Перейти к содержанию
Правила раздела

не открывается сайт и не обновляются базы

Dimga37

Автор Dimga37
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Dimga37

Dimga37

Опубликовано
Опубликовано

не открывается сайт касперского,не обнлвляются базы кис13,и в браузерах реклама.сделал все логи. надеюсь на помощь

Сообщение от модератора Mark D. Pearlstone
Файл virusinfo_autoquarantine.zip удалён.

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five

Roman_Five

Опубликовано
Опубликовано

проверьте на virustotal.com файлы:



C:\Windows\RControlServer.exe
C:\Windows\System32\spdifer_config.exe
C:\Windows\system32\ff_acm.acm

3 ссылки на результаты анализа приложите.

 

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):



begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('c:\windows\rcontrolserver.exe');
TerminateProcessByName('c:\windows\system32\catroot2\crss.exe');
QuarantineFile('C:\Windows\System32\spdifer_config.exe','');
QuarantineFile('C:\Windows\system32\ff_acm.acm','');
QuarantineFile('D:\Windows\system32\catroot2\crss.exe','Trojan.Siggen4.19462');
QuarantineFile('c:\windows\system32\catroot2\crss.exe','Trojan.Siggen4.19462');
QuarantineFile('C:\Windows\RControlServer.exe','');
DeleteFile('D:\Windows\system32\catroot2\crss.exe','32');
DeleteFile('C:\Windows\system32\catroot2\crss.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','lCQ');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MCQ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Для создания архива с карантином выполните скрипт:



begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).
Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.
В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).
В строке "Электронный адрес:" укажите адрес своей электронной почты.
Полученный ответ сообщите в этой теме.

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gomailru12.ru
O4 - HKLM\..\Run: [lCQ] "C:\Windows\system32\catroot2\crss.exe"
O4 - HKLM\..\Run: [MCQ] "D:\Windows\system32\catroot2\crss.exe"
O17 - HKLM\System\CCS\Services\Tcpip\..\{0C7BE81B-FAA7-42AB-B8EE-5CD935880A77}: NameServer = 5.104.108.204
O17 - HKLM\System\CCS\Services\Tcpip\..\{A70C363D-FA0C-499D-9EE5-D054E3892EBF}: NameServer = 5.104.108.204
O17 - HKLM\System\CCS\Services\Tcpip\..\{e29ac6c2-7037-11de-816d-806e6f6e6963}: NameServer = 5.104.108.204
O17 - HKLM\System\CS1\Services\Tcpip\..\{0C7BE81B-FAA7-42AB-B8EE-5CD935880A77}: NameServer = 5.104.108.204
O17 - HKLM\System\CS2\Services\Tcpip\..\{0C7BE81B-FAA7-42AB-B8EE-5CD935880A77}: NameServer = 5.104.108.204

Загрузившись в безопасном режиме, удалите остатки DrWeb CureIT! с помощью утилиты http://download.geo.drweb.com/pub/drweb/tools/drw_remover.exe

 

 

Сделайте новые логи по правилам.

 

 

 

Ссылка на комментарий
Поделиться на другие сайты
Dimga37

Dimga37

Опубликовано
  • Автор
Опубликовано

https://www.virustotal.com/ru/file/7fe5324265cb8032562e2a7252ca8de5d0780c29359595bcb6f1a6f76fda1242/analysis/1379319027/

 
Все сделал , проблема решена . Спасибо за помощь 
 
 
Ответ касперского:
Re: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:1] [KLAN-1050572745]
Hello,

This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst. If you are a licensed Kaspersky Lab customer, we recommend that you send the files to be scanned to the Virus Lab, using your profile: https://my.kaspersky.com/en/support/viruslab This option is available for the Licensed Kaspersky Lab customers only. If you are not a Licensed Kaspersky Lab customer, please use the following link: http://support.kaspersky.com/virlab/helpdesk.html?LANG=en. This link sends your file to the Virus Lab for inspection. All the files submitted for scanning from unregistered addresses are verified in the common queue order.

bcqr00001.dat,
bcqr00002.dat,
bcqr00003.dat,
bcqr00004.dat,
ff_acm.acm,
spdifer_config.exe

No malicious code were found in these files.

bcqr00009.dat,
bcqr00010.dat,
crss.exe,
RControlServer.exe

These files are in process.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты
Dimga37

Dimga37

Опубликовано
  • Автор
Опубликовано

Второй ответ Касперских:

 

Hello,

"crss.exe_"     Trojan-Spy.Win32.Agent.ciil
"*"
"ff_acm.acm"    ok
"*"
"RControlServer.exe_"   ok
"*"
"spdifer_config.exe_"   ok
"*"
Regards, Ling Tu
Junior Virus Analyst

39A/3 Leningradskoe Shosse, Moscow, 125212, Russia  Tel./Fax: + 7 (495) 797 8700  http://www.kaspersky.com http://www.viruslist.com

Ссылка на комментарий
Поделиться на другие сайты
Mark D. Pearlstone

Mark D. Pearlstone

Опубликовано
Опубликовано

Сообщение от модератора Mark D. Pearlstone
Одно из сообщений перенесено в новую тему http://forum.kasperskyclub.ru/index.php?showtopic=41411&page=1&&do=findComment&comment=594582
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • PitBuLL
      Kaspersky Plus ни разу не обновил (не обновляет) базы в течении суток
      Автор PitBuLL
      Замечаю третий день подряд - Kaspersky Plus ни разу не обновил (не обновляет) базы в течении суток. 
      Сообщение в Kaspersky Plus появляется, что необходимо обновить базы.
      Сам то Kaspersky Plus почему не обновляет свои базы? 
      Настройки Kaspersky Plus по умолчанию, обновление баз соответственно должно быть автоматическим.
      Вот опять сутки прошли, пришлось обновить базы вручную.
       
       
       
       
       
    • fmlnuser
      wsus на базе ksc
      Автор fmlnuser
      Добрый день, имеется всус на базе ksc. Можно ли через него обновлять драйвера как это делается на wsusе от майкрософт? Так же интересует вопрос о необязательных обновлениях которые не получить через синхронизацию обновлений, на всусе от майкрософта можно было вручную добавить инсталяшку, а тут как?
    • Хасан Абдурахман
      Касперский тормозит открытие сайтов.
      Автор Хасан Абдурахман
      Открываеш гугл. Кликаеш по ссылке на какой нибудь сайт . И ждешь, пока касперский решит его открыть. Иногда 3-5 минут ждешь. Аж вся душа выматывается.  
    • Михаил Ш.
      Подозрительный сайт tonzz3.ru
      Автор Михаил Ш.
      Обнаружил у себя в кэше на сервере подозрительные записи.
      KES стоит, подозрительной активности не наблюдаю, так что вроде бы сервер в порядке.
      Но данных по сайту в интернете нет.
      Главная страница это явно инжектор скриптов, что в таком виде как сейчас явно намекает на нелегитимное использование.
      Возможно из KSN можно получить больше полезной информации? и в случае подтверждения опасений внести в базу.
       
      Имена:
      tonzz3.ru
      hit.tonzz3.ru
      hitcrypt.tonzz3.ru
       
      P.S. не нашёл подходящей темы и выбрал текущую. Помощь с сервером не нужна.
      Сообщение от модератора kmscom тема перемещена из раздела Помощь в удалении вирусов
    • PiGeMa
      Не открывается защищенный режим браузера Firefox
      Автор PiGeMa
      Перестал включаться защищенный режим браузера Firefox. Появляется сообщение "couldn't load xpcom".
×
×
  • Создать...