Перейти к содержанию
Правила раздела

Троян и баннер Активация ПО FileDownloader смс

yess888

От yess888
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

yess888 Новичок

yess888

Опубликовано
Опубликовано

После удаления ветки в реестре связанной с баннером и файлом siszyd32 - баннер пропал. Но в менеджере

процессов AVZ показывает в некоторых процессах подключенные библиотеки akegoprn.dll логи прикрепляю.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты
Venus Doom Постоялец

Venus Doom

Опубликовано
Опубликовано

Выполните скрипт в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\winsrv.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys','');
QuarantineFile('\?\C2CAD972#4079#4fd3#A68D#AD34CC121074\b48dadf8.sys','');
QuarantineFile('C:\WINDOWS\system32\aekgoprn.dll','');
DeleteService('upperdev');
DeleteFile('C:\WINDOWS\system32\aekgoprn.dll');
DeleteFile('\?\C2CAD972#4079#4fd3#A68D#AD34CC121074\b48dadf8.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys');
DeleteFile('C:\WINDOWS\system32\winsrv.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Java Plug-in');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteFile('\?\C2CAD972#4079#4fd3#A68D#AD34CC121074\b48dadf8.sys');
BC_Activate;
Sleep(180);
RebootWindows(true);
end.

 

Компьютер перезагрузится

 

Выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip отправьте на newvirus@kaspersky.com

 

Сделайте новые логи

Ссылка на комментарий
Поделиться на другие сайты
Venus Doom Постоялец

Venus Doom

Опубликовано
Опубликовано

Выполните скрипт:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\aekgoprn.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
Sleep(300);
RebootWindows(true);
end.

Дождитесь перезагрузки. Сделайте новые логи + такой лог: http://virusinfo.info/showthread.php?t=40118

Ссылка на комментарий
Поделиться на другие сайты
snifer67 Ветеран

snifer67

Опубликовано
Опубликовано

1. запустить программку, что в аттаче. ПК будет перезагружен.

2. удалить в %systemroot%\system32\drivers\swenum.sys и убедиться, что WFP восстановила файл. Если файл не восстановился по какой-либо причине - скопировать его с другого ПК на место удаленного.

Ссылка на комментарий
Поделиться на другие сайты
yess888 Новичок

yess888

Опубликовано
  • Автор
Опубликовано (изменено)

Выполнил скрипт, логи + лог GMER.

А к совету Snifera67 пока не прибег. Что делать дальше?

 

 

Всетки запустил get2 и удалил файл swenum.sys

Перезагрузился. Винда восстановила его.

Открыл процессы с помощью диспетчера процессов AVZ. И наконецто из текущих процессов винды исчезла библиотека aekgoprn.dll ! Надеюсь это и есть конечная точка решения моей проблемы :) Всем большое спасибо! Теперь вопросик: комп корпоративный, стоит запароленный касперский 6.0. От вируса он не спас как видите. Можно ли поставить какой-нибудь файрволл который не конфликтует с каспером? И вообще - какие советы чтоб впредь не ловить такой вирус? (никакие проги не запускались..вирус проник с обычного сайта без каких либо активных действий с моей стороны).

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

GMER.log

Изменено пользователем yess888
Ссылка на комментарий
Поделиться на другие сайты
vit9696 Гигант мысли

vit9696

Опубликовано
Опубликовано
Выполнил скрипт, логи + лог GMER.

А к совету Snifera67 пока не прибег. Что делать дальше?

 

 

Всетки запустил get2 и удалил файл swenum.sys

Перезагрузился. Винда восстановила его.

Открыл процессы с помощью диспетчера процессов AVZ. И наконецто из текущих процессов винды исчезла библиотека aekgoprn.dll ! Надеюсь это и есть конечная точка решения моей проблемы :) Всем большое спасибо! Теперь вопросик: комп корпоративный, стоит запароленный касперский 6.0. От вируса он не спас как видите. Можно ли поставить какой-нибудь файрволл который не конфликтует с каспером? И вообще - какие советы чтоб впредь не ловить такой вирус? (никакие проги не запускались..вирус проник с обычного сайта без каких либо активных действий с моей стороны).

Сбросьте пароль, вроде утилита для этого есть, поищите на оф. сайте и поставьте последнюю версию корпоративки она намного лучше предыдущей.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\regedit.exe','');
QuarantineFile('C2CAD972#4079#4fd3#A68D#AD34CC121074\b48dadf8.sys','');
DeleteService('Mswdmmpxarv');
QuarantineFile('Mswdmmpxarv.sys','');
DeleteFile('Mswdmmpxarv.sys');
DeleteFile('C2CAD972#4079#4fd3#A68D#AD34CC121074\b48dadf8.sys');
DeleteFile('C:\WINDOWS\system32\regedit.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Сделайте новые логи

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • orpham
      троян .kwx8
      От orpham
      Добрый день.
      15.02 вечером, зашифровало все файлы. Комп настроен для удаленного подключения по RDP, включен круглосуточно. Все файлы с расширением .kwx8/
      Помогите пож-та.
      Лог сканирования KVRT во вложении.
      report_2025.02.17_15.55.29.klr.rar
    • GLORYX
      скачал какой то вирус вроде троян
      От GLORYX
      не знаю как но где словил троян в диспечере задай просто находится пустой проц с аватаркой шестеренки пробовал через все програму успехом не увенчалось.
    • Андрей.а.а
      Виртуальный сервер активация клиентов.
      От Андрей.а.а
      Прошу прощения, за дублирование темы. Решения не нашел. Нашел похожу тему, но она не сработала.
        В общем повторю еще раз, на виртуальном сервере отображается только истекающая лицензию на машины, новой не видно. На основном сервере лицензия добавлена, отображается и ей активирована основная часть машин. При попытке создания задачи распространения ключа через файл ключа на виртуальном сервере, на клиенте возникает ошибка "Нарушено Лицензионное соглашение" и активация удаляется. Нормально активировать можно только тем ключем, который виден в хранилище и никак иначе. Если отозвать лицензию у клиента принудительно, то активация "не прилетает" от вышестоящего сервера. При попытке добавить ключ активации на вирт сервер выдает сообщение, что данная лицензия уже присутствует в хранилище.
        Официальная поддержка пока молчит через корп кабинет. Сегодня истекает срок действия текущего ключа.
       
    • Hendehog
      Помощь в определении функциональности трояна
      От Hendehog
      Здравствуйте.
      Вирус замаскированный под файл от госорганов.
      Просканировал KVRT, DR.Web, и сняты логи автологгером.
      Прошу подсказки - что именно делается вирус, куда внедряется, как ворует деньги с банковских счетов?
      Ну и понять, чист сейчас ПК или нет.
      CollectionLog-2025.02.07-10.57.zip KVRT2020_Data.zip
    • SuPeR_1
      Словил вирус-майнер-троян до приобретения касперского стандарта пробной подписки и он не видит вирус-майнер-троян
      От SuPeR_1
      Когда играл заметил что ФПС низкий почему то, решил быстро клавишами Ctrl+Shift+Esc диспетчер задач и ЦП со 100% резко падал до дна, и не надо как в прошлый раз писать что диспетчер задач не означает что есть вирус-майнер-троян, у меня ведь и ФПС низкий, раньше в Minecraft были 100-200 ФПС, сейчас 60 и даже меньше. Провёл сканером Dr web и логи собрал. Пол года назад тоже тут обращался, помогли, надеюсь и в этот раз помогут и буду теперь все файлы проверять онлайн-сканером
      CollectionLog-2025.02.23-15.08.zip
×
×
  • Создать...