Перейти к содержанию
Правила раздела

Отсутствует или поврежден черный список лицензионных ключей

Saddler

Автор Saddler
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Saddler

Saddler

Опубликовано
Опубликовано (изменено)

Ситуация та же, что и в шапке темы. "Отсутствует или поврежден черный список лицензионных ключей. Для продолжения работы запустите обновление." При запуске, обновление доходит до 8% и прекращается сообщением "Ошибка файловой операции". Изменение, восстановление или удаление не проходят из-за внутренней ошибки 2324. 998 с ссылкой на файл black.lst. Log'и AVZ и HijackThis прилагаю. Интересная особенность: при выключении и последующем включении компьютера, Касперский полностью обновляет сигнатуры угроз на актуальные на данный день, но через некоторое время (1-2 минуты) после завершения обновления снова выскакивает сообщение о повреждении черного списка. Такая ерунда с антивирусом начала твориться после посещения одного игрового сайта, при заходе на который, Касперский обнаружил троянскую программу Backdoor.Win32.Gbot.uds и предложил заблокировать доступ. Я нажал Заблокировать (антивирус в этот момент производил обновление сигнатур) и ПК, ни с того ни с сего, начал перезагружаться. Теперь постоянно выскакивает сообщение о повреждении черного списка. Подскажите, пожалуйста, как быть?

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено пользователем Saddler
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five

Roman_Five

Опубликовано
Опубликовано

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
SetServiceStart('newdriver', 4);
StopService('newdriver');
QuarantineFile('\?\C:\WINDOWS\wetux.sys','');
QuarantineFile('C:\WINDOWS\bas.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\smwdm.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\MidiSyn.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\imagedrv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\aeaudio.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\NSDriver.sys','');
QuarantineFile('C:\WINDOWS\wetux.sys','');
DeleteFile('C:\WINDOWS\wetux.sys');
DeleteFile('C:\WINDOWS\bas.dll');
DeleteFile('\?\C:\WINDOWS\wetux.sys');
DelBHO('855F3B16-6D32-4fe6-8A56-BBB695989046');
DelBHO('055FD26D-3A88-4e15-963D-DC8493744B1D');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','rundll32.exe');
DeleteService('newdriver');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)

 

После проведённого лечения рекомендуется:

- установить текущий пакет обновлений (SP) для Windows (может потребоваться активация Windows)

* выберите SP для своей версии Windows: Windows XP - SP3, Windows Vista x86 - SP2x86, Windows Vista x64 - SP2x64, Windows 7 x86 - SP1x86, Windows 7 x64 - SP1x64

- установить все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

 

Сделайте новые логи по правилам.

 

вместо лога Hijackthis требуется 2 лога RSIT

Ссылка на комментарий
Поделиться на другие сайты
Saddler

Saddler

Опубликовано
  • Автор
Опубликовано (изменено)

Спасибо огромное! Сообщение о поврежденном черном списке больше не появляется. Скрипт выполнил, архив с карантином создал, строки в HijackThis пофиксил. На счет Qurantine.zip: он оказался битым (без понятия почему, хотя скрипт по его созданию был выполнен без проблем), о чем мне и сообщили в письме из Лаборатории Касперского.

 

Новые логи:

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

info.txt

Изменено пользователем Saddler
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five

Roman_Five

Опубликовано
Опубликовано

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
SetServiceStart('newdriver', 4);
QuarantineFile('C:\WINDOWS\system32\drivers\NSDriver.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\aeaudio.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\imagedrv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\MidiSyn.sys','');
QuarantineFile('C:\WINDOWS\wetux.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\smwdm.sys','');
QuarantineFile('bas.dll','');
DeleteFile('bas.dll');
DeleteFile('C:\WINDOWS\bas.dll');
DeleteFile('C:\WINDOWS\wetux.sys');
DeleteFile('C:\Documents and Settings\Антон\Local Settings\Temp\0.31741887845448524.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','rundll32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Documents and Settings\Антон\Local Settings\Temp\0.31741887845448524.exe');
DelAutorunByFileName('C:\WINDOWS\bas.dll');
DeleteService('newdriver');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Сделайте новые логи по правилам.

+

сделайте отчёт GSI

http://forum.kasperskyclub.ru/index.php?sh...ost&p=55906

Ссылка на комментарий
Поделиться на другие сайты
Saddler

Saddler

Опубликовано
  • Автор
Опубликовано (изменено)

Скрипт выполнил, архив создал и отправил на проверку.

 

Ответ из Лаборатории Касперского:

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

 

Отправленный Вами файл до нас не дошел. Возможно, он был вырезан антивирусом во время доставки. Пожалуйста, вышлите экземпляр повторно, поместив его в архив с паролем infected.

________________________________________________________________________________

 

Пересоздал архив вручную (не через AVZ). Установил пароль на архив: infected. Выслал повторно. Пришло точно такое же сообщение. При заполнении формы запроса в строке "Подробное описание возникшей ситуации:" указывал только слово virus или infected (после получения приведенного выше письма). Пробовал писать "Пароль на архив: virus" -> на почту приходит тоже сообщение. Может надо в этой строке действительно все подробно расписать?

 

Ссылка на страницу с результатами автоанализа отчета GSI: http://www.getsysteminfo.com/read.php?file...mp;key=71Q0WfUc

 

Log'и AVZ и RSIT + файл с протоколом GSI:

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

info.txt

GetSystemInfo_Main_Frame_Saddler_2012_03_10_19_09_48.zip

Изменено пользователем Saddler
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five

Roman_Five

Опубликовано
Опубликовано (изменено)

Динсталлируйте потенциально несовместимое с КАВ ПО - Lavasoft Ad-Aware

если его нет в списке установленных программ - воспользуйтесь таким советом

http://www.techsupportforum.com/forums/f21...tml#post1862215

(правильная ссылка на утилиту очистки установщика - http://support.microsoft.com/kb/2438651/ru)

 

 

все подробно расписать?

не надо.

 

по логам - чисто.

Изменено пользователем Roman_Five
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Ekaterinaa
      Повреждены/переименованы системные службы
      Автор Ekaterinaa
      Добрый день!
      Некоторое время назад появилась проблема - стали долго запускаться значки на панели задач при запуске компьютера, через пару минут появлялись. Также стал долго грузиться профиль.
      Вчера в какой-то момент стали все программы тормозить. Отключила из автозагрузки все ненужные программы, оставила только Razer Synapse 3 (для работы макросов на мышке) и 7+ Taskbar Tweaker для разделения иконок на панели задач.
      После проверки Kaspersky Free нашел какой-то вирус, вылечил с перезагрузкой компьютера, но проблема не исчезла. 
      Полезла в журнал событий, там показывались ошибки с UsoSvc, BITS, wuauserv_bkp. Центр обновления не работал
      Скачала службы BITS, UsoSvc, wuauserv, dosvc. Заработал цент обновления (по крайней мере он теперь загружается и хоть что-то показывает), значки на панели задач запускаются сразу при включении пк, в журнале событий ошибок нет. Но профиль также грузится небыстро. И в службах остались висеть с названием _bkp.

      Kaspersky Free ничего не нашел, Kaspersky Virus Removal Tool также только указывает на запрет (используется для работы дискорда и ютуба, проблем ранее не возникало с ним). 

       
      Также есть службы, которые после перезапуска пк меняют приписку в названии в конце, пример ниже (не все службы, их с припиской больше), что кажется странным.

       
      Прикрепляю логи с FRST и с AutoLogger.
      Addition.txt
      FRST.txt
      CollectionLog-2025.07.26-11.58.zip
       
      Помогите, пожалуйста, удалить поврежденные службы и все следы после вируса.
       
    • Сергей1202
      [РЕШЕНО] После обновлений виндовс экран стал черным
      Автор Сергей1202
      Вчера рабочий стол после перезагрузки стал черным но все значки остались, что делать я не знал и попробовал восстановить систему из точки восстановления, часа 4 или больше система востановлмвалась. После восстановления экран все также был черным, значки браузеров хром и Яндекс не реагировали. Сегодня переустановил Яндекс, скачал по новому хром-  в течении 10-15 минут шла инициализация Хром. Хотел бы узнать в чем причина неожижанного действия. И еще каждый раз когда открываю Хром, открывается окошко с - Что нового в 1ClickVPN.
       zip-архив с собранными логами - CollectionLog приложил
      CollectionLog-2025.08.12-10.28.zip
    • Kavunchik
      Вирус выключает все брендмауэры и не дает доступа к настрйокам сети, значок сети также отсутствует
      Автор Kavunchik
      логи дрвеб.rar При попытке зайти в настройки сети меня просто выкидывает, значок сети отсутствует вовсе, хотя интернет есть и работает. Скан системы не показывает упущенных файлов. Восстановление компьютера к исходному не дает из за невозможности найти среду для восстановления. Чувствую что компьютер начал работать слабее, также есть впечатление, что проблемы могут быть и с сетью. Названия которые выдавал Др.Веб Trojan.Siggen 31.46344, но даже после нескольких удалений он находил его повторно там же. Также HOSTS:MALWARE.URL.
       
    • KL FC Bot
      SleepWalk: сложная атака с кражей ключей шифрования | Блог Касперского
      Автор KL FC Bot
      У информационной безопасности есть много уровней сложности. На слуху эффективные, но технически простые атаки с использованием фишинговых рассылок и социального инжиниринга. Мы часто пишем о сложных таргетированных атаках с использованием уязвимостей в корпоративном программном обеспечении и сервисах. Атаки, использующие фундаментальные особенности работы аппаратного обеспечения, можно считать одними из самых сложных. Цена такой атаки высока, но в некоторых случаях это не останавливает злоумышленников.
      Исследователи из двух американских университетов недавно опубликовали научную работу, в которой показан интересный пример атаки на «железо». Используя стандартную функцию операционной системы, позволяющую переключаться между разными задачами, авторы исследования смогли разработать атаку SleepWalk, позволяющую взломать новейший алгоритм шифрования данных.
      Необходимые вводные: атаки по сторонним каналам
      SleepWalk относится к классу атак по сторонним каналам. Под «сторонним каналом» обычно понимается любой способ похитить секретную информацию, используя непрямое наблюдение. Например, представим, что вы не можете наблюдать за человеком, который набирает на клавиатуре пароль, но можете подслушивать. Это реалистичная атака, в которой сторонним каналом выступает звук нажатия на клавиши, — он выдает, какие именно буквы и символы были набраны. Классическим сторонним каналом является наблюдение за изменением энергопотребления вычислительной системы.
      Почему энергопотребление меняется? Здесь все просто: разные вычислительные задачи требуют разных ресурсов. При сложных вычислениях нагрузка на процессор и оперативную память будет максимальной, а при наборе текста в текстовом редакторе компьютер большую часть времени будет находиться в режиме простоя. В некоторых случаях изменение энергопотребления выдает секретную информацию, чаще всего — приватные ключи, используемые для шифрования данных. Точно так же как сейф с кодовым замком может выдавать правильное положение ротора еле слышным щелчком.
      Почему такие атаки сложны? Прежде всего, любой компьютер одновременно выполняет множество задач. Все они как-то влияют на потребление электроэнергии. Выделить из этого шума какую-то полезную информацию крайне непросто. Даже при исследовании простейших вычислительных устройств, таких как ридеры смарт-карт, исследователи делают сотни тысяч измерений за короткий период времени, повторяют эти измерения десятки и сотни раз, применяют сложные методы обработки сигнала, чтобы в итоге подтвердить или опровергнуть возможность атаки по стороннему каналу. Так вот, SleepWalk в некотором смысле упрощает такую работу: исследователи смогли извлечь полезную информацию, измеряя характер энергопотребления только один раз, во время так называемого переключения контекста.
      График изменения напряжения во время переключения контекста центрального процессора. Источник
       
      View the full article
    • MadMess
      Черный экран после входа в безопасный режим
      Автор MadMess
      Хотел очистить ПК от вирусов, посмотрел видео в ютубе как очистить вирусы, нужно было зайти в безопасный режим через msconfig. Я перезагрузил ПК чтобы зайти в безопасный режим но вместо этого черный экран. Перезагрузил по кнопке, все равно тот же черный экран. Что делать? Комп и монитор работают
×
×
  • Создать...