Перейти к содержимому


Фотография
- - - - -

Trojan.Win32.Cometer.gen - комп.4

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 12

#1 OFF   v_nov

v_nov

    Новичок

  • Новички
  • Cообщений: 17

Отправлено 29 Апрель 2019 - 16:31

Здравствуйте! 

Мной ранее была создана тема "Trojan.Win32.Cometer.gen"  https://forum.kasper...showtopic=62646

 

"На нескольких компьютерах в ЛВС "Kaspersky Endpoint Security 10" обнаружил вирус Trojan.Win32.Cometer.gen. На компьютерах появился новый пользователь "k8h3d". КЕS "пролечил" компьютеры с перезагрузкой, пользователя вручную тоже удалил. После этого заражения компьютеры стали "вываливаться" по stop error 0x0000007f. И происходит это на 5 компьютерах, примерно в одно и тоже время (перегрузился один; жди, что сейчас и остальные перезагрузятся). Проверил CureIt, КVR, на целосность sfc, на одном из компьютеров откатился на дату до обнаружения вирусов - безрезультатно. Все компьютеры с win 7, обновление системы было отключено. На одном из компьютеров попробовал поставить все возможные обновления через центр обновлений. Обновления устанавливаются, но компьютер после этого загружается до рабочего стола и уходи на перезагрузку. В безопасном режиме удалил часть обновлений kb4493472, kb4474419, kb4019990, kb3184143, kb3179573, kb3161949, kb3137061, bk3133977 - компьютер стал загружаться, но все равно хоты бы раз за день вываливается в синий экран. Может кто сталкивался с подобным?"

 

На первом комп-ре ничего плохого в логах не было . Это логи с 4-го компьютера. 

 
 

Прикрепленные файлы


  • 0

#2 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 824

Отправлено 29 Апрель 2019 - 22:51

Здравствуйте,

В AVZ выполните следующее:
"Файл/Стандартные скрипты"-> 6. Удаление всех драйверов и ключей реестра AVZ.

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    Start::
    CreateRestorePoint:
    Folder: C:\Program Files\Common Files\MSSoap
    Folder: C:\ProgramData\Mozilla
    Reboot:
    End::
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.


Обратите внимание на события связанные с диском (hdd), дисковым накопителем (флэшкой)
Error: (04/29/2019 01:30:50 PM) (Source: Disk) (EventID: 11) (User: )
Description: Драйвер обнаружил ошибку контроллера \Device\Harddisk1\DR1.

Error: (04/29/2019 01:30:49 PM) (Source: Disk) (EventID: 11) (User: )
Description: Драйвер обнаружил ошибку контроллера \Device\Harddisk1\DR1.

Error: (04/29/2019 01:30:49 PM) (Source: Disk) (EventID: 11) (User: )
Description: Драйвер обнаружил ошибку контроллера \Device\Harddisk1\DR1.

Error: (04/29/2019 01:30:48 PM) (Source: Disk) (EventID: 11) (User: )
Description: Драйвер обнаружил ошибку контроллера \Device\Harddisk1\DR1.

Error: (04/29/2019 01:29:25 PM) (Source: EventLog) (EventID: 6008) (User: )

  • 0

#3 OFF   v_nov

v_nov

    Новичок

  • Новички
  • Cообщений: 17

Отправлено 30 Апрель 2019 - 14:00

лог-файл FRST

Прикрепленные файлы

  • Прикрепленный файл  Fixlog.txt   3,25К   скачиваний 1

  • 0

#4 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 824

Отправлено 01 Май 2019 - 01:15

Ничего плохого не увидел в логе. Проблема еще беспокоит?


  • 0

#5 OFF   v_nov

v_nov

    Новичок

  • Новички
  • Cообщений: 17

Отправлено 16 Май 2019 - 10:41

Здравствуйте. Были выходные, набирал статистику. Этот комп так и перезагр-ся.
  • 0

#6 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 824

Отправлено 16 Май 2019 - 12:55

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 


  • 0

#7 OFF   v_nov

v_nov

    Новичок

  • Новички
  • Cообщений: 17

Отправлено 17 Май 2019 - 10:57

лог-файл FRST

Прикрепленные файлы

  • Прикрепленный файл  FRST.txt   32,66К   скачиваний 2
  • Прикрепленный файл  Addition.txt   19,62К   скачиваний 2

  • 0

#8 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 824

Отправлено 17 Май 2019 - 17:01

Согласно логам образуются дампы, возможно проблема системная. Могли бы следующие мини-дампы заархивировать и загрузить на какое-то файловое хранилище(например яндекс-диск, гугл-диск и т.п.) и приложить линк для скачивания, необходимо для дальнейшего анализа.
 

