Форум программистов, компьютерный форум, киберфорум
Наши страницы
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
 
Рейтинг 4.88/8: Рейтинг темы: голосов - 8, средняя оценка - 4.88
Aliter
0 / 0 / 0
Регистрация: 11.03.2016
Сообщений: 59
1

Вирусное ПО - Thunder Network

03.06.2017, 17:04. Просмотров 1647. Ответов 51
Метки нет (Все метки)

Добрый день. MBAM уже в 3 раз обнаруживает одно и то же нежелательное ПО (скриншот прикреплен к посту). Удаление само собой ни к чему не приводит и ПО появляется вновь спустя пару дней. Подскажите пожалуйста как можно окончательно избавиться от этой дряни?
0
Миниатюры
Вирусное ПО - Thunder Network  
Вложения
Тип файла: zip CollectionLog-2017.06.03-20.58.zip (84.4 Кб, 5 просмотров)
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
03.06.2017, 17:04
Ответы с готовыми решениями:

Вирусное заражение
Здравствуйте, уважаемые эксперты. При полной проверке антивирусом Касперского...

На компьютер установилось вирусное ПО
установил необходимое ПО с непроверенного сайта параллельно ему установилось...

Вирусное расширение от 27.02.2016
Автоматически установилось расширение Пожалуйста, новички не тыкайте эту...

Вирусное расширение в google chrome
Здравствуйте! В google chrome начала выскакивать реклама, внедрять рекламные...

Вирусное расширение в браузерах (Netsecurity)
При запуске браузера высвечивается реклама, появляются непонятные гипер...

51
SQx
Вирусоборец
Вирусоборец
105 / 104 / 22
Регистрация: 12.01.2017
Сообщений: 433
28.06.2017, 09:02 21
Выполните скрипт в uVS:
Код
;uVS v4.0.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
BREG
delref %SystemDrive%\USERS\A4F7~1\APPDATA\LOCAL\TEMP\27D88344088.SYS
delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\TEMP\991FEDE2-7B6E1990-D28DCA04-21CE60EE\27D8550119B.SYS
delref HTTP://EU.ASK.COM/WEB?Q={SEARCHTERMS}&L=DIS&O=HPNTDF
delref HTTP://RU.SEARCH.YAHOO.COM/SEARCH?P={SEARCHTERMS}&EI={INPUTENCODING}&FR=CHR-HP-PSG&TYPE=HPNTDF
delref %SystemDrive%\USERS\A4F7~1\APPDATA\LOCAL\TEMP\CHROME_BITS_6656_13336\19.109.2_WIN64_SOFTWAREREPORTER.CRX2
restart

Подготовьте логи FRST: FAQ по работе с утилитой Farbar Recovery Scan Tool

Добавлено через 7 минут
Уточните пожалуйста, если используете Xiaomi MI Phone Manager?
0
Aliter
0 / 0 / 0
Регистрация: 11.03.2016
Сообщений: 59
28.06.2017, 18:30  [ТС] 22
Xiaomi MI Phone Manager использую. Ставил сам. Через него функционирую с телефоном. Скрипт выполнять?
0
Aliter
0 / 0 / 0
Регистрация: 11.03.2016
Сообщений: 59
28.06.2017, 20:06  [ТС] 23
Все выполнил.
0
Вложения
Тип файла: rar FRST.rar (23.0 Кб, 1 просмотров)
SQx
Вирусоборец
Вирусоборец
105 / 104 / 22
Регистрация: 12.01.2017
Сообщений: 433
29.06.2017, 00:47 24
  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    Код
    CreateRestorePoint:
    CloseProcesses:
    File: C:\Users\Андрей\AppData\Local\MiPhoneManager\main\MiPhoneHelper.exe
    File: C:\Users\Андрей\AppData\Roaming\Xiaomi\MiPhoneManager\Plugin\xunlei\download\MiniThunderPlatform.exe
    File: C:\Program Files (x86)\Skype\Updater\Updater.exe
    File: C:\program files\sublime text 3\plugin_host.exe
    Zip: C:\Program Files (x86)\Skype\Updater\Updater.exe;C:\program files\sublime text 3\plugin_host.exe
    2017-06-25 17:22 - 2017-06-25 17:22 - 00000420 _____ C:\ProgramData\Thunder Network.rar
    2017-06-25 00:03 - 2017-06-25 00:03 - 00000000 ____D C:\Users\Все пользователи\Thunder Network
    2017-06-25 00:03 - 2017-06-25 00:03 - 00000000 ____D C:\ProgramData\Thunder Network
    2017-06-25 17:22 - 2017-06-25 17:22 - 0000420 _____ () C:\ProgramData\Thunder Network.rar
    Task: {484AE1DF-85D5-4117-827C-D6C2901C8FB6} - \Google Update -> No File <==== ATTENTION
    Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
0
Aliter
0 / 0 / 0
Регистрация: 11.03.2016
Сообщений: 59
29.06.2017, 07:23  [ТС] 25
Выполнено
0
Вложения
Тип файла: txt Fixlog.txt (4.1 Кб, 4 просмотров)
SQx
Вирусоборец
Вирусоборец
105 / 104 / 22
Регистрация: 12.01.2017
Сообщений: 433
29.06.2017, 08:28 26
Убедитесь, чтобы на ПК отсутствовали расшаренные диски или каталоги, в случае присутствия закройте их и на наблюдайте.
0
Aliter
0 / 0 / 0
Регистрация: 11.03.2016
Сообщений: 59
01.07.2017, 19:21  [ТС] 27
Здравствуйте. Вредоносное ПО на своём прежнем месте.
0
SQx
Вирусоборец
Вирусоборец
105 / 104 / 22
Регистрация: 12.01.2017
Сообщений: 433
03.07.2017, 09:24 28
Выполните скрипт в uVS:
Код
;uVS v4.0.2 [[url]http://dsrt.dyndns.org][/url]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
BREG
zoo %SystemDrive%\PROGRAM FILES (X86)\UTORRENT\UTORRENT.EXE
del %SystemDrive%\PROGRAM FILES (X86)\UTORRENT\UTORRENT.EXE
deldir %SystemDrive%\ProgramData\Thunder Network
del %SystemDrive%\ProgramData\Thunder Network.rar
restart
0
Aliter
0 / 0 / 0
Регистрация: 11.03.2016
Сообщений: 59
04.07.2017, 16:59  [ТС] 29
Выполнил. Спасибо за помощь. О результатах сообщу через пару дней или по мере проявления ПО на компьютере.
0
Aliter
0 / 0 / 0
Регистрация: 11.03.2016
Сообщений: 59
06.07.2017, 16:25  [ТС] 30
Добрый день. Вредоносное ПО вновь появилось. Заметил, что дата создания папки всегда ориентировочно в районе 12 часов вечера +- 20 минут.
0
SQx
Вирусоборец
Вирусоборец
105 / 104 / 22
Регистрация: 12.01.2017
Сообщений: 433
06.07.2017, 16:28 31
Проверьте пожалуйста кто является владельцем вредоносного файла?
0
Aliter
0 / 0 / 0
Регистрация: 11.03.2016
Сообщений: 59
06.07.2017, 16:41  [ТС] 32
И еще один вопрос - возможно ли вернуть удаленный uTorrent раз уж он оказался невиновным?
0
SQx
Вирусоборец
Вирусоборец
105 / 104 / 22
Регистрация: 12.01.2017
Сообщений: 433
06.07.2017, 16:43 33
согласно данным virustotal является вредоносным, вы увеоены, что хотите его вернуть?
0
Aliter
0 / 0 / 0
Регистрация: 11.03.2016
Сообщений: 59
06.07.2017, 17:38  [ТС] 34
Если я не буду пользоваться предыдущей версией uTorrent`а, то скорее всего скачаю новый файл с данного ресурса (http://www.oldapps.com/utorrent.php?old_utorrent=8134). В данной версии (старый билд) нет рекламы, и вирустотал при проверке ругается и указывает лишь на базы антивируса "GData", который в свою очередь определяет "Win32.Application.OpenCandy.G". В целом я всегда довольно трепетно отношусь к exeшникам из неизвестных источников и стараюсь без нужны ничего не ставить. В итоге приходится выбирать из двух зол. Как вы считаете какой вариант тут будет оптимален?

