Троян Stantinko - Форум технической поддержки ESET NOD32

Сообщений: 6

Баллов: 3

Регистрация: 04.01.2015

Размещено 04.01.2015 20:30:19

Помогите пжл с трояном.
Образ автозапуска прилагаю.

Прикрепленные файлы

АЛЕКСАНДР-ПК_2015-01-04_20-13-24.TXT (12.17 МБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.01.2015 20:38:00

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.3 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE delall %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\MICROSOFT\INTERNET EXPLORER\EXTENSIONS\APIHELPER.DLL delall %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\MICROSOFT\INTERNET EXPLORER\EXTENSIONS\APIHELPER_64.DLL delall %Sys32%\KBDMAI.DLL delall %Sys32%\D3DADAPTER.DLL deltmp delnfr restart

Код

;uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delall %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\MICROSOFT\INTERNET EXPLORER\EXTENSIONS\APIHELPER.DLL
delall %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\MICROSOFT\INTERNET EXPLORER\EXTENSIONS\APIHELPER_64.DLL
delall %Sys32%\KBDMAI.DLL
delall %Sys32%\D3DADAPTER.DLL
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 04.01.2015

Размещено 04.01.2015 21:11:29

Не помогло.

Прикрепленные файлы

Лог.txt (3.14 КБ)
АЛЕКСАНДР-ПК_2015-01-04_21-07-15.TXT (12.22 МБ)
Журнал.txt (5.6 КБ)

Изменено: Александров - 04.01.2015 21:12:52

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 04.01.2015 22:40:32

Такой скрипт выполните

Код
;uVS v3.85.3 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE delall C:\Windows\SysWOW64\KBDMAI.dll delall C:\Windows\SysWOW64\d3dadapter.dll deltmp delnfr restart

В программе MBAM удалить все записи Пк перезагрузить.

Сообщить о результате.

Сообщений: 6

Баллов: 3

Регистрация: 04.01.2015

Размещено 05.01.2015 11:34:28

Всё сделал дважды. Не помогло.

Прикрепленные файлы

АЛЕКСАНДР-ПК_2015-01-05_11-29-36.TXT (12.18 МБ)
Журнал ЕСЕТ.txt (7.05 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 05.01.2015 13:16:17

Цитата
05.01.2015 11:18:05 Защита в режиме реального времени файл C:\Windows\SysWOW64\KBDMAI.dll Win32/TrojanDownloader.Stantinko.J троянская программа очищен удалением - изолирован NT AUTHORITY\система Событие произошло в новом файле, созданном следующим приложением: C:\Windows\SysWOW64\svchost.exe. 05.01.2015 11:10:45 Защита в режиме реального времени файл C:\Windows\SysWOW64\KBDMAI.dll Win32/TrojanDownloader.Stantinko.J троянская программа очищен удалением - изолирован NT AUTHORITY\система Событие произошло в новом файле, созданном следующим приложением: C:\Windows\SysWOW64\svchost.exe. 04.01.2015 21:43:39 Защита в режиме реального времени файл C:\Windows\SysWOW64\KBDMAI.dll Win32/TrojanDownloader.Stantinko.J троянская программа очищен удалением - изолирован NT AUTHORITY\система Событие произошло в новом файле, созданном следующим приложением: C:\Windows\SysWOW64\svchost.exe.

Цитата

05.01.2015 11:18:05 Защита в режиме реального времени файл C:\Windows\SysWOW64\KBDMAI.dll Win32/TrojanDownloader.Stantinko.J троянская программа очищен удалением - изолирован NT AUTHORITY\система Событие произошло в новом файле, созданном следующим приложением: C:\Windows\SysWOW64\svchost.exe.
05.01.2015 11:10:45 Защита в режиме реального времени файл C:\Windows\SysWOW64\KBDMAI.dll Win32/TrojanDownloader.Stantinko.J троянская программа очищен удалением - изолирован NT AUTHORITY\система Событие произошло в новом файле, созданном следующим приложением: C:\Windows\SysWOW64\svchost.exe.
04.01.2015 21:43:39 Защита в режиме реального времени файл C:\Windows\SysWOW64\KBDMAI.dll Win32/TrojanDownloader.Stantinko.J троянская программа очищен удалением - изолирован NT AUTHORITY\система Событие произошло в новом файле, созданном следующим приложением: C:\Windows\SysWOW64\svchost.exe.

ок, новый образ сейчас посмотрим.

[ Как создать образ автозапуска? ]

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 05.01.2015 13:37:38

1. обновите uVS до актуальной версии 3.85.3
отсюда
http://rghost.ru/59329776
2. выполните актуальной версией uVS скрипт очистки от остатков других антивирусов. (байду, касперский)

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.3 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE sreg delref %Sys32%\DRIVERS\39633746.SYS delref %Sys32%\DRIVERS\BD0003.SYS delref %Sys32%\DRIVERS\BDARKIT.SYS delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BDDOWNLOAD\108\BDCOMPROXY.DLL delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BDDOWNLOAD\108\BDDOWNLOADER.EXE areg

Код

;uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
sreg

delref %Sys32%\DRIVERS\39633746.SYS
delref %Sys32%\DRIVERS\BD0003.SYS
delref %Sys32%\DRIVERS\BDARKIT.SYS
delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BDDOWNLOAD\108\BDCOMPROXY.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BDDOWNLOAD\108\BDDOWNLOADER.EXE

areg

перезагрузка, пишем о старых и новых проблемах.
------------
3. добавьте новый образ автозапуска из безопасного режима системы.

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 04.01.2015

Размещено 05.01.2015 23:31:32

Не помогло. Лог в безопасном прилагаю. Вроде этот троян и маскируется под антивирус байду. Я его не ставил, он сам залез.

Прикрепленные файлы

АЛЕКСАНДР-ПК_2015-01-05_23-24-25.TXT (12.42 МБ)
Журнал.txt (8.78 КБ)

Изменено: Александров - 05.01.2015 23:40:43

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 06.01.2015 07:00:48

выполните скрипт в uVS из безопасного режима системы.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.3 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE delall %Sys32%\IR16_32.DLL delall %Sys32%\KBDMAI.DLL delall C:\Windows\SYSWOW64\IR16_32.DLL delall C:\Windows\SYSWOW64\KBDMAI.DLL deltmp delnfr restart

Код

;uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delall %Sys32%\IR16_32.DLL
delall %Sys32%\KBDMAI.DLL
delall C:\Windows\SYSWOW64\IR16_32.DLL
delall C:\Windows\SYSWOW64\KBDMAI.DLL
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------------
если проблема не решится:
1. добавьте новый лог журнала обнаружения угроз
2. сделайте проверку в Комбофикс
http://forum.esetnod32.ru/forum9/topic735/

Изменено: santy - 06.01.2015 07:01:03

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 04.01.2015

Размещено 06.01.2015 09:10:19

Спасибо. Помогло из безопасного.

[ Закрыто ] Троян Stantinko , При каждом запуске пишет о блокирвоке и удалении