Перейти к содержанию
Правила раздела

K Crystal and Exploit

Lll

От Lll
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Lll Новичок

Lll

Опубликовано
Опубликовано

Проблема схожая с http://forum.kasperskyclub.ru/index.php?showtopic=22875, только что вместо KIS 11 KCrystal.

 

Имя проблемного события: APPCRASH

Имя приложения: avp.exe

Версия приложения: 9.0.0.199

Штамп времени приложения: 4bab659e

Имя модуля с ошибкой: Ushata.dll

Версия модуля с ошибкой: 9.0.0.199

Штамп времени модуля с ошибкой: 4bab75b7

Код исключения: c0000005

Смещение исключения: 000020c5

Версия ОС: 6.0.6002.2.2.0.768.3

Код языка: 1049

Дополнительные сведения 1: ca78

Дополнительные сведения 2: 50cdfd8c8db26c264da3c86e16e81588

Дополнительные сведения 3: 79c5

Дополнительные сведения 4: a1ad850ab7f318cfa31e2b1e412b3b75

 

Дополнительные сведения о проблеме

Код черпака: 1811348419

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано (изменено)

Диск F - флэшка? не забудьте подключить перед выполнением скрипта.

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Windows\system32\mcp.cpl','');
QuarantineFile('C:\Windows\Installer\{D27AB79F-B1B3-49E1-97E7-94E30882F01F}\_112AFB1E788558580027CB.exe','');
QuarantineFile('C:\Windows\Installer\{A1400000-0000-0000-0000-074957833700}\_SHCT_Lingvo.exe_A1400000000000000000074957833700.exe','');
QuarantineFile('C:\Windows\Installer\{350FB27C-CF62-4EF3-AF9D-70FF313FE221}\iTunesIco.exe','');
QuarantineFile('C:/Program Files/Common Files/Akamai/netsession_win_062a651.dll','');
QuarantineFile('C:\Windows\system32\DRIVERS\usbser_lowerflt.sys','');
QuarantineFile('C:\Program Files\4GAME\R2Online\frost\frost.sys','');
QuarantineFile('c:\program files\common files\akamai\netsession_win_062a651.dll','');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('C:\Windows\Installer\{701FBA22-A157-4F69-91A5-CBED824ADF7A}\AS3SE_StartMenu_188BCF12305644C9A66DF7A168ABCB10.exe','');
QuarantineFile('C:\Windows\Installer\{701FBA22-A157-4F69-91A5-CBED824ADF7A}\AS3SE_Desktop_188BCF12305644C9A66DF7A168ABCB10.exe','');
QuarantineFile('C:\Windows\Installer\{701FBA22-A157-4F69-91A5-CBED824ADF7A}\ARPPRODUCTICON.exe','');
QuarantineFile('C:\Windows\Installer\f5fd0e.msi','');
QuarantineFile('C:\Windows\Installer\dd02e.msi','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Рекомендуется удалить ПО, которое может конфликтовать

с установленным Kaspersky Crystal:

- Symantec *

Если данные программы были ранее удалены некорректно,

можно воспользоваться специализированными утилитами

по очистке их следов с сайтов производителей данного ПО.

 

У Вас был установлен avptool. временно деинсталлируёте Crystal, воспользуйтесь утилитой (выберите удалить все возможные продукты, если не увидит avptool).

После перезагрузки установите обратно Crystal.

 

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно (загрузить обновление MBAM).

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

 

Сделайте новые логи по правилам.

Изменено пользователем Roman_Five
Ссылка на комментарий
Поделиться на другие сайты
Lll Новичок

Lll

Опубликовано
  • Автор
Опубликовано (изменено)

отчет Malwarebytes

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Версия базы данных: 5050

 

Windows 6.0.6002 Service Pack 2

Internet Explorer 8.0.6001.18975

 

05.11.2010 23:30:17

mbam-log-2010-11-05 (23-30-17).txt

 

Тип сканирования: Полное сканирование (C:\|D:\|F:\|)

Просканированные объекты: 451717

Времени прошло: 2 часов, 6 минут, 31 секунд

 

Зараженные процессы в памяти: 0

Зараженные модули в памяти: 0

Зараженные ключи в реестре: 0

Зараженные параметры в реестре: 0

Объекты реестра заражены: 0

Зараженные папки: 0

Зараженные файлы: 0

 

Зараженные процессы в памяти:

(Вредоносных программ не обнаружено)

 

Зараженные модули в памяти:

(Вредоносных программ не обнаружено)

 

Зараженные ключи в реестре:

(Вредоносных программ не обнаружено)

 

Зараженные параметры в реестре:

(Вредоносных программ не обнаружено)

 

Объекты реестра заражены:

(Вредоносных программ не обнаружено)

 

Зараженные папки:

(Вредоносных программ не обнаружено)

 

Зараженные файлы:

(Вредоносных программ не обнаружено)

 

 

Чистка реестра не помогла.

 

Ответ от лаборатории еще не пришел. Проблема всё ещё не решена

virusinfo_syscheck.zip

hijackthis.log

virusinfo_syscure.zip

Изменено пользователем Lll
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
как была решена в проблема в случае

самого решения там нет: файлы взяты в карантин и была сделана полная проверка r-disk'ом...

а вот ещё пример

http://forum.kasperskyclub.ru/index.php?sh...st&p=339824

 

поищите у себя на компьютере через AVZ файлы clldr.dll, clldr.ini, fltlib.dll, fltlib.ini

инстукция - http://virusinfo.info/showthread.php?t=4567

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • ksp_user
      Ransomware attack ( id[bMtMPqp].stop ) in my PC and Google drive
      От ksp_user
      Two months ago, suddenly, my Windows 11 PC refused me login. I tried several methods and everything failed and lead to fully format the PC. 
       
      Usually, I keep a copy of my notes in Google Drive so I did not worry much. 
       
      But I have noticed that my Google Drive also infected by a ransomware almost all the files there, renamed them to <filename>.<file extention>.id[bMtMPqp].stop and encrypted. 
       
      Since I couldn't log in to my PC , most probably ransomware encrypted the system files, I did not see any ransom notes or anything.
       
      Is it possible to identify the ransomware and decrypt the files in the Google Drive?
       
      Thanks.  
    • МихаилЕ
      KSWS и Veeam Backup and Replication
      От МихаилЕ
      Добрый день!
      После установки KSWS на windows-серверы заметили рост объема ежедневных инкрементных бэкапов, которые делаются с помощью Veeam, в среднем на ~2-4Гб. 
      До KSWS использовался ESET и подобных проблем не было.
      Есть предположение, что изменения вызваны ежедневным обновлением антивирусной базы (каждые 12 ч). Размер C:\ProgramData\Kaspersky Lab в среднем 1,7 Гб. и учитывая, что обновление может успеть произойти дважды до ночного архивирования, сумма прироста подтверждается.
      Обычный объем архивируемых данных был 200-500 Мб.
      Возможно ли уменьшить объем изменяемых KSWS блоков данных на диске, чтобы уменьшить размер архивов?
      Возможно ли перенести размещение баз и temp из C:\ProgramData\Kaspersky Lab в другую папку?
    • ameri
      Restrictions on adding and removing Kaspersky licenses
      От ameri
      Hello and have a good time. My question is whether the Kaspersky license has restrictions to remove and add on one or several different devices. And how many licenses can we remove and add again?
    • aa3mandius
      All your files have been stolen and encrypted by C0MET
      От aa3mandius
      Добрый день!
      Поймали шифровальщика, формат расширения Gh9ILJq8R
      Никакой инфы нет. Сталкивался кто ?
    • AndrewDanilov
      GlobeImposter 2.0 cyber761@tuta.io and cyber@asia.com and cyber761@proton.me
      От AndrewDanilov
      Всем доброго дня.
      Столкнулись с проблемой зашифровки данных. 
      Вероятно проникли через RDP порт.
      По данным портала https://id-ransomware.malwarehunterteam.com/identify.php?case=e67359c2d3a82a25ca820bb8d43542fc05fdd5e8 это GlobeImposter 2.0
      Погуглив по форуму пишут что шансов мало ...
      Прикладываю:
      1) пример 3х файлов: docx & PDF & файл hta (Архив  Files - пароль virus)
      2) отчет сканирования по инструкции
      3) снимок экрана о вымогательстве
       

      Files.rar FRST.txt
×
×
  • Создать...