Перейти к содержанию
Правила раздела

Отсутствует или поврежден черный список лицензионных ключей

Saddler

От Saddler
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Saddler Новичок

Saddler

Опубликовано
Опубликовано (изменено)

Ситуация та же, что и в шапке темы. "Отсутствует или поврежден черный список лицензионных ключей. Для продолжения работы запустите обновление." При запуске, обновление доходит до 8% и прекращается сообщением "Ошибка файловой операции". Изменение, восстановление или удаление не проходят из-за внутренней ошибки 2324. 998 с ссылкой на файл black.lst. Log'и AVZ и HijackThis прилагаю. Интересная особенность: при выключении и последующем включении компьютера, Касперский полностью обновляет сигнатуры угроз на актуальные на данный день, но через некоторое время (1-2 минуты) после завершения обновления снова выскакивает сообщение о повреждении черного списка. Такая ерунда с антивирусом начала твориться после посещения одного игрового сайта, при заходе на который, Касперский обнаружил троянскую программу Backdoor.Win32.Gbot.uds и предложил заблокировать доступ. Я нажал Заблокировать (антивирус в этот момент производил обновление сигнатур) и ПК, ни с того ни с сего, начал перезагружаться. Теперь постоянно выскакивает сообщение о повреждении черного списка. Подскажите, пожалуйста, как быть?

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено пользователем Saddler
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
SetServiceStart('newdriver', 4);
StopService('newdriver');
QuarantineFile('\?\C:\WINDOWS\wetux.sys','');
QuarantineFile('C:\WINDOWS\bas.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\smwdm.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\MidiSyn.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\imagedrv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\aeaudio.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\NSDriver.sys','');
QuarantineFile('C:\WINDOWS\wetux.sys','');
DeleteFile('C:\WINDOWS\wetux.sys');
DeleteFile('C:\WINDOWS\bas.dll');
DeleteFile('\?\C:\WINDOWS\wetux.sys');
DelBHO('855F3B16-6D32-4fe6-8A56-BBB695989046');
DelBHO('055FD26D-3A88-4e15-963D-DC8493744B1D');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','rundll32.exe');
DeleteService('newdriver');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)

 

После проведённого лечения рекомендуется:

- установить текущий пакет обновлений (SP) для Windows (может потребоваться активация Windows)

* выберите SP для своей версии Windows: Windows XP - SP3, Windows Vista x86 - SP2x86, Windows Vista x64 - SP2x64, Windows 7 x86 - SP1x86, Windows 7 x64 - SP1x64

- установить все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

 

Сделайте новые логи по правилам.

 

вместо лога Hijackthis требуется 2 лога RSIT

Ссылка на комментарий
Поделиться на другие сайты
Saddler Новичок

Saddler

Опубликовано
  • Автор
Опубликовано (изменено)

Спасибо огромное! Сообщение о поврежденном черном списке больше не появляется. Скрипт выполнил, архив с карантином создал, строки в HijackThis пофиксил. На счет Qurantine.zip: он оказался битым (без понятия почему, хотя скрипт по его созданию был выполнен без проблем), о чем мне и сообщили в письме из Лаборатории Касперского.

 

Новые логи:

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

info.txt

Изменено пользователем Saddler
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
SetServiceStart('newdriver', 4);
QuarantineFile('C:\WINDOWS\system32\drivers\NSDriver.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\aeaudio.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\imagedrv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\MidiSyn.sys','');
QuarantineFile('C:\WINDOWS\wetux.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\smwdm.sys','');
QuarantineFile('bas.dll','');
DeleteFile('bas.dll');
DeleteFile('C:\WINDOWS\bas.dll');
DeleteFile('C:\WINDOWS\wetux.sys');
DeleteFile('C:\Documents and Settings\Антон\Local Settings\Temp\0.31741887845448524.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','rundll32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Documents and Settings\Антон\Local Settings\Temp\0.31741887845448524.exe');
DelAutorunByFileName('C:\WINDOWS\bas.dll');
DeleteService('newdriver');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Сделайте новые логи по правилам.

+

сделайте отчёт GSI

http://forum.kasperskyclub.ru/index.php?sh...ost&p=55906

Ссылка на комментарий
Поделиться на другие сайты
Saddler Новичок

Saddler

Опубликовано
  • Автор
Опубликовано (изменено)

Скрипт выполнил, архив создал и отправил на проверку.

 

Ответ из Лаборатории Касперского:

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

 

Отправленный Вами файл до нас не дошел. Возможно, он был вырезан антивирусом во время доставки. Пожалуйста, вышлите экземпляр повторно, поместив его в архив с паролем infected.

________________________________________________________________________________

 

Пересоздал архив вручную (не через AVZ). Установил пароль на архив: infected. Выслал повторно. Пришло точно такое же сообщение. При заполнении формы запроса в строке "Подробное описание возникшей ситуации:" указывал только слово virus или infected (после получения приведенного выше письма). Пробовал писать "Пароль на архив: virus" -> на почту приходит тоже сообщение. Может надо в этой строке действительно все подробно расписать?

 

Ссылка на страницу с результатами автоанализа отчета GSI: http://www.getsysteminfo.com/read.php?file...mp;key=71Q0WfUc

 

Log'и AVZ и RSIT + файл с протоколом GSI:

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

info.txt

GetSystemInfo_Main_Frame_Saddler_2012_03_10_19_09_48.zip

Изменено пользователем Saddler
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано (изменено)

Динсталлируйте потенциально несовместимое с КАВ ПО - Lavasoft Ad-Aware

если его нет в списке установленных программ - воспользуйтесь таким советом

http://www.techsupportforum.com/forums/f21...tml#post1862215

(правильная ссылка на утилиту очистки установщика - http://support.microsoft.com/kb/2438651/ru)

 

 

все подробно расписать?

не надо.

 

по логам - чисто.

Изменено пользователем Roman_Five
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • infobez_bez
      "Ключ успешно добавлен" -> "Ключ успешно удален"
      От infobez_bez
      Здравствуйте! 
      Вопрос по Kaspersky Endpoint Security для Linux 12.1
      Машины управляются сервером администрирования, есть как на Windows так и на Linux, управляются разными политиками, но на машинах с Linux (Основа, Астра, Роса) - в логе событий устройств каждые 5-10 секунд появляются события "Ключ успешно добавлен" -> "Ключ успешно удален", это продолжается все время пока компьютер включен 
      Задач по распространению ключа нет
      На машинах с Windows такого нет
      Подскажите, куда копать? 

    • Friend
      [РЕШЕНО] Повреждены некоторые системные службы и вирусы.
      От Friend
      Добрый вечер,
      Повреждены некоторые системные службы (по логам должно быть видно) - обновления, bits и еще одна служба, было бы отлично, если их получится восстановить, также проверить на вирусы.
      CollectionLog-2025.01.16-17.04.zipsfcdoc.logCBS.LOG
    • MadMess
      Черный экран после входа в безопасный режим
      От MadMess
      Хотел очистить ПК от вирусов, посмотрел видео в ютубе как очистить вирусы, нужно было зайти в безопасный режим через msconfig. Я перезагрузил ПК чтобы зайти в безопасный режим но вместо этого черный экран. Перезагрузил по кнопке, все равно тот же черный экран. Что делать? Комп и монитор работают
    • tav
      Распространение ключа через KSC
      От tav
      Всех приветствую !
       
      Поднял пока что тестовый KSC последний на Alt Linux.
      Версия KSC Linux PF 15.1.0.12199 и версия KESL PF 12.1.0.1543.
      В настройках политики установил распространять ключ через KSC и на самой лицензии галка стоит.
      Клиент работает не в режиме легкого агента.
       
      В итоге клиент виндовый подхватывает ключ с сервера KSC, клиент линуксовый при установке автоматом ставит тестовую/пробную лицензию и ни как не хочет цеплять автоматом лицензию.
      Если я создаю задачу для линуксовой группы/клиента сменить ключ, то все ок клиенты по задаче меняют ключ тестовый на корпоративный.
      Не понимаю почему именно линуксовые клиенты автоматом не тащат ключ. Настройки как я понимаю правильные.


    • Din
      Есть приватный ключ
      От Din
      Есть приватный ключ, подскажите как и чем расшифровать?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...