличие вредоносных программ и инфекции
- После того как сканирование закончится TDSSKiller сообщит Вам, что найдены угрозы или же если компьютер чист, что заражений не обнаружено. Если же, что-то будет найдено, то будет подобный экран:
- Чтобы удалить инфекцию просто нажмите на кнопку «Продолжить» и TDSSKiller попытается удалить инфекцию.
ШАГ 2: Используем RKill для завершения любых вредоносных процессов
RKill это программа, которая прекращает, завершает вредоносные процессы, запущенные на вашем компьютере, так что мы сможем выполнять следующий шаг (а это сканирование и удаление), не отвлекаясь на это вредоносное ПО и его методы противодействия удалению.
Поскольку эта утилита только завершает вирусные процессы, и не удаляет сами вирусы, то не следует перезагружать компьютера, так как все вирусные программы опять загрузятся и запустятся автоматически.
- Загружаем RKill (ссылка для скачивания). Обратите внимание файл упакован в rar архив и защищен паролем (пароль архива: freeprotection). Так пришлось поступить вынужденно, так как Google, как и некоторые антивирусы, считает этот файл подозрительным. Но мы вас заверяем, что он безопасен.
Пожалуйста, обратите внимание, что мы будем использовать переименованную версию RKill, для того чтобы вредоносное ПО не пыталось блокировать эту утилиту. Так как она достаточно популярна и вирусописатели учитывают возможность её использования. (По ссылке будет автоматически загружен RKill переименованный в iexplore.exe)
- Дважды щелкайте по ярлыку RKill для его запуска
- Теперь Rkill запущен и работает в фоновом процессе, сканируя нашу систему на вредоносные процессы и автоматически завершая их. Так что наберитесь терпения, программа сообщит вам, когда закончит
- По завершению работы RKill откроет полный журнал проведенной работы в блокноте. Не перезагружайте компьютер, иначе все вирусы заново загрузятся. Переходим к следующему шагу
ШАГ 3: Удаляем троянов, и других зловредов с помощью Malwarebytes Anti-Malware FREE
Malwarebytes Anti-Malware Free использует мощную технологию для обнаружения и удаления всех видов вредоносных программ, включая червей, троянов, руткитов, дозвонщиков , шпионских программ и многих других.
- Скачайте Malwarebytes Anti-Malware Free по ссылке ниже, затем дважды щелкните на нем, чтобы установить его. Malwarebytes Anti-Malware cсылка для скачивания
- Когда начинается установка, следуйте написанным инструкциям. Не вносите изменения в настройки по умолчанию, кроме последнего окошка, уберите галочку с «Включить бесплатный тестовый период» и нажимайте кнопку «Завершить».
- После запуска, придется немного подождать, так как Ant-Malware необходимо обновить свои базы, после обновления нажмите на кнопку справа внизу «Scan Now», что означает сканировать:
- Процесс проверки системы может занять длительное время. Отвлекитесь на время сканирования, чтобы время проверки прошло быстрее 8)
- По окончанию проверки программа выдаст перечень всех обнаруженных угроз. Нажимаем на кнопку «Apply Actions», что удалит все обнаруженные угрозы.
- После удаления программа выдаст запрос на перезагрузку компьютера. Нажмите «No», ведь нам предстоит следующий шаг с другим сканером
ШАГ 4: Удаляем руткиты из системы с помощью HitmanPro
HitmanPro это еще один стоящий сканер безопасности, который мы будем использовать, чтобы очистить ваш компьютер от вредоносного ПО (вирусы, трояны, руткиты и т.д.), которые проникли в вашу систему, несмотря на все меры безопасности, которые вы предприняли (антивирусные программы, брандмауэры и т.д.).
- Скачиваем HitmanPro по ссылке ниже и дважды щелкаем по нему, чтобы его запустить. Ссылка для скачивания HitmanPro. (Эта ссылка откроет новую страницу, на которой вы сможет скачать последнюю версию сканера по кнопке «Загрузить» слева)
- После запуска следуйте инструкциям, нажимая далее, пока не начнется процесс сканирования. Настройки можно вообще не трогать
- Сканирование, также может занять длительное время в зависимости от ваше системы. В зависимости от угрозы, фон программы меняется от синего до красного (не пугайтесь)
- По окончанию проверки перед вами будет весь список обнаруженных угроз, у вас есть возможность по каждой записи выбрать дальнейшее действие либо удалить, либо пропустить. Нажимаем кнопку «Далее». Стоит отметить, что после этого программа задумается (возможно надолго) она будет создавать точку восстановления на случай непредвиденного сбоя
- В следующем окне нас ждет «сюрприз» предлагающий ввести код активации. Нажимаем кнопку «Активация бесплатной лицензии», которая позволит бесплатно пользоваться программой в течении 30 дней. После чего все наши отмеченные угрозы будут удалены.
ШАГ 5: Чистим реестр от заразы с RogueKiller
Вредоносные программы часто добавляют свои ключи реестра Windows, для своих «нехороших дел», и для того чтобы их удалить нам нужно просканировать систему программой RogueKiller.
- Скачиваем RougeKiller по ссылке указанной ниже. и дважды щелкаем по нему, чтобы его запустить. Ссылка для скачивания RougeKiller. (Эта ссылка откроет новую страницу, на которой вы сможет скачать последнюю версию программы по кнопке «Загрузить» слева)
- После запуска программы, подождем немного пока пройдет автоматическое подготовительное сканирование, затем нажимаем на кнопку «Scan»
- После завершения сканирования, нажимаем кнопку «Delete», чтобы удалить все обнаруженные вредоносные записи в реестре
ШАГ 6: Удаляем все рекламное ПО с компьютера с помощью AdwCleaner
Утилита AdwCleaner сканирует систему и установленные браузеры на предмет наличия рекламного ПО, которое отображается пользователю, рекламируя те или иные услуги, фирмы, сайты и т.д., и которое установлено без вашего ведома.
- Скачиваем AdwCleaner по ссылке указанной ниже. ВНИМАНИЕ!! архив запаролен пароль freeprotection.ru Вводим пароль, распаковываем файл и дважды щелкаем по файлу, чтобы его запустить. Ссылка для скачивания AdwCleaner. (Эта ссылка откроет новую страницу, на которой вы сможет скачать последнюю версию программы по кнопке «Загрузить» слева)
- Перед запуском программы, необходимо закрыть все открытые браузеры, иначе программа не запуститься. Если вы этого не сделаете, она сама попросит вас об этом
- После запуска, нажмите кнопку «Сканировать», и AdwCleaner начнет сканировать ваш компьютер на предмет наличия рекламного ПО, которое в последнее время раздражает не хуже вирусов
- По окончанию сканирования нажмите на кнопку «Очистить» и будет удалено все обнаруженное рекламно ПО с вашего компьютера, которое в последнее время раздражает не хуже вирусов. И самое главное по окончанию компьютер будет перезагружен автоматически.
После использования всех программ в инструкции вы избавитесь практически от любого вредоносного ПО которое могло проникнуть в вашу систему, несмотря на установленный антивирус.
Похожие записи
Источник