Перейти к содержанию
Правила раздела

проблема с запуском

PlaySten

От PlaySten
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

PlaySten Новичок

PlaySten

Опубликовано
Опубликовано

Проблема с запуском txt файлов и реестра. выдает ошибку "не является приложением win32"

Строгое предупреждение от модератора Mark D. Pearlstone
Не выкладывайте карантин на форум. Файл удалён.

 

.bat кстати тоже не робят

 

и .exe)

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscure.xml

virusinfo_syscure.htm

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

PlaySten,

экспериментировать с вредоносами на реальной машине чревато.

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
ClearHostsFile;
TerminateProcessByName('c:\program files\regdoctor\regdoctor.exe');
StopService('truecrypt');
QuarantineFile('C:\Windows.old\Program Files\NetDragon\91 Mobile\iPhone\Updater\ndFunctions.dll.zip','');
QuarantineFile('C:\Windows\system32\userinit.exe','');
QuarantineFile('C:\Windows\system32\drivers\rdvgkmd.sys','');
QuarantineFile('C:\Windows.old\Program Files\NetDragon\91 Mobile\iPhone\ndFunctions.dll','');
QuarantineFile('C:\Windows.old\Program Files\NetDragon\91 Mobile\iPhone\Dlls\iPhoneImportSyncGuide.dll','');
QuarantineFile('C:\Windows.old\Program Files\NetDragon\91 Mobile\iPhone\Dlls\CallHistory.dll','');
QuarantineFile('C:\Windows.old\Program Files\NetDragon\91 Mobile\iPhone\COMInterop.dll','');
QuarantineFile('C:\WINDOWS.0\system32\bpk.exe','');
QuarantineFile('C:\WINDOWS.0\pchealth\helpctr\binaries\helpctr.exe','');
QuarantineFile('C:\Users\Андрей\Downloads\RxBot.zip','');
QuarantineFile('C:\Users\Андрей\Downloads\Encrypt.rar','');
QuarantineFile('C:\Users\Андрей\Downloads\Decrypters.rar','');
QuarantineFile('C:\Users\Андрей\Desktop\Крипторы\RxBot\RxBot\RxBot.exe','');
QuarantineFile('C:\Users\Андрей\Desktop\Крипторы\Decrypters\Decrypt Online!.rar','');
QuarantineFile('C:\Documents and Settings\Андрей\Downloads\RxBot.zip','');
QuarantineFile('C:\Documents and Settings\Андрей\Downloads\Encrypt.rar','');
QuarantineFile('C:\Documents and Settings\Андрей\Downloads\Decrypters.rar','');
QuarantineFile('C:\Documents and Settings\Андрей\Desktop\Крипторы\RxBot\RxBot\RxBot.exe','');
QuarantineFile('C:\Documents and Settings\Андрей\Desktop\Крипторы\Decrypters\Decrypt Online!.rar','');
QuarantineFile('C:\Program Files\\Windows Mail\WinMail.exe','');
QuarantineFile('C:\Windows\system32\regsvr32.exe','');
QuarantineFile('C:\Windows\System32\ie4uinit.exe','');
QuarantineFile('C:\Windows\system32\unregmp2.exe','');
QuarantineFile('C:\Windows\system32\rundll32.exe','');
QuarantineFile('C:\Windows\system32\regedit.exe','');
QuarantineFile('C:\Windows\System32\LocationNotifications.exe','');
QuarantineFile('C:\ProgramData\musqbvtkq8.exe','');
QuarantineFile('C:\Program Files\Pamela\Pamela.exe','');
QuarantineFile('C:\Windows\system32\drivers\truecrypt.sys','');
QuarantineFile('C:\Windows\system32\dllhost.exe','');
QuarantineFile('C:\Windows\System32\alg.exe','');
QuarantineFile('c:\program files\regdoctor\regdoctor.exe','');
DeleteFile('C:\ProgramData\musqbvtkq8.exe');
DeleteFile('C:\Windows\system32\regedit.exe');
DeleteFile('C:\Documents and Settings\Андрей\Desktop\Крипторы\Decrypters\Decrypt Online!.rar');
DeleteFile('C:\Documents and Settings\Андрей\Downloads\Decrypters.rar');
DeleteFile('C:\Documents and Settings\Андрей\Downloads\Encrypt.rar');
DeleteFile('C:\Users\Андрей\Desktop\Крипторы\Decrypters\Decrypt Online!.rar');
DeleteFile('C:\Users\Андрей\Downloads\Decrypters.rar');
DeleteFile('C:\Users\Андрей\Downloads\Encrypt.rar');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','musqbvtkq8');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R3 - URLSearchHook: (no name) -  - (no file)
O1 - Hosts: 184.168.192.9 sunke.info
O1 - Hosts: 122.224.6.164 zeus.sunke.info
O1 - Hosts: 173.192.170.88 domainparkingaccount.com
O1 - Hosts: 173.192.170.88 www.domainparkingaccount.com
O4 - HKLM\..\Run: [musqbvtkq8] C:\ProgramData\musqbvtkq8.exe
O4 - HKLM\..\Run: [Regedit32] C:\Windows\system32\regedit.exe
O13 - Gopher Prefix:

 

После проведённого лечения рекомендуется:

- обновить Internet Explorer до актуальной версии (даже если им не пользуетесь!)

