Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Оперативная память = explorer.exe(2324) - модифицированный Win32/Lurk.AA троянская программа

1 2 След.
RSS
 
Di No
Di No
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 11.03.2015
Размещено 11.03.2015 21:56:36
Здравствуйте!
Вылезает сообщение "Оперативная память = explorer.exe(3336) - модифицированный Win32/Lurk.AA троянская программа - очищен удалением"
При попытке запуска программ выдает: "Отказано в доступе к указанному устройству пути или файлу".  Не смотря на сообщения, что "очищен удалением"[еще иногда "очищен - содержит зараженные файлы"], проблема остается.  Пробовал выполнить скрипт из подобной темы, но ничего не изменилось.

образ приложен(сделан в безопасном режиме, т.к. в обычном режиме "отказано в доступе к указанному устройству пути или файлу" и ничего запустить нельзя)

+ лог журнала обнаружения угроз
Изменено: Di No - 12.03.2015 07:55:26
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6241
Баллов: 4992
Регистрация: 25.05.2010
Размещено 11.03.2015 22:31:29
Di No


На форуме принято создавать свои темы.

Проверим файл.

Выполните:

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
На вопросы программы отвечаем: Да !
Код
     


;uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
exec MsiExec.exe /X{4F524A2D-5350-4500-76A7-A758B70C1902}
deldirex %SystemDrive%\PROGRAM FILES\ASKPARTNERNETWORK\TOOLBAR
zoo %SystemDrive%\USERS\DINO\APPDATA\ROAMING\POOL.DRV


В папке Zoo  ( откуда запускали uVS )
Будет два файла - один из них текстовый его проверять не надо.
Второй файл нужно проверить здесь:  https://www.virustotal.com/

Ссылку на страницу с отчётом дайте в тему !
Изменено: RP55 RP55 - 12.03.2015 06:04:57
 
Di No
Di No
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 11.03.2015
Размещено 11.03.2015 23:02:49
по поводу темы - на будущее учту.

ссылка на результаты:
https://www.virustotal.com/ru/file/aef845868fd61ef45784c996dc90b3f692255c6ab13339a3­1acf2d3c2e422a15/...
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6241
Баллов: 4992
Регистрация: 25.05.2010
Размещено 11.03.2015 23:31:15
Di No


Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
На вопросы программы отвечаем: Да !
Код
     


;uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
zoo %SystemDrive%\USERS\DINO\APPDATA\ROAMING\POOL.DRV
czoo
bl D0D755AD517029D2A1979CB78CE243DE 114688
delall %SystemDrive%\USERS\DINO\APPDATA\ROAMING\POOL.DRV
deltmp
delnfr
restart


-------------
Архив из папки uVS; (с копиями вирусов для вирлаба, имя автоматически формируется от текущей даты,
например: ZOO_2012-00-20_18-49-40.rar/7z)
... отправить в почту [email protected] ;
*** если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected

Пишем по результату.
+
Далее (даже если проблема решена) выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите первый вариант сканирования ( Угроза сканирования )
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.03.2015 08:02:29
что с проблемой?
Цитата
11.03.2015 21:56:51    Модуль сканирования файлов, исполняемых при запуске системы    файл    Оперативная память = explorer.exe(3528)    модифицированный Win32/Lurk.AA троянская программа    очищен удалением        
11.03.2015 21:56:36    Модуль сканирования файлов, исполняемых при запуске системы    файл    Оперативная память = explorer.exe(3528)    модифицированный Win32/Lurk.AA троянская программа    очищен удалением    MICROSOFT-PC\DINO    
11.03.2015 21:53:06    Модуль сканирования по требованию    файл    Оперативная память = explorer.exe(3528)    модифицированный Win32/Lurk.AA троянская программа    очищен - содержит зараженные файлы        
11.03.2015 21:34:31    Модуль сканирования по требованию    файл    Оперативная память = explorer.exe(3784)    модифицированный Win32/Lurk.AA троянская программа    очищен - содержит зараженные файлы        
решена скриптом?
[ Как создать образ автозапуска? ]
 
Di No
Di No
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 11.03.2015
Размещено 12.03.2015 08:15:52
скрипт вроде бы проблему решил, но архива с копиями вирусов в папке не оказалось. Попытка заархивировать папку ZOO привела к:

!   ZOO.rar: Невозможно открыть G:\uvs_v385\ZOO\POOL.DRV._C41596CB8D1F15AA1CE158A907B3D932E97C2DC8
!   Отказано в доступе.

т.к. антивирус сработал:

12.03.2015 8:08:29 Защита в режиме реального времени файл G:\uvs_v385\ZOO\POOL.DRV._C41596CB8D1F15AA1CE158A907B3D932E97C2DC8 модифицированный Generik.CKYTKZN троянская программа очищен удалением - изолирован MICROSOFT-PC\DINO Событие произошло при попытке доступа к файлу следующим приложением: C:\Program Files\WinRAR\WinRAR.exe.
Изменено: Di No - 12.03.2015 08:17:31
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.03.2015 09:25:23
+

Далее (даже если проблема решена) выполните лог программой Malwarebytes

http://forum.esetnod32.ru/forum9/topic10688/



Выберите первый вариант сканирования ( Угроза сканирования )

Отчет предоставить для анализа ( в своей теме на форуме ).

Отчёт нужно предоставить в .txt ( блокнот )
[ Как создать образ автозапуска? ]
 
Di No
Di No
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 11.03.2015
Размещено 12.03.2015 09:30:08
просканировал Malwarebytes, лог прикладываю.

три угрозы в регистрах удалять?

Registry Keys: 1
PUP.Optional.Ask.A, HKU\S-1-5-21-4149949169-4235215476-2678341434-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\SETTINGS\{4F524A2D-5350-4500-76A7-7A786E7484D7}, , [5f426ada5535eb4b18e964b95ca7b64a],
Registry Values: 2
PUP.Optional.Ask.A, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\TOOLBAR|{4F524A2D-5350-4500-76A7-7A786E7484D7}, 0, , [5f426ada5535eb4b18e964b95ca7b64a]
PUP.Optional.Ask.A, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\TOOLBAR\{4F524A2D-5350-4500-76A7-7A786E7484D7}, , [efb2f153bdcd86b051b0b26b1fe4d030],
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.03.2015 09:38:24
да, удаляйте
+
далее,

сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/
----

в АдвКлинере, после завершения сканирования, в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex

остальное удалите по кнопке [b]Очистить[/b]
[ Как создать образ автозапуска? ]
 
Di No
Di No
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 11.03.2015
Размещено 12.03.2015 10:29:06
прогнал AdwCleaner

надеюсь, теперь победа над нечистью...
 
1 2 След.
Читают тему