Страницы: 1 2 3 След.
Не удаляется Троян, Не могу удалить троян
 
Всем здравствуйте! Недавно в комп залез троян. PRO32 его не обнаруживает, а бранмауэр Windows обнаруживает но не может удалить. Подскажите как быть? Приношу свои извинения, если вопрос задан не в той теме!
 
Мда. По ходу пора на ESET возвращаться. Там в течении 5 минут отвечают!
 
Николай Демтиров, добрый день!

1. На изображении с вашего скриншота есть надпись "Показать подробности", нажмите на неё и пришлите новый скриншот, пожалуйста.

2. Скачайте утилиту по ссылке: https://apps1.k7computing.com/Tools/dl/free-tools/K7DTL.exe
После загрузки утилиты нажмите по файлу правой кнопкой мыши и выберите "Запуск от имени администратора". В открывшемся окне в поле "Enter Token ID" введите номер вашего обращения в техподдержку. После сбора журналов архив сохранится на рабочем столе. Пришлите его нам на анализ.

3. Щёлкните правой клавишей мышки по значку антивируса PRO32 в области системных уведомлений и выберите "Временно отключить защиту", к примеру, на 15 минут. Скачайте утилиту uVS по ссылке: http://dsrt.dyndns.org:8888/files/uvs_v414.zip

Распакуйте архив (щёлкните по скаченному файлу в браузере правой клавишей мышки и выберите "Показать в папке", затем щёлкните по архиву в списке скаченных файлов в папке загрузок и выберите "Извлечь всё"). Имя распакованной папки обязательно должно остаться по умолчанию - uvs_v414. Откройте распакованную папку и запустите файл Start.exe (согласитесь на запуск от имени администратора).

В стартовом окне программы - нажмите "запустить под текущим пользователем" (если текущий пользователь с правами администратора).

Выберите меню "Файл" - Сохранить Полный образ автозапуска. Дождитесь, пока процесс создания файла образа завершится. Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.

Файл архива с образом автозапуска также отправьте нам в ответном письме.
 
Цитата
написал:
Там в течении 5 минут отвечают!
Техническую поддержку по продуктам ESET на территории России по-прежнему оказывает наша команда, не смотря на уход вендора с российского рынка. Другими словами, обратившись в техничкескую поддержку ESET вы попали бы к нам же. Купить новые лицензии на ESET в РФ больше невозможно, и сейчас мы развиваем и также поддерживаем наш новый продукт PRO32. Форум не является самым быстрым каналом связи, для оперативной консультации вы можете связаться с нами по телефону или по почте, контакты указаны здесь: https://pro32.com/ru/support/ Надеюсь на ваше понимание.
 
Здравствуйте! Вот развернутый скриншот.
 
Вот файл!
 
UVS не скачивается. Дело в малварбейтсе? Но я вроде и его отключил. Не открывается страница. Пишет, что страница не найдена
Изменено: Николай Демтиров - 25.01.2024 17:52:08 (Дополнение)
 
Цитата
написал:
UVS не скачивается.
Попробуйте, пожалуйста, в другом браузере, к примеру в Microsoft Edge. Только что проверил - удалось скачать в нём архив. Заранее спасибо!
 
Спасибо! Удалось скачать через песочницу Windows.  Файл прикрепил!
 
Николай, прежде всего, судя по присланному журналу, антивирус PRO32 не активирован и не обновляет базы данных модулей обнаружения. Не могли бы вы, пожалуйста, выполнить активацию, дождаться обновления, и запустить вручную полное сканирование компьютера при помощи PRO32? Рекомендации по результатам анализа журнала uVS отправим дополнительно. Спасибо.
 
Здравствуйте! Я прошу прощения, но у меня есть лицензионная версия PRO32. Она установлена в этом же компьютере, на другом диске
(куда и какие доказательства прислать?). К сожалению не та версия, ни эта (триал) не смогли справится с проблемой. И я бы не стал
обращаться к вам не имей я лицензии. Считаю, что это было бы не честно по отношению к вам.  
 
На всякий случай скидываю данные с системы в которой стоит лицензионный PRO32. № сообщения 261
Изменено: Николай Демтиров - 26.01.2024 18:42:50 (Дополнение)
 
Николай, спасибо, я не намекал на это, просто хотелось убедиться, что вы выполнили сканирование PRO32 с актуальными базами. По проблеме:

1. Пришлите лог сканирования PRO32, из под обоих систем (проверим на всякий случай, не был ли файл уже ранее обнаружен и вылечен им): C:\ProgramData\K7 Computing\K7TSecurity\K7AntiVirus\K7Avlog.dat

2. Судя по логу uVS с зараженной системы, в ней ранее был майнер "micfosofthost", но сейчас от него остались лишь следы, сами вредоносные файлы очищены. Также подозрительным выглядит объект VMMEM (pid = 11932), но пока неясно, вредоносный он или нет. В момент сбора лога была ли запущена виртуальная машина?

3. Скачайте архив uVS новой версии 4.15.1 и распакуйте данный архив не меняя его имя, запустите файл Start.exe с правами администратора. В стартовом окне программы - нажмите "запустить под текущим пользователем" (если текущий пользователь с правами администратора). Скопируйте скрипт (ниже) из браузера в буфер обмена, далее, в главном меню uVS выберите режим: "Скрипт-выполнить скрипт из буфера обмена"

Скрипт:

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
restart

После перезагрузки системы, еще раз запустите start,exe (от имени Администратора), текущий пользователь. Далее, меню "Файл" / Сохранить Полный образ автозапуска. Дождитесь, пока процесс создания файла образа завершится. Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar. Новый файл архива с образом автозапуска прикрепите сюда.

4. Скачайте и запустите Farbar Recovery Scan Tool (выберите программу для своей разрядности системы: 32-битную или 64-битную). Если появится предупреждение о запуске - нажмите Подробнее - Выполнить в любом случае. И нажмите Scan/Сканировать. После окончания сканирования в папке, откуда запускалась программа, появятся файлы логов FRST.txt и Addition.txt, прикрепите их сюда.
Изменено: Валентин Поляков - 27.01.2024 14:27:27
 
Здравствуйте. Новая версия UVS не скачалась. При попытке скачать, попросили регистрацию. Попытался зарегистрироваться, но при нажатии кнопки продолжить, появился вращающийся квадратик (означающий загрузку) и все. Дальше ни куда не сдвинулось. В старой версии UVS выполнение скрипта не к чему не привело. Просканировать данную систему актуальной версией PRO32 не представляется возможным, TRIAl не обновляется. а покупать еще одну лицензию у меня нет возможности. Переустановка TRIAL версии, судя по всему, к обновлению до последней версии не привела. Выкладываю два файла после теста Farbar Recovery.

p.s. UVS скачал.
Изменено: Николай Демтиров - 28.01.2024 13:35:02 (Дополнение)
 
Цитата
написал:
В старой версии UVS выполнение скрипта не к чему не привело.
То есть компьютер не перезагрузился после выполнения скрипта?
Цитата
написал:
p.s. UVS скачал.
Получается, скачать новую версию uVS всё же удалось? Попробуйте выполнить скрипт в ней, компьютер должен перезагрузиться. Затем снова запустите uVS и сохраните новый образ автозапуска.
 
Здравствуйте! Компьютер перезагрузился. И в первом и втором случае. Но Троян остался и сейчас уже вместо трех предупреждений defender выдает 7. Выкладываю результаты сканирования зараженной системы.
Изменено: Николай Демтиров - 28.01.2024 19:18:55 (Дополнение)
 
Скрин
 
Цитата
написал:
После перезагрузки системы, еще раз запустите start,exe (от имени Администратора), текущий пользователь. Далее, меню "Файл" / Сохранить Полный образ автозапуска. Дождитесь, пока процесс создания файла образа завершится. Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar. Новый файл архива с образом автозапуска прикрепите сюда.
Николай, добрый день, нам не хватает журнала, собранного новой версией uVS (4.15.1) после перезагрузки компьютера, как я писал выше. Добавьте, пожалуйста.
 
Здравствуйте! Выкладываю.
 
Выполните приложенный скрипт. Для этого повторно запустите uVS через start.exe, нажмите "Запустить под текущим пользователем", "Скрипт" - "Выполнить скрипт из файла" и укажите путь к приложенному файлу. После выполнения скрипта компьютер перезагрузится, соберите новый лог файл uVS и приложите здесь.  
Изменено: Валентин Поляков - 29.01.2024 18:34:42
 
В скрипте была ошибка, только что обновил файл в предыдущем сообщении.
 
Здравствуйте! Угроз стало 13. Не после скрипта, а вообще. Я благодарю вас за помощь и уделенное время. Но склоняюсь к тому, что нужно просто долбануть систему. Еще раз спасибо.
 
Сделал проверку системных файлов некоторые система не смогла восстановить.

p.s. Вопрос: программа UVS блокируется pro32. Почему?  
 
На рабочем столе есть две скрытые паки AutoLogger и AV_block_remover. Это паки PRO32?
 
Николай, наберитесь немного терпения, пожалуйста. Мы уже проделали бОльшую часть работы. Это ещё не окончательный скрипт лечения, а промежуточный этап, нужно было проверить, восстановится ли один из подозрительных элементов после выгрузки из памяти после перезагрузки компьютера, чтобы произвести очистку избирательно. После выполнения скрипта и перезагрузки нужен новый журнал uVS, как я писали ранее.
Изменено: Валентин Поляков - 30.01.2024 00:56:31
 
Цитата
написал:
Угроз стало 13.
Вероятно, это одна и та же угроза, которая определяется по кругу.
 
Цитата
написал:
p.s. Вопрос: программа UVS блокируется pro32. Почему?  
Если при распаковке архива оставить имя целевой папки по умолчанию (uvs_v415), то детекта не должно быть.
 
По очистке в FRST:

Запустите FRST.exe от имени Администратора (если не запущен). Скопируйте файл скрипта fixlist.txt из вложения в папку, откуда запускается FRST.exe, браузер закройте. Нажмите в FRST кнопку "Исправить". Скрипт автоматически очистит систему, и перезагрузит ее. После перезагрузки системы добавьте файл Fixlog.txt из папки откуда запускали FRST.

AutoLogger и AV_block_remove не относятся к PRO32. Это каталоги программ для сбора логов соответственно программами AutoLogger и AVBR (видимо, вы скачивали их самостоятельно ранее).
 
Здравствуйте!
 
Цитата
написал:
На рабочем столе есть две скрытые паки AutoLogger и AV_block_remover. Это паки PRO32?
Это было последствием заражения майнером Microsofthost. Майнер умышленно создает эти папки, делает скрытыми, и блокирует их для записи, чтобы пользователь не мог загрузить эти программы в папку загрузок и на рабочий стол. Они должны были очиститься скриптом FRST.

По логу uVS - VMMEM это, скорее всего, легальный элемент защиты системы от утечки данных.
Страницы: 1 2 3 След.