- установить все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

 

Перед новыми логами - обязательно выполните:

Необходимо провести проверку ПК, воспользовавшись одним из следующих продуктов:

Kaspersky Virus Removal Tool 2011 или Dr.Web CureIt!.

 

Сделайте новые логи по правилам.

Требуются логи RSIT!

+

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы.

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
Сделайте новые логи по правилам.

а логи AVZ где?

 

а архив с карантином не загружается. пробовал с google chrome и explorer

отправьте его на newvirus@kasperky.com

 

Удалите в MBAM ТОЛЬКО следующие объекты:

Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDORSYS (Malware.Trace) -> No action taken.

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (PUM.Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.

Зараженные файлы:
c:\Users\Андрей\downloads\avz4\avz4\Infected\2011-10-25\avz00004.dta (Trojan.Perflog) -> No action taken.
c:\Users\Андрей\downloads\avz4\avz4\Infected\2011-10-25\avz00005.dta (Monitor.Perflogger) -> No action taken.
c:\Users\Андрей\downloads\avz4\avz4\Infected\2011-10-25\avz00006.dta (Monitor.PerfKeylogger) -> No action taken.
c:\Users\Андрей\downloads\avz4\avz4\quarantine\2011-10-25\avz00007.dta (Monitor.Perflogger) -> No action taken.
c:\Users\Андрей\downloads\avz4\avz4\quarantine\2011-10-25\avz00026.dta (Trojan.Inject) -> No action taken.
c:\Users\Андрей\downloads\avz4\avz4\quarantine\2011-10-25\bcqr00015.dat (Monitor.Perflogger) -> No action taken.
c:\Users\Андрей\downloads\avz4\avz4\quarantine\2011-10-25\bcqr00016.dat (Monitor.Perflogger) -> No action taken.
c:\Poker\titan poker\_titanpsetup_847f37.exe (PUP.Casino) -> No action taken.
c:\system volume information\_restore{47cb3eca-ba2f-4436-8828-7f8fd6fa7d9c}\RP18\A0016416.exe (Trojan.Downloader) -> No action taken.
c:\system volume information\_restore{47cb3eca-ba2f-4436-8828-7f8fd6fa7d9c}\RP18\A0016417.exe (RiskWare.Tool.HCK) -> No action taken.
c:\system volume information\_restore{47cb3eca-ba2f-4436-8828-7f8fd6fa7d9c}\RP18\A0016681.exe (RiskWare.Tool.CK) -> No action taken.
c:\system volume information\_restore{47cb3eca-ba2f-4436-8828-7f8fd6fa7d9c}\RP18\A0016634.exe (Trojan.LDPinch) -> No action taken.
c:\system volume information\_restore{47cb3eca-ba2f-4436-8828-7f8fd6fa7d9c}\RP18\A0016639.exe (Trojan.Dropper) -> No action taken.
c:\system volume information\_restore{47cb3eca-ba2f-4436-8828-7f8fd6fa7d9c}\RP28\A0018041.exe (Spyware.OnlineGames) -> No action taken.
c:\system volume information\_restore{47cb3eca-ba2f-4436-8828-7f8fd6fa7d9c}\RP7\A0013032.exe (PUP.Hacktool.Patcher) -> No action taken.
c:\WINDOWS.0\system32\bpk.exe (Monitor.Perflogger) -> No action taken.
c:\Windows.old\program files\relevantknowledge\rlls.dll (Adware.RelevantKnowledge) -> No action taken.
c:\Windows.old\program files\relevantknowledge\rlls64.dll (Adware.RelevantKnowledge) -> No action taken.
c:\Windows.old\program files\relevantknowledge\rlph.dll (Adware.RelevantKnowledge) -> No action taken.
c:\Windows.old\program files\relevantknowledge\rlservice.exe (Adware.RelevantKnowledge) -> No action taken.
c:\Windows.old\program files\relevantknowledge\rlvknlg.exe (Adware.RelevantKnowledge) -> No action taken.
c:\Windows.old\program files\relevantknowledge\rlvknlg64.exe (Adware.RelevantKnowledge) -> No action taken.
c:\Windows.old\program files\relevantknowledge\rlxf.dll (Adware.RelevantKnowledge) -> No action taken.
c:\Windows.old\program files\relevantknowledge\components\rlxg.dll (Adware.RelevantKnowledge) -> No action taken.
c:\Windows.old\program files\relevantknowledge\components\rlxh.dll (Adware.RelevantKnowledge) -> No action taken.
c:\Windows.old\program files\relevantknowledge\components\rlxi.dll (Adware.RelevantKnowledge) -> No action taken.
d:\kaspersky 2010 9.0.0.736 (a) final ®\вечный ключ\activation.exe (Trojan.Bumat) -> No action taken.

После удаления откройте лог и прикрепите его к сообщению.

 

 

Проверьте на virustotal.com

C:\Windows\system32\MRT.exe
c:\Users\Андрей\Desktop\новая папка (7)\TCryptor\TCryptor\kewlbuttonz.ocx
d:\новая папка (7)\TCryptor\TCryptor\kewlbuttonz.ocx
c:\Windows.old\Windows\system32\ctfmon.exe
c:\Windows.old\Windows\system32\spool\patch.exe
c:\Users\Андрей\Desktop\новая папка (7)\ufr_stealer_5bc75ffc14f19b899cbf190b2b125f4b6a0204f4\ufr_stealer.exe
c:\Users\Андрей\downloads\fastdownload.exe
d:\подозрительные файлы\ECC_7.2\ECC_52\ECC.exe
d:\новая папка (7)\ufr_stealer.exe

ссылки на все результаты проверки приложите.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • ДмитрийКасперскийКлуб
      [РЕШЕНО] Открытие рекламы при запуске компьютера и запуск непонятных скриптов
      От ДмитрийКасперскийКлуб
      При запуске ноутбука открывается бразуер с ссылкой на рекламу, так же после перезапуска бывает сворачивается полноэкранное приложение, будто что-то на фоне начинает выполняться на секунду, что сворачивает активное приложение. После анализа CureIt был обнаружен и вылечен троян trojan starter 7691. Подозреваю, что могло начаться после использования zapret-discord-youtube архива (уже удалил его).
      Заранее большое спасибо за помощь!
      CollectionLog-2024.12.16-13.39.zip
    • StarlightKnight
      При запуске Редактор реестра моментально закрывается.
      От StarlightKnight
      У меня windows 10  когда я хочу открыть  Редактор реестра он открывается и моментально закрывается.
      Я недавно переустановил windows.
      Сделал все доступные способы из интернета от проверки на вирусы и до проверки другими программами.
      Подскажите, что это может быть и есть ли смысл снова переустановить windows?
    • LØNEX
      ошибка 0xc0000017 при попытке запуска regedit
      От LØNEX
      при запуске regedit вылетает такая ошибка. я уже все перепробовал - и scannow, и различные проверки диска (в том числе в безопасном режиме), системный диск также чистил, ничего не помогает. есть подозрение на вирусы, проверял комп KVRT, нашел троян, вроде его больше нет, но ошибка все еще есть. прошу помочь

    • LØNEX
      ошибка 0xc0000017 при попытке запуска regedit
      От LØNEX
      при запуске regedit вылетает такая ошибка. я уже все перепробовал - и scannow, и различные проверки диска (в том числе в безопасном режиме), системный диск также чистил, ничего не помогает. прошу помочь

    • zimok
      Проблемы с запуском программы безопасности
      От zimok
      Добрый день!
      Прошу подсказать, возможно у кого были подобные проблемы, но суть такая, имеется Kaspersky Security Center версии 14.2.0.26967, работающий под ОС Windows Server 2019, имеются управляемые устройства под ОС Linux (Ubuntu), на которые установлены и агенты администрирования и сами компоненты защиты Kaspersky endpoint security 12 for linux, версии 12.0.0.6672, агенты администрирования версии 15.0.0.12912. Агенты администрирования доступны и синхронизируются с KSC, подключение происходит, но вот сама суть проблемы в том, что на устройствах при выключенных компонентах защиты, допустим через тот же KSC, не получается запустить их обратно, то есть в разделе устройства "Программы" при попытке запустить компонент защиты, KSC очень долго думает, останавливая процесс в одном положении (скрин ниже) и после продолжительного времени, он сообщает о ошибке запуска, хотя повторюсь, остановить защиту удалось на этом же хосте ,но вот запустить нет, и агент администрирования также работает и синхронизируется. 
      Проблема в целом не на одном хосте, она массовая, в целом устройства не удается таким образом удаленно запустить компоненты защиты, может кто сталкивался и понимает хотя бы в каком направлении изучать проблему ? 
      Возможно KSC сам какие-либо патчи нужны или еще что, с точки зрения сети устройства в одной подсети, и в tcpdump трафика вижу общение по 13000 порту успешно.

      Прикладываю скриншот проблемы, когда нажимаю запуск и в каком положение останавливается. К слову пробовал через задачи и запускал "Запуск и остановка программы" результат по сути тот же, только там она просто висит в процессе и всё.


×
×
  • Создать...