Еще вопрос по поводу определения принадлежности вредоносного ПО. Не совсем уверен, что обладаю достаточными знаниями, чтобы сделать это. Не могли бы вы объяснить немного подробнее, пожалуйста?
0
SQx
Вирусоборец
Вирусоборец
105 / 104 / 22
Регистрация: 12.01.2017
Сообщений: 433
06.07.2017, 19:15 35
От ложных срабатываний не один антивирус не защищен, ориентируйте на сигнатуры следующих антивирусов KasperskyLab, DrWeb. Ранее так и не сообщили владельца вредоносного файла (свойства->безопасность->дополнительно->владелец), на момент пользования ПК после удаление вредосного ПО вы пользовались uTorrent?

Подготовьте лог полного сканирования Malwarebytes.
0
Aliter
0 / 0 / 0
Регистрация: 11.03.2016
Сообщений: 59
06.07.2017, 20:03  [ТС] 36
Владельцем указан мой ПК. (CARTAROMANA-HP\Андрей)
После удаления с вашей помощью через uvs uTorrent`a я его не скачивал вновь и разумеется не устанавливал, чтобы не уничтожить этим чистоту эксперимента.
Полный лог приложу завтра, т.к. обычно полная проверка занимает очень много времени.
0
Aliter
0 / 0 / 0
Регистрация: 11.03.2016
Сообщений: 59
07.07.2017, 05:53  [ТС] 37
Полная проверка закончена. Лог прикрепил.
0
Вложения
Тип файла: txt MBAM_LOG_07.07.17.txt (1.4 Кб, 2 просмотров)
SQx
Вирусоборец
Вирусоборец
105 / 104 / 22
Регистрация: 12.01.2017
Сообщений: 433
07.07.2017, 13:33 38
  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    Код
    CreateRestorePoint:
    CloseProcesses:
    C:\ProgramData\Thunder Network
    CMD: net share
    Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
0
Aliter
0 / 0 / 0
Регистрация: 11.03.2016
Сообщений: 59
07.07.2017, 14:41  [ТС] 39
Выполнил. Лог прилагаю.
0
Вложения
Тип файла: txt Fixlog.txt (1.0 Кб, 2 просмотров)
SQx
Вирусоборец
Вирусоборец
105 / 104 / 22
Регистрация: 12.01.2017
Сообщений: 433
07.07.2017, 17:51 40
Закройте шару:
Код
Users        C:\Users
для этого можно в командной строке (cmd.exe) выполнить в привелигерованном режиме (Run as administrator) :
Код
net share users /delete
Далее понаблюдайте
0
07.07.2017, 17:51
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
07.07.2017, 17:51

Вирусное расширение Site Navigation 1.0
Недавно подхватил вирусняк в видер расширения для браузеров, site navigation...

Вирусное расширение во всех браузерах NetSecurity 30.2.5
во всех браузерах появилось расширение NetSecurity, я его удаляю он после...

Самовосстанавливающиеся вирусное приложение fast serch
Ситуация аналогична этой http://www.cyberforum.ru/viruses/thread1887326.html - ...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
40
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru