Перейти к содержанию
Правила раздела

Отсутствует или поврежден черный список лицензионных ключей

Saddler

От Saddler
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Saddler Новичок

Saddler

Опубликовано
Опубликовано (изменено)

Ситуация та же, что и в шапке темы. "Отсутствует или поврежден черный список лицензионных ключей. Для продолжения работы запустите обновление." При запуске, обновление доходит до 8% и прекращается сообщением "Ошибка файловой операции". Изменение, восстановление или удаление не проходят из-за внутренней ошибки 2324. 998 с ссылкой на файл black.lst. Log'и AVZ и HijackThis прилагаю. Интересная особенность: при выключении и последующем включении компьютера, Касперский полностью обновляет сигнатуры угроз на актуальные на данный день, но через некоторое время (1-2 минуты) после завершения обновления снова выскакивает сообщение о повреждении черного списка. Такая ерунда с антивирусом начала твориться после посещения одного игрового сайта, при заходе на который, Касперский обнаружил троянскую программу Backdoor.Win32.Gbot.uds и предложил заблокировать доступ. Я нажал Заблокировать (антивирус в этот момент производил обновление сигнатур) и ПК, ни с того ни с сего, начал перезагружаться. Теперь постоянно выскакивает сообщение о повреждении черного списка. Подскажите, пожалуйста, как быть?

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено пользователем Saddler
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
SetServiceStart('newdriver', 4);
StopService('newdriver');
QuarantineFile('\?\C:\WINDOWS\wetux.sys','');
QuarantineFile('C:\WINDOWS\bas.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\smwdm.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\MidiSyn.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\imagedrv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\aeaudio.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\NSDriver.sys','');
QuarantineFile('C:\WINDOWS\wetux.sys','');
DeleteFile('C:\WINDOWS\wetux.sys');
DeleteFile('C:\WINDOWS\bas.dll');
DeleteFile('\?\C:\WINDOWS\wetux.sys');
DelBHO('855F3B16-6D32-4fe6-8A56-BBB695989046');
DelBHO('055FD26D-3A88-4e15-963D-DC8493744B1D');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','rundll32.exe');
DeleteService('newdriver');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)

 

После проведённого лечения рекомендуется:

- установить текущий пакет обновлений (SP) для Windows (может потребоваться активация Windows)

* выберите SP для своей версии Windows: Windows XP - SP3, Windows Vista x86 - SP2x86, Windows Vista x64 - SP2x64, Windows 7 x86 - SP1x86, Windows 7 x64 - SP1x64

- установить все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

 

Сделайте новые логи по правилам.

 

вместо лога Hijackthis требуется 2 лога RSIT

Ссылка на комментарий
Поделиться на другие сайты
Saddler Новичок

Saddler

Опубликовано
  • Автор
Опубликовано (изменено)

Спасибо огромное! Сообщение о поврежденном черном списке больше не появляется. Скрипт выполнил, архив с карантином создал, строки в HijackThis пофиксил. На счет Qurantine.zip: он оказался битым (без понятия почему, хотя скрипт по его созданию был выполнен без проблем), о чем мне и сообщили в письме из Лаборатории Касперского.

 

Новые логи:

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

info.txt

Изменено пользователем Saddler
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
SetServiceStart('newdriver', 4);
QuarantineFile('C:\WINDOWS\system32\drivers\NSDriver.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\aeaudio.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\imagedrv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\MidiSyn.sys','');
QuarantineFile('C:\WINDOWS\wetux.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\smwdm.sys','');
QuarantineFile('bas.dll','');
DeleteFile('bas.dll');
DeleteFile('C:\WINDOWS\bas.dll');
DeleteFile('C:\WINDOWS\wetux.sys');
DeleteFile('C:\Documents and Settings\Антон\Local Settings\Temp\0.31741887845448524.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','rundll32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Documents and Settings\Антон\Local Settings\Temp\0.31741887845448524.exe');
DelAutorunByFileName('C:\WINDOWS\bas.dll');
DeleteService('newdriver');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Сделайте новые логи по правилам.

+

сделайте отчёт GSI

http://forum.kasperskyclub.ru/index.php?sh...ost&p=55906

Ссылка на комментарий
Поделиться на другие сайты
Saddler Новичок

Saddler

Опубликовано
  • Автор
Опубликовано (изменено)

Скрипт выполнил, архив создал и отправил на проверку.

 

Ответ из Лаборатории Касперского:

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

 

Отправленный Вами файл до нас не дошел. Возможно, он был вырезан антивирусом во время доставки. Пожалуйста, вышлите экземпляр повторно, поместив его в архив с паролем infected.

________________________________________________________________________________

 

Пересоздал архив вручную (не через AVZ). Установил пароль на архив: infected. Выслал повторно. Пришло точно такое же сообщение. При заполнении формы запроса в строке "Подробное описание возникшей ситуации:" указывал только слово virus или infected (после получения приведенного выше письма). Пробовал писать "Пароль на архив: virus" -> на почту приходит тоже сообщение. Может надо в этой строке действительно все подробно расписать?

 

Ссылка на страницу с результатами автоанализа отчета GSI: http://www.getsysteminfo.com/read.php?file...mp;key=71Q0WfUc

 

Log'и AVZ и RSIT + файл с протоколом GSI:

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

info.txt

GetSystemInfo_Main_Frame_Saddler_2012_03_10_19_09_48.zip

Изменено пользователем Saddler
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано (изменено)

Динсталлируйте потенциально несовместимое с КАВ ПО - Lavasoft Ad-Aware

если его нет в списке установленных программ - воспользуйтесь таким советом

http://www.techsupportforum.com/forums/f21...tml#post1862215

(правильная ссылка на утилиту очистки установщика - http://support.microsoft.com/kb/2438651/ru)

 

 

все подробно расписать?

не надо.

 

по логам - чисто.

Изменено пользователем Roman_Five
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • SEcrash63
      Повреждено хранилище Windows
      От SEcrash63
      Доброго всем времени суток.
      Может быть кто сможет помочь, с такой проблемой.
      Имеется ПК с установленной W7 x64 (без SP1, установить не могу обновление, ругается на поврежденное хранилище)
       
      Случилась проблема что перестали работать многие сетевые службы и другие, ПК перестал выходить в интернет, получать Ip и много чего.
      Частично проблемы удалось исправить, но привести полностью в рабочее состояние так и не удалось. Журнал событий ругается как минимум на две ошибки,  одна из них проблема со службой
      "Служба "Служба политики диагностики" завершена из-за ошибки. Не удается найти указанный файл." 
      И "Не удается найти описание для идентификатора события 0 из источника .NET Runtime. Вызывающий данное событие компонент не установлен на этом локальном компьютере или поврежден. Установите или восстановите компонент на локальном компьютере. .NET Runtime version : 2.0.50727.8806 - Отладчик не найден.Не указан зарегистрированный отладчик JIT"
       
      Делал сканирование системы SFC \SCANNOW говорит проблемы есть, но починить не могу.
      Делал DISM /Online /Cleanup-Image /ScanHealth - по его логам с доноров пособирал большую часть файлов, часть выкорчевывал из пакетов обновлений, но не все удалось найти. 
      Антивирус был все время Kaspersky, после появления проблем временно все удалил. Сейчас никакого антивируса нет.
      Логи и того и другого прилагаю.
      Подскажите может кто сможет поделится файлами из лога CheckSUR.
      Или может быть подскажете другие пути решения проблемы? (Систему с нуля бы поставил, было бы проще, но в данном случае это не предоставляется возможным, очень важно сохранить рабой вариант текущей)
       
      Заранее спасибо.
       
      CBS.log CheckSUR7.log sfcdetails.txt SFCFix.txt
    • tav
      Распространение ключа через KSC
      От tav
      Всех приветствую !
       
      Поднял пока что тестовый KSC последний на Alt Linux.
      Версия KSC Linux PF 15.1.0.12199 и версия KESL PF 12.1.0.1543.
      В настройках политики установил распространять ключ через KSC и на самой лицензии галка стоит.
      Клиент работает не в режиме легкого агента.
       
      В итоге клиент виндовый подхватывает ключ с сервера KSC, клиент линуксовый при установке автоматом ставит тестовую/пробную лицензию и ни как не хочет цеплять автоматом лицензию.
      Если я создаю задачу для линуксовой группы/клиента сменить ключ, то все ок клиенты по задаче меняют ключ тестовый на корпоративный.
      Не понимаю почему именно линуксовые клиенты автоматом не тащат ключ. Настройки как я понимаю правильные.


    • Din
      Есть приватный ключ
      От Din
      Есть приватный ключ, подскажите как и чем расшифровать?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Good2000
      Черный экран после безопасного режима
      От Good2000
      Мне нужно было зайти в безопасное систему для удаления файла в итоге после того как я зашел в безопасный режим и перезагрузил ПК win 11 монитор стал черным и не включается.Но сам по себе компьютер работает я  доставал провода и включал выключал монитор все четно.Поэтому не понимаю что произошло и как это пофиксить(
    • MadMess
      Черный экран после входа в безопасный режим
      От MadMess
      Хотел очистить ПК от вирусов, посмотрел видео в ютубе как очистить вирусы, нужно было зайти в безопасный режим через msconfig. Я перезагрузил ПК чтобы зайти в безопасный режим но вместо этого черный экран. Перезагрузил по кнопке, все равно тот же черный экран. Что делать? Комп и монитор работают
×
×
  • Создать...