Решена KIS срабатывал на один и тот же файл

[Kirevg]

Здравствуйте.
2 раза KIS срабатывал на один и тот же файл через сутки после установки программы.

 

[Ботан]

Приветствую Kirevg, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.​

__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:

• virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt

Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.

__________________________________________________
С уважением, администрация SafeZone.​

 

[Severnyj]

на один и тот же файл через сутки

Какой файл? Какой программы?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('F:\Temp\13018.exe','');
 DeleteFile('F:\Temp\13018.exe');
 DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','system');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'system', '');
ExecuteSysClean;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

 

[Kirevg]

Высылаю лог Malwarebytes Anti-Malware.

 

[Kirevg]

Какой файл? Какой программы?

immodder.exe программы I'm Modder V3
Он находится сейчас на карантине в KIS.

 

[shestale]

immodder.exe программы I'm Modder V3

Это для игры в покер

Если эти тулбары FUNWEBPRODUCTS и MYWEBSEARCH устанавливали не сами, тогда удалите(если МВАМ уже закрыли, то просканируйте заново):

Обнаруженные ключи в реестре:
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0} (Trojan.Vundo) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0} (Trojan.Vundo) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{59C7FC09-1C83-4648-B3E6-003D2BBC7481} (PUP.MyWebSearch) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68AF847F-6E91-45dd-9B68-D6A12C30E5D7} (PUP.MyWebSearch) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9170B96C-28D4-4626-8358-27E6CAEEF907} (PUP.MyWebSearch) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{D1A71FA0-FF48-48dd-9B6D-7A13A3E42127} (PUP.MyWebSearch) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{DDB1968E-EAD6-40fd-8DAE-FF14757F60C7} (PUP.MyWebSearch) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F138D901-86F0-4383-99B6-9CDD406036DA} (PUP.MyWebSearch) -> Действие не было предпринято.
HKCU\SOFTWARE\MyWebSearch (PUP.MyWebSearch) -> Действие не было предпринято.
HKLM\SOFTWARE\FocusInteractive (PUP.MyWebSearch) -> Действие не было предпринято.
HKLM\SOFTWARE\Fun Web Products (PUP.MyWebSearch) -> Действие не было предпринято.
HKLM\SOFTWARE\MyWebSearch (PUP.MyWebSearch) -> Действие не было предпринято.
Обнаруженные папки:
C:\Program Files (x86)\FUNWEBPRODUCTS (PUP.MyWebSearch) -> Действие не было предпринято.
C:\Program Files (x86)\FUNWEBPRODUCTS\ScreenSaver (PUP.MyWebSearch) -> Действие не было предпринято.
C:\Program Files (x86)\FUNWEBPRODUCTS\SCREENSAVER\Images (PUP.MyWebSearch) -> Действие не было предпринято.
C:\Program Files (x86)\MYWEBSEARCH (PUP.MyWebSearch) -> Действие не было предпринято.
C:\Program Files (x86)\MYWEBSEARCH\bar (PUP.MyWebSearch) -> Действие не было предпринято.
C:\Program Files (x86)\MYWEBSEARCH\bar\History (PUP.MyWebSearch) -> Действие не было предпринято.
C:\Program Files (x86)\MYWEBSEARCH\bar\Settings (PUP.MyWebSearch) -> Действие не было предпринято.
Обнаруженные файлы:
C:\Program Files (x86)\Uninstall Fun Web Products.dll (PUP.MyWebSearch) -> Действие не было предпринято.
Z:\MyWebFaceSetup2.3.96.3.GRman000.exe (PUP.MyWebSearch) -> Действие не было предпринято.
C:\Program Files (x86)\MYWEBSEARCH\bar\Settings\s_pid.dat (PUP.MyWebSearch) -> Действие не было предпринято.

Сделайте лог SecurityCheck by screen317

Повторите логи AVZ и Rsit и прикрепите их к сообщению.

 

[Kirevg]

Results of screen317's Security Check version 0.99.50
Windows 7 Service Pack 1 x64 (UAC is disabled!)
Internet Explorer 9
``````````````Antivirus/Firewall Check:``````````````
Windows Security Center service is not running! This report may not be accurate!
Kaspersky Internet Security
Antivirus up to date! (On Access scanning disabled!)
`````````Anti-malware/Other Utilities Check:`````````
Malwarebytes Anti-Malware, версия 1.65.0.1400
Java(TM) 6 Update 29
Java version out of Date!
Adobe Flash Player 11.4.402.265
Adobe Reader X (10.1.4)
Mozilla Firefox (15.0.1)
````````Process Check: objlist.exe by Laurent````````
Kaspersky Lab Kaspersky Internet Security 2012 avp.exe
Kaspersky Lab Kaspersky Internet Security 2012 x64 wmi64.exe
Kaspersky Lab Kaspersky Internet Security 2012 avp.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:
````````````````````End of Log``````````````````````

 

[Severnyj]

Windows 7 Service Pack 1 x64 (UAC is disabled!)

Включите Контроль учетных записей

Java version out of Date!

Обновите Java

Повторите логи AVZ и Rsit и прикрепите их к сообщению.

 

[Kirevg]

Ява обновил, УАК включил, логи прилагаю.

 

[Severnyj]

Выполните скрипт в AVZ:

procedure FixRegistry;
begin
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','system');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'system', '');
end;

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SetupAVZ('X64R=NN');
FixRegistry;
SetupAVZ('X64R=YY');
FixRegistry;
RebootWindows(false);
end.

Повторите лог RSIT.

Подозрительный файл, который удаляется Касперским, возможно действительно злонамеренный. Для проверки отправьте его по формам:

Запрос в Вирусную лабораторию

или если являетесь лицензионным пользователем Касперского здесь:

Личный кабинет

 

[Kirevg]

Вот сделал.

 

[Severnyj]

В логах чисто

Касперские что-нибудь ответили?

Запакуйте подозрительный файл в архив с паролем virus

Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему, где Вам оказывается помощь, в теме (заголовке) сообщения. С указанием пароля: virus в теле письма.

 

[Kirevg]

Ответили, что все чисто, вроде.
Там ситуация такая:
Я устанавливаю эту программу с дистрибутива, предварительно проверив Каспером и архив, и установщик, и исполняемый файл, непосредственно после установки. Затем через сутки , примерно, появляется сообщение от Каспера, что файл заражен трояном. Так повторялосмь 2 раза.
Теперь я в третий раз установил эту прогу (я каждый раз скачиваю новый архив с установщиком с сайта производителя). У всех файлов (и архив, и установщик, и исполняемый файл,) теперь "сфотографированы" хеш суммы.
Посмотрим, что будет через сутки, через двое.
Хеш суммы у файлов отличались (у тех что новые и зараженные)
Да! Одие важный момент. После того как Каспер говорит о заражении, если проверять установщик и архив, то они тоже являются инфицированными. Такое ощущение, что зловред ищет именно сочетание imod_setup и imodder и заражает их!! Высылаю, то что осталось от последнего "заражения".

Добавлено через 9 минут 46 секунд

Что то не могу файл отправить.

 

[Severnyj]

Смените расширение у файла например на .ex_ перед упаковкой - ваш сервер исходящей почты видит что внутри архива находится исполняемый файл и запрещает передачу.

 

[Kirevg]

Отправил.

 

[Severnyj]

Сегодня уже не посмотрю, дождитесь других хелперов или завтрашнего дня

 

[Kirevg]

Ну что то есть?

 

[akok]

Что именно отправляли?

imod_setup.ex_

Файл в процессе обработки.

imodder.ex_ - Trojan.Win32.Agent.tukg

Это ЛК

 

[Kirevg]

Что такое ЛК?
Мне еще что то нужно сделать?

 

[iskander-k]

Что такое ЛК?

Лаборатория Касперского.