Перейти к содержанию
Правила раздела
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

Профилактика после "Баннера на рабочем столе"

CAIIIKA

Автор CAIIIKA
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

CAIIIKA Ветеран

CAIIIKA

Опубликовано
Опубликовано (изменено)

Уважаемые хелперы! Посмотрите всё ли в порядке. Сегодня прямо с утра поймал Баннер. Каким то образом он пропал (подозреваю что KIS 2011 всё таки его заблокировал <_<) после перезагрузки.

 

Да вот ещё, хотел узнать из этого отчёта, как он проник на комп(где его искать)

95a0915ccc30t.jpg

virusinfo_syscure.zip

hijackthis.log

Изменено пользователем CAIIIKA
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано (изменено)

вот ваша зверюга.

http://www.virustotal.com/file-scan/report...49cf-1293352126

видимо, KIS поместил его на карантин в результате сработки эвристики/проактивки, т.к. базами его ещё не знал.

можете отправить его из карантина на проверку в вирлаб.

 

Пофиксите в HijackThis:

F2 - REG:system.ini: Shell=C:\Users\8523~1\AppData\Local\Temp\0.8465596194027115.exe

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('WLControl.dll','');
QuarantineFile('C:\Users\8523~1\AppData\Local\Temp\0.8465596194027115.exe','');
QuarantineFile('C:\Users\8523~1\AppData\Local\Temp\*.exe','');
DeleteFile('WLControl.dll');
DeleteFile('C:\Users\8523~1\AppData\Local\Temp\0.8465596194027115.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs');
DeleteFileMask('C:\Users\8523~1\AppData\Local\Temp\','*.exe ',true ,' ');
DelAutorunByFileName('WLControl.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs','C:\PROGRA~2\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~2\KASPER~1\KASPER~1\sbhook.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Сделайте новые логи по правилам.

 

Приложите текстовый отчёт из KIS (как на картинке)

Изменено пользователем Roman_Five
Ссылка на комментарий
Поделиться на другие сайты
Мирный Атом Ветеран

Мирный Атом

Опубликовано
Опубликовано (изменено)

Roman_Five, а как же это?

 >>  Модифицирован ключ запуска проводника

Таблетка ExecuteRepair(16); нужна <_< +Ask toolbar надо бы удалить....

Изменено пользователем НФР
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
CAIIIKA Ветеран

CAIIIKA

Опубликовано
  • Автор
Опубликовано
вот ваша зверюга.

http://www.virustotal.com/file-scan/report...49cf-1293352126

видимо, KIS поместил его на карантин в результате сработки эвристики/проактивки, т.к. базами его ещё не знал.

можете отправить его из карантина на проверку в вирлаб

 

Да я это фалы уже отправил через Личный кабинет

 

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

 

0.772726366314125.exe,

0.8465596194027115.exe

 

Файлы в процессе обработки.

 

С уважением, Лаборатория Касперского

Подробный_отчёт.txt

Ссылка на комментарий
Поделиться на другие сайты
CAIIIKA Ветеран

CAIIIKA

Опубликовано
  • Автор
Опубликовано (изменено)

Ответ толь ко что пришёл.

Здравствуйте,

 

0.772726366314125.exe_, 0.8465596194027115.exe_ - Trojan-Ransom.Win32.Gimemo.fw

 

Детектирование файлов будет добавлено в следующее обновление.

 

 

С уважением,

Вирусный аналитик

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Изменено пользователем CAIIIKA
Ссылка на комментарий
Поделиться на другие сайты
CAIIIKA Ветеран

CAIIIKA

Опубликовано
  • Автор
Опубликовано
в логах чисто.

 

проверьте ещё такой утилитой.

http://support.kaspersky.ru/faq/?qid=208639606

лог из корня диска С приложите.

 

Готово.

TDSSKiller.2.4.12.0_26.12.2010_16.13.53_log.txt

Ссылка на комментарий
Поделиться на другие сайты
CAIIIKA Ветеран

CAIIIKA

Опубликовано
  • Автор
Опубликовано
тоже чисто.

проверьте на всякий случай на virustotal.com

H:\Destrib\Программы для G15\Новые\CPUtoG15 Beta\WinRing0x64.sys

 

Вот http://www.virustotal.com/file-scan/report...31b8-1285382326

 

P.S. Это программы для клавиатура Logitech G15.

 

Roman_Five спасибо вам большое за помощь <_<

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • DarkMeF
      [РЕШЕНО] ошибка 0xc0000017 удаленный рабочий стол
      Автор DarkMeF
      Добрый день, подскажите как решить данную проблему. Думал что только на удаленку не заходит. а оказалось командная строка тоже не все команды выполняет(та же ошибка) и службы вообще не открываются
       

    • kirill1
      диспетчер окон рабочего стола грузит видеокарту
      Автор kirill1
      Диспетчер окон рабочего стола грузит видеокарту, переустанавливал виндовс много раз также форматировал полностью диск, проверял на вирусы. Ничего не помогает. Хелп пожалуйста. 

    • BirdMom
      Профилактика
      Автор BirdMom
      Совсем недавно установил Directory Opus по левому так как они сделали нам невозможно заплатить за ее, хочется проверится.
      CollectionLog-2025.01.23-16.42.zip
    • Andrew GHJK
      не удалось подключиться к удаленному рабочему столу system error 0x80040202 (?)
      Автор Andrew GHJK
      Здравствуйте, я в неком замешательстве:) за почти 6 лет использования касперского - такую ошибку вижу впервые. Пользователя вижу, выбираю совместный доступ, выбор сессии, подключение к удаленному рабочему столу, 2 сек и ошибка
       

    • KasatkinMihail
      Зашифровали рабочий сервер
      Автор KasatkinMihail
      Доброго всем дня, в нерабочий день путем взлома RDP зашифровали сервер, поиск подобных случаев не дал результат, на письма по адресам в письме не отвечаю на вопрос сколько денег просят.
       
      ШИФР.rar Logs.rar
×
×
  • Создать...