Перейти к содержанию
Правила раздела

Троян и баннер Активация ПО FileDownloader смс

yess888

От yess888
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

yess888 Новичок

yess888

Опубликовано
Опубликовано

После удаления ветки в реестре связанной с баннером и файлом siszyd32 - баннер пропал. Но в менеджере

процессов AVZ показывает в некоторых процессах подключенные библиотеки akegoprn.dll логи прикрепляю.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты
Venus Doom Постоялец

Venus Doom

Опубликовано
Опубликовано

Выполните скрипт в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\winsrv.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys','');
QuarantineFile('\?\C2CAD972#4079#4fd3#A68D#AD34CC121074\b48dadf8.sys','');
QuarantineFile('C:\WINDOWS\system32\aekgoprn.dll','');
DeleteService('upperdev');
DeleteFile('C:\WINDOWS\system32\aekgoprn.dll');
DeleteFile('\?\C2CAD972#4079#4fd3#A68D#AD34CC121074\b48dadf8.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys');
DeleteFile('C:\WINDOWS\system32\winsrv.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Java Plug-in');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('\?\C2CAD972#4079#4fd3#A68D#AD34CC121074\b48dadf8.sys');
BC_Activate;
Sleep(180);
RebootWindows(true);
end.

 

Компьютер перезагрузится

 

Выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip отправьте на newvirus@kaspersky.com

 

Сделайте новые логи

Ссылка на комментарий
Поделиться на другие сайты
Venus Doom Постоялец

Venus Doom

Опубликовано
Опубликовано

Выполните скрипт:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\aekgoprn.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
Sleep(300);
RebootWindows(true);
end.

Дождитесь перезагрузки. Сделайте новые логи + такой лог: http://virusinfo.info/showthread.php?t=40118

Ссылка на комментарий
Поделиться на другие сайты
snifer67 Ветеран

snifer67

Опубликовано
Опубликовано

1. запустить программку, что в аттаче. ПК будет перезагружен.

2. удалить в %systemroot%\system32\drivers\swenum.sys и убедиться, что WFP восстановила файл. Если файл не восстановился по какой-либо причине - скопировать его с другого ПК на место удаленного.

Ссылка на комментарий
Поделиться на другие сайты
yess888 Новичок

yess888

Опубликовано
  • Автор
Опубликовано (изменено)

Выполнил скрипт, логи + лог GMER.

А к совету Snifera67 пока не прибег. Что делать дальше?

 

 

Всетки запустил get2 и удалил файл swenum.sys

Перезагрузился. Винда восстановила его.

Открыл процессы с помощью диспетчера процессов AVZ. И наконецто из текущих процессов винды исчезла библиотека aekgoprn.dll ! Надеюсь это и есть конечная точка решения моей проблемы :) Всем большое спасибо! Теперь вопросик: комп корпоративный, стоит запароленный касперский 6.0. От вируса он не спас как видите. Можно ли поставить какой-нибудь файрволл который не конфликтует с каспером? И вообще - какие советы чтоб впредь не ловить такой вирус? (никакие проги не запускались..вирус проник с обычного сайта без каких либо активных действий с моей стороны).

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

GMER.log

Изменено пользователем yess888
Ссылка на комментарий
Поделиться на другие сайты
vit9696 Гигант мысли

vit9696

Опубликовано
Опубликовано
Выполнил скрипт, логи + лог GMER.

А к совету Snifera67 пока не прибег. Что делать дальше?

 

 

Всетки запустил get2 и удалил файл swenum.sys

Перезагрузился. Винда восстановила его.

Открыл процессы с помощью диспетчера процессов AVZ. И наконецто из текущих процессов винды исчезла библиотека aekgoprn.dll ! Надеюсь это и есть конечная точка решения моей проблемы :) Всем большое спасибо! Теперь вопросик: комп корпоративный, стоит запароленный касперский 6.0. От вируса он не спас как видите. Можно ли поставить какой-нибудь файрволл который не конфликтует с каспером? И вообще - какие советы чтоб впредь не ловить такой вирус? (никакие проги не запускались..вирус проник с обычного сайта без каких либо активных действий с моей стороны).

Сбросьте пароль, вроде утилита для этого есть, поищите на оф. сайте и поставьте последнюю версию корпоративки она намного лучше предыдущей.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C2CAD972#4079#4fd3#A68D#AD34CC121074\b48dadf8.sys','');
DeleteService('Mswdmmpxarv');
QuarantineFile('Mswdmmpxarv.sys','');
DeleteFile('Mswdmmpxarv.sys');
DeleteFile('C2CAD972#4079#4fd3#A68D#AD34CC121074\b48dadf8.sys');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Сделайте новые логи

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • dexter
      Активация продукта
      От dexter
      И снова здравствуйте !
       
      Вопрос скорее всего к разрабам. Но всем, кто разъяснит ситуацию, буду благодарен.
       
      Установлена лицензия Премиум. Осталось ещё 21 день. Приобрёл электронно подписку на Плюс. Плюс, естественно, ещё не устанавливал.
      НО. Отсчёт времени на использование уже пошёл. Как такое может быть ? И с каких пор счётчик стал включаться сразу после приобретения ?
    • amirus
      Проблема с активацией. Техподдержка не отвечает.
      От amirus
      Всем привет. Никогда не писал нафорумах по ативирусам, более 10 лет пользовался альтернативой, проблем не знал. Касперский заставляет не только писать на форумах, но и нервничать. Проблема следующая. До конца подписки 281 день. 2 устройства подключены, работают. На третьем переустановил систему, и теперь не могу установить антивируник. Ссылку на загрузку беру именно с mykaspersky. То ему не нравится регион, а если не на регион, говорит нет активной подписки, хотя она есть! И пишут в FAQ что программа активируется автоматичеки, но по факту просит код. Кода активации нет, ввести не могу, техподдержка в трансе, не отвечает... В прошлом году была такая же проблема, но техподдержка решила, но каждый раз терпеть эти тряски напрягает.  Как быть, подскажите пожалуйста?


    • Qray
      После активации системы кмс активатором подхватил майнера
      От Qray
      Здравствуйте, недавно слетела активация виндовс 10 и я как обычно скачал кмс активатор с того же сайта, с которого скачивал и до этого. Система активировалась, все хорошо. Сегодня заметил, что компьютер в простое сильно шумит. А именно куллер видеокарты. Зашел в диспетчер задач - загрузка цп и гп обычная, но температура гп около 67 градусов. (ранее при активации системы кмсом такого не наблюдалось) Далее начали провялятся другие интересные симптомы: При попытке поиска информации об удалении вируса тупо закрывается эдж, также через некоторое время закрывается диспетчер задач и почти сразу начинается нагрев. Поискав информацию в интернете на другом пк наткнулся на эту тему, прочитал порядок оформления запроса о помощи делаю все по инструкции (пытаюсь по крайней мере) Скачал автологгер, запустил процесс, получил нужный файл. Но при этом перезагрузка системы не происходила (система 64 бит виндовс 10) 
      Приклепляю файлы из автолггера и FRST. Помогите пожалуйста 🥺
      CollectionLog-2024.12.29-14.21.zip Addition.txt FRST.txt
    • tau34
      Троян в pdf файле?
      От tau34
      Здравствуйте зашел на один сайт посмотреть pdf документ и Касперский выдад уведомление , мне сейчас надо как то удалять его или что? пишет вот такой троян:  HEUR:Trojan.PDF.Badur.gena
      я просто в браузере pdf открыл этот там видать ссылка на вредоносный сайт или что раз так Касперский срнагировал
       
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь по персональным продуктам  
       
       
       
       
       
       
       
       

    • timoshka
      Троян что да каk
      От timoshka
      И так я скачал игру(пиратку, не горжусь) и при проверки системы нашло троян. Прошел все удаление, перезапуск системы. Но я не уверен что он удалился на 100%, как это можно проверить? прошел быструю проверку ничего не нашло, щас запустил полную. 
      Возможно ли что антивирусник так ошибся и ка точно удалить троян если он остался(мб система не удалило его)
      Да, мне страшно...
      как закончится полная напишу что сказало
       
      ничего не нашло, только написало что 1 обьект не был проверен в облаке, может ли быть это троян?
×
×
  • Создать...