Форум программистов, компьютерный форум, киберфорум
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
 
Рейтинг 4.82/38: Рейтинг темы: голосов - 38, средняя оценка - 4.82
23 / 34 / 4
Регистрация: 02.02.2010
Сообщений: 209
1

Trojan-Ransom.Win32.Gimemo.jhc, HEUR:Trojan.Win32.Generic

18.03.2012, 12:06. Просмотров 7809. Ответов 20
Метки нет (Все метки)

Здравствуйте, уважаемые господа вирусологи, прошу помощи в решении проблем с заразой. Где-то 22 февраля KIS отследил 2 трояна, которые я прозевал. По сей день при каждом запуске компа они стабильно появляются в отчётах KIS, даже, если не лазить в интернет.Путь к 1-ому обозначен: "С"-App Data-Local-Temp-FXSAPIDebugLogFile.txt(не удаляется из папки, пишет, что используется проводником), потом в той же папке он преобразовался в 23894729347.exe. В отчёте KIS этот демон определяется как: Trojan-Ransom.Win32.Gimemo.jhc Путь ко 2-ому, который лежит на другом HDD - "Е"-установочные файлы-/vlc-1.1.11-win32.exe и определяется как HEUR:Trojan.Win32.Generic Выполнил полную проверку CureIT, который ничего не нашёл. Выполнил остальные требования по оформлению запроса. Прошу отозваться тех, кто может помочь устранить проблему. Спасибо. О компе: desktop c WIN 7 pro x64 (лицензия), KIS2011 (лицензия), роутер Linksys WRT610N, TV Philips по домашней сети.
0
Вложения
Тип файла: rar avz_log.rar (3.9 Кб, 19 просмотров)
Тип файла: rar rsit.rar (40.1 Кб, 15 просмотров)
Тип файла: zip virusinfo_syscheck.zip (27.5 Кб, 20 просмотров)
Тип файла: zip virusinfo_syscure.zip (27.9 Кб, 12 просмотров)
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
18.03.2012, 12:06
Ответы с готовыми решениями:

HEUR:Trojan.Win32.Generic, Trojan-Downloader.Win32.Agent.silkhl
Поставил Kaspersky Free и он начал ругаться на вирусы. При чем лечил и удалял, но потом снова они...

вирус HEUR:Trojan.Win32.Generic
Здравствуйте, Касперский обнаружил вирус HEUR:Trojan.Win32.Generic, но не удалил, а поместил на...

вирус HEUR:Trojan.Win32.Generic
Касперский обнаружил вирус в файле с:\windows\system32\drivers\tcpip.sys, HEUR:Trojan.Win32.Generic...

Лечение вируса HEUR:Trojan.Win32.Generic
Запустили exe файл пришедший по почте. После проверки на virustotal выяснили, что файл определяется...

20
Заблокирован
18.03.2012, 13:01 2
1. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

2. сделайте лог UVS (ссылка на скачивание и инструкцию в моей подписи)
1
23 / 34 / 4
Регистрация: 02.02.2010
Сообщений: 209
18.03.2012, 16:42  [ТС] 3
Уважаемый Katharsis, выполнил предложенные действия, я в шоке!
0
Вложения
Тип файла: txt mbam-log-2012-03-18 (16-23-52).txt (5.1 Кб, 108 просмотров)
Тип файла: rar MAD53_2012-03-18_16-30-42.rar (378.9 Кб, 24 просмотров)
Заблокирован
18.03.2012, 17:23 4
из найденного MBAM - под подозрением несколько кейгенов -
C:\Program Files (x86)\FinalWire\AIDA64 Extreme Edition\keygen.exe (Backdoor.RBot) -> Действие не было предпринято.
E:\ЗАКАЧКИ\Программы\AIDA64 2.20\keygen.exe (Backdoor.RBot) -> Действие не было предпринято.
E:\инструкции\Оцифровка видеокассет и обработка видео.Янченко Александр\autorun.exe (Trojan.FakeAlert) -> Действие не было предпринято.
проверьте эти файлы на virustotal.com, если будут определяться как malware, лучше от них избавиться.

указанный вами файл нигде не засветился, вероятно его уже нет, но раз был, попробуем отловить.

AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.
Код
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('%userprofile%\AppData\Local\Temp\23894729347.exe','');
 DeleteFile('%userprofile%\AppData\Local\Temp\23894729347.exe');
 DelCLSID('09900DE8-1DCA-443F-9243-26FF581438AF');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт:

Код
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.
1
23 / 34 / 4
Регистрация: 02.02.2010
Сообщений: 209
18.03.2012, 17:54  [ТС] 5
Katharsis, посмотрите, пожалуйста, на результаты проверки указанных Вами файлов в virustotal, порядок цифр соответствует порядку указанных Вами файлов. Я в растерянности, лучше вниму Вашим рекомендациям. Где-то через 1 час сделаю и вышлю скрипты.
0
Вложения
Тип файла: rar virustotal.rar (46.2 Кб, 23 просмотров)
23 / 34 / 4
Регистрация: 02.02.2010
Сообщений: 209
18.03.2012, 18:43  [ТС] 6
Не могу отправить архив через указанную форму, не принимает адрес моей темы, как только не испражнялся, через указанную почту тоже письмо не уходит. Как отправить? В какой форме пишется полный URL-адрес темы?
0
Заблокирован
18.03.2012, 18:50 7
отправьте на:*quarantine <at> safezone.cc*(замените*<at>*на*@) с указанием ссылки на тему и ника на форуме
1
23 / 34 / 4
Регистрация: 02.02.2010
Сообщений: 209
18.03.2012, 19:22  [ТС] 8
Цитата Сообщение от Katharsis Посмотреть сообщение
отправьте на:*quarantine <at> safezone.cc*(замените*<at>*на*@) с указанием ссылки на тему и ника на форуме
Я и пробовал через мыло, а оно сразу возвращается с сообщением, что невозможно доставить, отсутствует указанный адрес. Что делать?
0
Заблокирован
18.03.2012, 19:28 9
залейте на файлообменник, ссылку мне в личку
1
23 / 34 / 4
Регистрация: 02.02.2010
Сообщений: 209
18.03.2012, 19:47  [ТС] 10
Ссылку отправил, она Вам доступна? Если нет, то попробую снова.
0
Заблокирован
18.03.2012, 19:51 11
скачал. в карантине пусто. Сейчас что с проблемой?

Добавлено через 1 минуту
Цитата Сообщение от COT Посмотреть сообщение
результаты проверки указанных Вами файлов в virustotal
дайте ссылки на результаты проверки, хотя, если эти файлы вам не нужны, можете просто удалить их (некоторые кейгены могут содержать троянца внутри)
1
23 / 34 / 4
Регистрация: 02.02.2010
Сообщений: 209
18.03.2012, 19:58  [ТС] 12
Ссылки на virustotal здесь: http://www.rapidshare.ru/2794828. Скажите, а я правильно скопировал 1-ый скрипт с русским текстом во 2-ом пункте? Т.е. я скопировал скрипт как есть и вставил в avz?
0
Заблокирован
18.03.2012, 20:05 13
ссылки из адресной строки браузеров достаточно скопировать и вставить
Цитата Сообщение от COT Посмотреть сообщение
правильно скопировал 1-ый скрипт с русским текстом во 2-ом пункте? Т.е. я скопировал скрипт как есть и вставил в avz?
если бы вы скопировали неправильно, у вас вместо выполнения скрипта было бы сообщение об ошибке

Цитата Сообщение от Katharsis Посмотреть сообщение
Сейчас что с проблемой?
1
23 / 34 / 4
Регистрация: 02.02.2010
Сообщений: 209
18.03.2012, 20:12  [ТС] 14
После сканирования Malwarebytes' Anti-Malware обнаружил 13 зараженных файлов, их надо было удалять? Я сделал логи, как Вы просили, а зараза так и осталась. Посмотрел в отчётах KIS, так 2 трояна и присутствуют в течении дня, он их периодически определяет и уже общее количество -10, т.е. эта парочка проявлялась 5 раз в течении работы за компом.
0
Заблокирован
18.03.2012, 20:19 15
Цитата Сообщение от COT Посмотреть сообщение
Anti-Malware обнаружил 13 зараженных файлов
это не зараженные обьекты, а ваши кряки и кейгены. Я дал вам список обьектов, которые вызвали подозрения для проверки. ссылки на результат проверки я так и не увидел.
Цитата Сообщение от COT Посмотреть сообщение
Посмотрел в отчётах KIS, так 2 трояна и присутствуют в течении дня, он их периодически определяет и уже общее количество -10
выложите этот отчет
1
23 / 34 / 4
Регистрация: 02.02.2010
Сообщений: 209
18.03.2012, 20:31  [ТС] 16
выслсл отчёт
0
Вложения
Тип файла: rar отчёт KIS.rar (37.6 Кб, 163 просмотров)
Заблокирован
18.03.2012, 21:22 17
С помощью АВЗ по инструкции: Как искать файлы при помощи AVZ и отправить на анализ

E:\ЗАКАЧКИ\установочные ФАЙЛЫ\vlc-1.1.11-win32.exe - этот файл просто под подозрением, в автозапуске отсутствует, может быть и не вредоносным.

C:\Users\Андрей\AppData\Local\Temp\23894729347.exe - этот, если и присутствует, что вряд ли - не активен (это блокиратор. был бы активен - была бы блокировка)
1
23 / 34 / 4
Регистрация: 02.02.2010
Сообщений: 209
18.03.2012, 21:36  [ТС] 18
В карантин ничего не попало, выслал логи работы avz при добавлении в карантин. Как же в Каспере убрать постоянно нервирующие сообщения о троянах в отчёте?
0
Вложения
Тип файла: txt avz_log.txt (2.3 Кб, 15 просмотров)
Заблокирован
18.03.2012, 22:01 19
этих файлов нет на диске, как и следовало ожидать.
Цитата Сообщение от COT Посмотреть сообщение
Как же в Каспере убрать постоянно нервирующие сообщения о троянах в отчёте?
очистите папку с карантином + Как настроить параметры отчетов в Kaspersky Internet Security 2012
1
23 / 34 / 4
Регистрация: 02.02.2010
Сообщений: 209
18.03.2012, 22:05  [ТС] 20
Уважаемый Katharsis, большое спасибо за потраченное на меня время и Вашу помощь. Желаю удачи.
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
18.03.2012, 22:05

Заказываю контрольные, курсовые, дипломные и любые другие студенческие работы здесь.

KIS не может удалить HEUR:trojan.win32.generic
Здравствуйте! Помогите пожалуйста разобраться с следующими проблемами. 1 Касперский Интернет...

Pelles C создает файл, воспринимаемый Kaspersky как HEUR:Trojan.Win32.Generic
Поставил себе среду программирования Pelles C. Функционально на данном этапе он меня полностью...

Trojan-Ransom.Win32.DigiPog.ln
Пишу с другого компа. Логи перенести не удается. Сеть на зараженном компе не работает, флешка...

trojan.win32.generic!bt и trojan.win32.sifef.bb(v) , trojan.win32.sifef.ag
Добрый день.Помогите в борьбе с троянами.Все началось со скачанного торрента.Стали очень меленно...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
20
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2020, vBulletin Solutions, Inc.