Перейти к содержанию
larik

Троян в паре с автораном

Recommended Posts

larik

Здравствуйте! Проблема аналогиная теме не могу избавиться от трояна.

Я так понимаю, она закрылась ,

Обращалась на вирусинфо,Тема: Win32/Spy.SpyEys. + CH Autoran (заявка № 155787) http://virusinfo.info/showthread.php?t=155787 - прямая ссылка почему-то не работает

несколько раз переустанавливала систему, Проверяла практически всем. Решила перепрошить биос и еще раз переустановить , отформатировав с консоли восстановления , с проверкой mbr, Поскоьку в биос особо никогда не лазила, да и ноаую версию пока дажее найти не могу, считаю, что делать в первый раз лучще под присмотром специалиста.

Возможно вирус и в самом дистрибутиве, но другого нет.

На данный момент AVZ продолжает собщать в эвристике про торояна , авторана и заблокированым настройкам, нарушена ассоциация SCR . Пробовала восстанавливать reg файлом, вручную, с помощьб uvs. Не помогает. После чистки временных файлов зависает explorer намертво? Диспетчер не запускается. В безопасном этого не происходит. AVZ удалил опасные расширения, вчера исправил модифицированный ключ запуска проводника.

Проделала, что вы советуете в теме про неудаляемый вирус Скачала Vba32arkit.exe, кроме старта все кнопки были неактивны , запустила, похоже он проверил загрузчики, пунктов 6 было. Чисто. Затем прошла по ссылке на вирусинфо, скачала по ссылке оттуда . Проделала так или почти так, неуверена.Правда поставила галки везде.

Не понравился модуль в процессе IE .Проверила, такого файла по этому пути нет. В остальном я ни бум-бум. Пока, надеюсь пока. Лог сделала , прилагаю, вроде не напутала.

Хочу в установке компонентов виндовс удалить IE и переустановить заново, ???

Помотрите, пожалуйста, может есть возможность ибавиться от этого тояна., не выкидывая комп.

Vba32ArkitLog.zip

Vba32ArkitLog.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN

Попробуйте проверить систему с помощью Hitman Pro.

Потом проверьте с помощью herdProtect. Он ничего лечить не умеет, но использует 68 движков для проверки наиболее важных системных областей.

При переустановке системы заражение вирусом должно убираться вообще. Но вы говорите, что идет перенаправление на какой-то левый сайт. Опишите поподробнее, что за сайт и как это происходит. Получается, что вирус после переустановки системы в нее повторно проникает , или он вшит в дистрибутив установки Windows (вы ведь полностью windows переустанавливаете?), или вы после переустановки системы устанавливаете какую-то программу, в которую это вшито.

С чего вы взяли, что у вас именно Win32/Spy.SpyEys. + CH Autoran?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
larik

AVZ сообщает об этом регулярно и по всем как объективным, так и субъективным признакам именно он, я про него все перечитала в инете, что нашла.

Ссылка о нем,

http://www.securelist.com/ru/descriptions/...n32.SpyEyes.ahh.

Не пойму , почему прямые ссылки перестали работать, еще вчера работали.

Вирус просто класс, его, кроме AVZ никто не видит, антивирусники не встают, а если и встают, то я их даже и не слышу, при этом блокирует работу , всех приличных и мощных программ, просто зависают. DrWeb лав CD смог пролечить реестр только после переустановки, до этого срывался на пятой строчке. И вирусы другие в систему не пускает, прям сплошная экономия на антивирусниках.

Все, что посовеволя буду ОБЯЗАТЕЛЬНО делать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
larik

Переустанавливала раза три, формат делала полный , при этом все диски объдиняла в один и рабивала при установке.

Проверяю AVZ чистую систему, На сайты антивирусников просто так было и не попасть , я его погоняла как следует , так переписку с помогите на вирусинфо пришлось вести выходя в инет с лав CD от WEBа ,ответы улетали вникуда + баннер.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN

Если его Касперский знает, Kaspersky Rescue Disk (лайф си ди Каспперского) почему не пробовали?

К тому же не понятно, как вирус сохраняется после переустановки системы. Dwindows сборка или лицензионный?

Если он блокирует антивирусы, то предложенные мною методы вряд ли заработают. Хотя можете попробовать. Kaspersky Rescue Disk в помощь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
larik

Имеется в наличии , не видит. Скачала .Hitman ничего не нашел, кроме DrvAgent32, предложил игнорировать. А вот со второй проблемы. Не встала, ошибка инициализации, при этом слетел мой любимый чистильщик, не читаемое приложение. Причем он уже слетал, еле восстановила , тоже все никак не хотел инициализироваться , Netовские приложения оказались ни причем, почистила альтернативные потоки.Он хоть в безопасном запускался .

windows лицензионный.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN

Malwarebytes antimalware пробовали в безопасном режиме? На случай, если он не запускается, в нем есть режим Хамелеона, через Пуск.

Еще попробуйте Bitdefender Rescue CD.

Есть интересная программа UnHackMe, я ей сам не пользовался, но, возможно, она проактивно что-то найдет. http://www.greatis.com/unhackme/

Непонятно, каким образом вирус сохраняется после переустановки системы. После переустановки заражение проявляется сразу?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN

Сейчас попробовал UnHackMe. Вычистил следы рекламы. Именно следы, все остальное обычными антивирусами до него было вычищено. Мне понравилось. Только надо поаккуратнее с ней.

Там когда основное сканирование проведете и проблемы исправите, нажмите Comprehensive scan.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
Непонятно, каким образом вирус сохраняется после переустановки системы. После переустановки заражение проявляется сразу?

Может просто никакого вируса и нет ? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN
Может просто никакого вируса и нет ? :)

Да вот я тоже так подумал. Но кто-то блокирует выход на антивирусные сайты + поисковые редиректы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
larik

Протите, что пропала, была в семье, смеюсь.

С последней, описаной проблемой справиласть. uvz и AVZ обнаружили с десяток хххх.sys, восмизначное число, в папке temp. Убила AVZ , инструкция обратилась по адресу - исчезла . Виновником оказался похоже Trolltech.

То , что вирус есть ,однозначно, После ручной правки реестра ассоц. .scr , жить становится лу чше, но AVZ продолжает сообщать о нарушении. Подмена двоичных данных.Проверяла. Запустила расщиренный режим Vba , трижды рвался logon.scr, рекомендовал пропустить , поскольку я не очень большой специалист, разрешила , при выходе тут же пожалела, - опять проблемы с клавой и и картинка на экране как газета, пролежавшая на солнце.

Сегодня постараюсь выпонить ваши рекомендации.

Malwarebytes antimalware пробовали в безопасном режиме? На случай, если он не запускается, в нем есть режим Хамелеона, через Пуск.

Непонятно, каким образом вирус сохраняется после переустановки системы. После переустановки заражение проявляется сразу?

Пробовала и в безопасном и через Пуск. Сразу после переустановки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alamor
Да вот я тоже так подумал.

Учитывая, что за целый год кроме AVZ этого вируса по прежнему никто не видит, то скорее всего это ложное подозрение AVZ.

Я вот уже год живу с вирусом, кроме AVZ его никто не видит,

Хорошо было бы увидеть лог AVZ.

А все остальные проблемы, имхо, от того чтобы без разбору удаляется куча системных файлов просто по подозрениям утилит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
larik
Да вот я тоже так подумал. Но кто-то блокирует выход на антивирусные сайты + поисковые редиректы.

Плюс к этому, блокировка самих антивирусников. А то, что при чистке временных файлов проводник зависает намертво, не работает даже диспетчер задач, причем в безопасном этого не происходит,?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
larik
Учитывая, что за целый год кроме AVZ этого вируса по прежнему никто не видит, то скорее всего это ложное подозрение AVZ.

А все се остальные проблемы, имхо, от того чтобы без разбору удаляется куча системных файлов просто по подозрениям утилит.

Ребята, я же не хочу спорить, я не слепо доверяю AVZ,, , да и возможность общаться на форуме вирусинфо.помогите только с лав CD, тоже о говорит о блокировке вирусом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
larik

Пройдитесь UnHackMe.

[/quo

Прошлась, чистить вроде и не чего, есть вещи, которые ему не нравятся , со знаком вопроса, но надо разбираться, достаточно информативно, только не поняла, у него нет возможности ручной правки?

Удалила пока только гадский ctfmon? достал уже , галки поддержки текст служб сняты, стоит запрет на запись а RUN, правда не в гр политиках , все равно пролазит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RuJN

Про русную правку не знаю. Там можно перед тем, как нажать Fix, отметить как ложные срабатывания то, что не нужно исправлять.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
larik
Про русную правку не знаю. Там можно перед тем, как нажать Fix, отметить как ложные срабатывания то, что не нужно исправлять.

с ручной разобралась, она похоже доступна в платном варианте. Удивило, что пару программ, устанавливыемых с диска дистрибутива, она считает ненадежными. PCHealth и KB2758694.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
larik
Удивило, что пару программ, устанавливыемых с диска дистрибутива, она считает ненадежными. PCHealth и KB2758694.

http://technet.microsoft.com/ru-ru/securit...lletin/ms13-002 - либо объновление установить либо вернуться на MSXML 3.0.

Умничка программа., за подсказку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Ego Dekker
      ESET Cyber Security/ESET Cyber Security Pro были обновлены до версии 6.7.555.
    • stas.panov
      Объяснение очень доходчивое  и по делу. Большое спасибо за информацию и ссылки. 
    • Quincy
      Серёга Лысый известный балабол же
    • Александр Полиграф
      Проведение расследований с применением полиграфа. Выявление сотрудников "сливающих" информацию, осуществляющих попытки- получения данных, шпионаж, работа на конкурентов, сбор компромата и т.п. Осуществляем выезд к вам в офис. Гарантия конфиденциальности.  poligraf.msk.ru ПОЛИГРАФ МСК.pdf
    • PR55.RP55
      vesorv 1) С отключенным интернетом вы не сможете активировать лицензию на антивирус. а раз не сможете - то и не получите защиту. Значит активируем антивирус > Создаём образ системы и переносим его на внешний носитель. Получаем возможность проводить тестирование повторно. 2) Вам для тестирования не нужны "свежие" угрозы. Разработчик регулярно обновляет установочный пакет. Скажем за 2018 год вышла - 12 версия антивируса, затем вышла версия. 12.01> 12.02 > 12.03  и т.д. Интервал между версиями пару месяцев. За пару месяцев ничего принципиального и прорывного в защите не сделать. Установив вместо версии: 12.03  "устаревшую" версию 12.02 вы получите и устаревшую базу сигнатур вирусов. И здесь можно тестировать угрозы о которых антивирус не осведомлён. 3) Антивирус нужен для постоянной защиты. Установка не производиться на заражённую машину. так, как установочный пакет не предназначен для очистки системы. ( Да, в рекламных целях разработчик может написать, что есть такая возможность... Однако ) Вирус может повредить реестр, заблокировать работу Windows Installer, модифицировать критически важные системные файлы - система просто не будет работать должным образом. _Эффективная очистка возможна только на НЕ активной системе - при работе с Live CD или при загрузке с другой не заражённой системой. 4) Отключать нужно не только интернет  - но  и беспроводные блютус и Wi-Fi иначе вы рискуете получить заражение всех доступных устройств. 5) Многие вредоносные программы вы просто не сможете запустить. так, как могут быть ограничения на регион распространения  - тот кто заказывал разработку\модификацию например рассчитывает на атаку конкретной страны, банка. 6) По очистке и лечению. Это не одно и тоже. Есть антивирусы которые удаляют файлы\угрозы но при этом не очищают реестр от лишних записей. Удаление файла\угрозы без удаления записей может приводить к ошибкам в работе системы. Лечение файлов - здесь речь идёт прежде всего о файловых вирусах. Антивирус должен найти заражённый файл, найти нужный участок и очистить - причём очистить так, чтобы сохранилась работоспособность системы. Но очистка исполняемых файлов не имеет смысла - всё равно _современная система не сможет нормально работать так, как у файла не будет ЭЦП... а если критически важный  файл не пройдёт проверку на наличие ЭЦП то и система не запуститься... Единственно, что можно сделать - это заменить файл на оригинальный. А учитывая число файлов, разнообразие их версий  - это становиться нетривиальной задачей. Некоторые антивирусы\сканеры имеют архив с такими файлами ( для замены: EXPLORER.EXE; NTDETECT.COM; NTSD.EXE и т.д ) А большинство антивирусов таких архивов не имеет. 7) Вы не учитываете уровень ложных срабатываний\определений. Антивирус  может сработать на чистый файл. Значит нужно проверять систему ещё до работы с реальными угрозами. 8) Угроза, или нет ? Это философский вопрос. Здесь каждый разработчик решает сам - что является угрозой, а что нет. т.е. на файл ХХХ одни антивирус сработает - а другой антивирус на файл ХХХ не сработает. + Программы разработанные спец. службами например страна ****а разработала вирус с целью нарушения работы оборудования, в целях шпионажа, получения удалённого доступа. Разве разработчики антивирусов находящиеся под её юрисдикцией будут искать эту угрозу ? 9) Легальные шпионские программы - одни антивирусы их будут находить, а другие антивирусы их находить не будут. Под легальными нужно понимать такие компоненты системы которые устанавливает разработчик оборудования - мониторинг - обнаружение украденного оборудования - диагностические отчёты. т.е. антивирусы по умолчанию находятся вне равных условий. 10) У всех разное железо - и производитель распространяет установщики  с некими средними настройками - чтобы на старых\слабых PC не наблюдалось зависание. С разными настройками эвристики будет  разная  скорость\эффективность работы. Значит нужно, или тестировать всё по умолчанию, или накручивать параметры на максимум. Нужно будет оценивать стабильность работы системы после внесения изменений в работу антивируса. 11) Куда ушли ?  Да куда угодно. Потеряли интерес, стало больше информации и меньше времени на её обсуждение. Помните песню: " Куда уехал цирк ? он был ещё вчера " https://www.comss.ru/page.php?id=5777 Дело в том, что всё уже давно обсудили, и вся информация есть в сети. а все эти _публичные тестирования ( как бы это помягче сказать... ) Средняя температура по больнице в норме !    
×