2019-05-16 11:20 - 2019-05-16 11:21 - 000161928 _____ C:\Windows\Minidump\051619-13390-01.dmp
2019-05-15 11:33 - 2019-05-15 11:33 - 000161912 _____ C:\Windows\Minidump\051519-14171-01.dmp
2019-05-13 13:24 - 2019-05-13 13:24 - 000161928 _____ C:\Windows\Minidump\051319-15890-01.dmp
2019-05-08 11:35 - 2019-05-08 11:35 - 000161912 _____ C:\Windows\Minidump\050819-12906-01.dmp
2019-05-07 12:08 - 2019-05-07 12:08 - 000161928 _____ C:\Windows\Minidump\050719-13156-01.dmp
2019-05-06 12:29 - 2019-05-06 12:29 - 000161912 _____ C:\Windows\Minidump\050619-13390-01.dmp
2019-04-29 11:59 - 2019-04-29 11:59 - 000161912 _____ C:\Windows\Minidump\042919-13781-01.dmp
2019-04-26 12:39 - 2019-04-26 12:39 - 000161912 _____ C:\Windows\Minidump\042619-14234-01.dmp
2019-04-25 12:16 - 2019-04-25 12:16 - 000161912 _____ C:\Windows\Minidump\042519-13281-01.dmp
2019-04-23 11:41 - 2019-04-23 11:41 - 000161912 _____ C:\Windows\Minidump\042319-13187-01.dmp
2019-04-22 17:25 - 2019-04-22 17:25 - 000161912 _____ C:\Windows\Minidump\042219-14171-01.dmp
2019-04-22 11:31 - 2019-04-22 11:31 - 000161928 _____ C:\Windows\Minidump\042219-13828-01.dmp
2019-04-19 12:50 - 2019-04-19 12:50 - 000161912 _____ C:\Windows\Minidump\041919-14093-01.dmp
2019-04-18 13:00 - 2019-04-18 13:00 - 000161912 _____ C:\Windows\Minidump\041819-13718-01.dmp

C:\Windows\MEMORY.DMP.

В событиях видно следюущиее:

Error: (05/16/2019 11:21:01 AM) (Source: BugCheck) (EventID: 1001) (User: )
Description: Компьютер был перезагружен после критической ошибки.  Код ошибки: 0x0000007f (0x0000000f, 0xffdff3db, 0x00000000, 0x00000000). Дамп памяти сохранен в: C:\Windows\MEMORY.DMP. Код отчета: 051619-13390-01.

Есть предположение, что происходит это из-за конфликнта продуктов Лаборатории Касперского и ViPNet Client (InfoTeCS), но сказать точнее смогу после анализа дампов.

 


  • 0

#9 OFF   v_nov

v_nov

    Новичок

  • Новички
  • Cообщений: 17

Отправлено 20 Май 2019 - 10:28

Здравствуйте. Дампы: https://yadi.sk/d/YAGlL1051pFXTQ
  • 0

#10 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 824

Отправлено 20 Май 2019 - 15:41

Проблема возникает по вине ViPNet Client (InfoTeCS), по сей видимости из-за конликта антируса и впн-клиента.
 

Use !analyze -v to get detailed debugging information.

BugCheck 7F, {f, ffdff3a7, 0, 0}

Probably caused by : ntkrnlmp.exe ( nt!KiSystemServicePostCall+e )

--------------
DEFAULT_BUCKET_ID:  WIN7_DRIVER_FAULT

PROCESS_NAME:  Itcsnatproxy.E

 


  • 0

#11 OFF   v_nov

v_nov

    Новичок

  • Новички
  • Cообщений: 17

Отправлено 23 Май 2019 - 14:40

Спасибо большое. А проблема этого конфликта решаема?
  • 0

#12 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 824

Отправлено 23 Май 2019 - 17:21

Указанная проблема не относится к разделу вирусбойни, могли бы создать новую тему в разделе компьютерная помощь.
Оставив ссылку на эту тему. В некоторых источниках пишут, что помогает решить проблему, если в начале установить VipNet а потом уже антивирус Лаборатории Касперского, однако каждый случай уникальный и не всегда он подходит ко всем случаям
  • 0

#13 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 824

Отправлено 26 Май 2019 - 05:16

В завершение:

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 


  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных