Перейти к содержанию
Правила раздела

Профилактика после "Баннера на рабочем столе"

CAIIIKA

От CAIIIKA
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

CAIIIKA Ветеран

CAIIIKA

Опубликовано
Опубликовано (изменено)

Уважаемые хелперы! Посмотрите всё ли в порядке. Сегодня прямо с утра поймал Баннер. Каким то образом он пропал (подозреваю что KIS 2011 всё таки его заблокировал <_<) после перезагрузки.

 

Да вот ещё, хотел узнать из этого отчёта, как он проник на комп(где его искать)

95a0915ccc30t.jpg

virusinfo_syscure.zip

hijackthis.log

Изменено пользователем CAIIIKA
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано (изменено)

вот ваша зверюга.

http://www.virustotal.com/file-scan/report...49cf-1293352126

видимо, KIS поместил его на карантин в результате сработки эвристики/проактивки, т.к. базами его ещё не знал.

можете отправить его из карантина на проверку в вирлаб.

 

Пофиксите в HijackThis:

F2 - REG:system.ini: Shell=C:\Users\8523~1\AppData\Local\Temp\0.8465596194027115.exe

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('WLControl.dll','');
QuarantineFile('C:\Users\8523~1\AppData\Local\Temp\0.8465596194027115.exe','');
QuarantineFile('C:\Users\8523~1\AppData\Local\Temp\*.exe','');
DeleteFile('WLControl.dll');
DeleteFile('C:\Users\8523~1\AppData\Local\Temp\0.8465596194027115.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs');
DeleteFileMask('C:\Users\8523~1\AppData\Local\Temp\','*.exe ',true ,' ');
DelAutorunByFileName('WLControl.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs','C:\PROGRA~2\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~2\KASPER~1\KASPER~1\sbhook.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Сделайте новые логи по правилам.

 

Приложите текстовый отчёт из KIS (как на картинке)

Изменено пользователем Roman_Five
Ссылка на комментарий
Поделиться на другие сайты
Мирный Атом Ветеран

Мирный Атом

Опубликовано
Опубликовано (изменено)

Roman_Five, а как же это?

 >>  Модифицирован ключ запуска проводника

Таблетка ExecuteRepair(16); нужна <_< +Ask toolbar надо бы удалить....

Изменено пользователем НФР
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
CAIIIKA Ветеран

CAIIIKA

Опубликовано
  • Автор
Опубликовано
вот ваша зверюга.

http://www.virustotal.com/file-scan/report...49cf-1293352126

видимо, KIS поместил его на карантин в результате сработки эвристики/проактивки, т.к. базами его ещё не знал.

можете отправить его из карантина на проверку в вирлаб

 

Да я это фалы уже отправил через Личный кабинет

 

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

 

0.772726366314125.exe,

0.8465596194027115.exe

 

Файлы в процессе обработки.

 

С уважением, Лаборатория Касперского

Подробный_отчёт.txt

Ссылка на комментарий
Поделиться на другие сайты
CAIIIKA Ветеран

CAIIIKA

Опубликовано
  • Автор
Опубликовано (изменено)

Ответ толь ко что пришёл.

Здравствуйте,

 

0.772726366314125.exe_, 0.8465596194027115.exe_ - Trojan-Ransom.Win32.Gimemo.fw

 

Детектирование файлов будет добавлено в следующее обновление.

 

 

С уважением,

Вирусный аналитик

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Изменено пользователем CAIIIKA
Ссылка на комментарий
Поделиться на другие сайты
CAIIIKA Ветеран

CAIIIKA

Опубликовано
  • Автор
Опубликовано
в логах чисто.

 

проверьте ещё такой утилитой.

http://support.kaspersky.ru/faq/?qid=208639606

лог из корня диска С приложите.

 

Готово.

TDSSKiller.2.4.12.0_26.12.2010_16.13.53_log.txt

Ссылка на комментарий
Поделиться на другие сайты
CAIIIKA Ветеран

CAIIIKA

Опубликовано
  • Автор
Опубликовано
тоже чисто.

проверьте на всякий случай на virustotal.com

H:\Destrib\Программы для G15\Новые\CPUtoG15 Beta\WinRing0x64.sys

 

Вот http://www.virustotal.com/file-scan/report...31b8-1285382326

 

P.S. Это программы для клавиатура Logitech G15.

 

Roman_Five спасибо вам большое за помощь <_<

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Олег Н
      Появляются странные файлы и папки на рабочем столе
      От Олег Н
      Здравствуйте.
      С 26.12.2024 стали появляться странные файлы и папки на рабочем столе. Антивирус угрозы в них не видит. Помогите разобраться, пожалуйста, что это?
       
      Desktop.rar
    • Mason19
      Строка поиска на рабочем столе.
      От Mason19
      Приветствую, по клавиатуре ноутбука прошелся кот и появилось поле для ввода поискового запроса с надписью: "введите текст здесь", подобное окно еще удалось вызвать на стационарном ПК, но что нажимал уже не помню. Какая программа или служба его вызывает? Окно похожее как на скришоте, только там Windows 11, а у меня на обоих ПК стоит Windows 10.

    • ACZ
      Не активен совместный доступ к рабочему столу в Kaspersky Security Center 14.2
      От ACZ
      Доброго времени суток!
      Не нашел по поиску решения данной проблемы. При выборе устройства (пк) в mmc консоли управления, не активен совместный доступ к рабочему столу в Kaspersky Security Center 14.2, хотя через Web консоль подключиться к любому пк, с помощью утилиты klsctunnel я могу. RDP порт открыт. Не подскажите в чем может быть проблема? Может ли быть что текущая лицензия не подходит?
       
      Kaspersky Security Center  "Лаборатория Касперского"  Версия: 14.2.0.26967
       
       

    • Frert
      Появилась папка на рабочем столе, без названия и не удаляется.
      От Frert
      Здравствуйте. Мне нужна помощь с тем,что после удаления офиса и скачивании пиратского с сайта из-за очень сильной необходимости  у меня появился вирус trojan win32 и hacktool win32 и на рабочем столе появилась папка без названия, которая не удаляется. Я приложил все логи после проверки. Прошу помочь мне с решение этой проблемы. Спасибо за понимание.
      CollectionLog-2024.09.06-14.40.zip
    • a.n.d.r.e.w
      Получил подарочек на Новый Год. Зараза зашифровала рабочий архив (((((((
      От a.n.d.r.e.w
      Привет, друзья. У меня небольшая организация, 5 рабочих мест, сисадмина нет. Есть виртуальный MS Server 2019 на VMWare работающий на одной из машин. Сервер используется как файловое хранилище и еще на нем sql работает для 1С. В конце декабря обновлял лицензию антивируса, оплатил Premium, который пытался установить и на сервер тоже, конечно не вышло. Думаю когда я искал браузер для установки антивируса тогда и налетел, потому что существующий IE не поддерживался. Последний раз работал 30.12.24, всё было норм. Когда решил заскочить проверить после НГ 01.01.25 обнаружил проблему. С машиной на которой стояла VMW всё хорошо, а в виртуальной системе все плохо. Я конечно все остановил сразу, но уже поздно было. Есть бэкап от октября, поэтому есть оригинальные файлы для анализа. Бесплатные утилиты пробовал, не получилось ничего, хотя может из-за кривых рук. Виртуальные диски скопировал. Монтировал напрямую, проверял антивирусом. Экспериментировал на копиях.
      Друзья, прошу помощи. Готов заплатить за работу!
       
      P.S. Во вложении несколько архивов
      xls, jpeg -в каждом два файла оригинал + шифрованный 
      pic - скриншоты
      htr - требования
      RFST - отчет Farbar Recovery Scan Tool 
      (местонахождение вируса выяснить не смог)
       
       
      htr.rar jpeg.rar pic.rar RFST.rar xls.rar
×
×
  • Создать...