Перейти к содержимому


Фотография
- - - - -

trojan.win32.stantinko.gen

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 13

#1 OFF   Yurij Kuznetsov

Yurij Kuznetsov

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 27 Февраль 2019 - 18:37

Kaspersky Endpoint Security 10 пытается вылечить с перезагрузкой, но троян появляется снова.

 

AutoLogger-test.exe был запущен под учетной записью "Администратор", т.к. под учеткой пользователя отключить антивирус и остановить брандмауэр не получается.

 


  • 0

#2 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 441

Награды

           

Отправлено 27 Февраль 2019 - 19:39

Логи не прикрепили, забыв нажать кнопку Загрузить
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#3 OFF   Yurij Kuznetsov

Yurij Kuznetsov

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 28 Февраль 2019 - 09:40

Прошу прощения...

Лог от 27.02.19 собран под учеткой администратора,

лог от 28.02.19 - под учеткой пользователя.

Спасибо!

Прикрепленные файлы


  • 0

#4 OFF   regist

regist

    Айболит-2010

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 6 181

Отправлено 28 Февраль 2019 - 14:10

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 StopService('4583928AAC993712');
 QuarantineFile('C:\Program Files (x86)\Acer\Acer Video Player\SwitchUserVideoKey.bat', '');
 QuarantineFile('c:\users\михаил\appdata\local\temp\6AD160A-25E58D86-ABBF47F6-414A1D20\8ad603ff2.sys', '');
 DeleteFile('C:\Program Files (x86)\Acer\Acer Video Player\SwitchUserVideoKey.bat', '32');
 DeleteFile('C:\Program Files (x86)\Acer\Acer Video Player\SwitchUserVideoKey.bat', '64');
 DeleteFile('c:\users\михаил\appdata\local\temp\6AD160A-25E58D86-ABBF47F6-414A1D20\8ad603ff2.sys', '64');
 DeleteService('4583928AAC993712');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'gnaehbiiow', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'gnaehbiiow', '64');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-1281724309-3735558647-3631652947-1001\Software\Microsoft\Windows\CurrentVersion\RunOnce', 'SetAsDefault', '32');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-1281724309-3735558647-3631652947-1001\Software\Microsoft\Windows\CurrentVersion\RunOnce', 'SetAsDefault', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

eBay Worldwide - если не используете (не знакомо), то деинсталируйте.
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.


  • 0

#5 OFF   Yurij Kuznetsov

Yurij Kuznetsov

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 28 Февраль 2019 - 18:39

Здравствуйте!

Выполнение скрипта не проходит.

Скриншот в приложении.

 

Прикрепленные файлы


  • 0

#6 OFF   regist

regist

    Айболит-2010

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 6 181

Отправлено 28 Февраль 2019 - 21:23

Инструкцию надо внимательно читать. AVZ в папке Автологера.
В скрипте ошибок нет.


  • 0

#7 OFF   Yurij Kuznetsov

Yurij Kuznetsov

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 01 Март 2019 - 09:31

Да, Вы правы! Извините за невнимательность.

Скрипт сработал. quarantine.zip отправил. Жду ответа.

Спасибо!


  • 0

#8 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 669

Отправлено 01 Март 2019 - 09:54

Пока ждёте, делайте остальное:

- Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.
eBay Worldwide - если не используете (не знакомо), то деинсталируйте.  
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.


  • 0
Изображение

#9 OFF   Yurij Kuznetsov

Yurij Kuznetsov

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 01 Март 2019 - 11:30

Получил ответ:

Re: quarantine.zip [KLAN-9692205911]
newvirus@kaspersky.com
Кому: Yuri
 
сегодня, 9:33
Добавить категорию письма
 
 
 
 
 
 
Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
quarantine.zip

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700 
http://www.kaspersky.com https://www.securelist.com"

Отчет о работе утилиты ClearLNK.


Повторный запуск автологера.


Повторный запуск автологера

Прикрепленные файлы


  • 0

#10 OFF   regist

regist

    Айболит-2010

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 6 181

Отправлено 01 Март 2019 - 12:35


- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
не сделали.
  • 0

#11 OFF   Yurij Kuznetsov

Yurij Kuznetsov

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 01 Март 2019 - 16:42

Отправил.

MD5 карантина: 138CC22308F56565CC90922E93E0CED4


Имя файла: virusinfo_auto_MISHA.zip


  • 0

#12 OFF   regist

regist

    Айболит-2010

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 6 181

Отправлено 01 Март 2019 - 18:01

что сейчас с проблемой?


+

C:\Windows\system32\optsatadc.dll

проверьте на virustotal.com и оставьте здесь ссылку на отчёт.


  • 0

#13 OFF   Yurij Kuznetsov

Yurij Kuznetsov

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 01 Март 2019 - 18:40

С файлом optsatadc.dll все понятно.

Троян больше не появляется.

Огромное Спасибище за помощь!!!

Тему можно закрывать.


  • 0

#14 OFF   regist

regist

    Айболит-2010

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 6 181

Отправлено 01 Март 2019 - 19:17


С файлом optsatadc.dll все понятно.
что понятно, если вы его так и не проверили :search2:


Троян больше не появляется. Огромное Спасибище за помощь!!! Тему можно закрывать.
Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.

 
  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных