Перейти к содержанию

KIS не удаётся выковырять "черьвячка"


Рекомендуемые сообщения

Здравствуйте! KIS 2012 определяет активность вируса (детектирует его как UDS:DangerousObject.Multi.Generic) и производит рекомендуемое лечение с перезагрузкой,после рестарта запускает процесс восстановления после действия вируса и ПК работает нормально. Но после перезагрузки и выключении/включении ПК вновь обнаруживает активность этого вируса! 

 

(из отчётов его работы:


XJQXJ.exe Обнаружено: UDS:DangerousObject.Multi.Generic

XJQXJ.exe Обнаружено: UDS:DangerousObject.Multi.Generic

XJQXJ.exe Упаковано: MPRESS )


  

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

info.txt

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Evgen\AppData\Local\MAGBO\k89u8s0A4.vbe','');
DeleteFile('C:\Users\Evgen\AppData\Local\MAGBO\k89u8s0A4.vbe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WindowsUpdate');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи

 

Сделайте лог полного сканирования МВАМ

Ссылка на сообщение
Поделиться на другие сайты

После выполнения скрипта и перезагрузки KIS не обнаружил более проблемы.

   Спасибо!

  Ответ на "Запрос на исследование вредоносного файла":

------------------------------------

Re: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:1] [KLAN-1412496435]:

 

Hello,
 
This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst.  If you are a licensed Kaspersky Lab customer, we recommend that you send the files to be scanned to the Virus Lab, using your profile: https://my.kaspersky.com/en/support/viruslab  This option is available for the Licensed Kaspersky Lab customers only. If you are not a Licensed Kaspersky Lab customer, please use the following link: http://support.kaspersky.com/virlab/helpdesk.html?LANG=en. This link sends your file to the Virus Lab for inspection. All the files submitted for scanning from unregistered addresses are verified in the common queue order. 
 
k89u8s0A4.vbe
 
This file is in process.
 
Best Regards, Kaspersky Lab
 
"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700  http://www.kaspersky.com http://www.viruslist.com"

------------------------------------

 

  Логи и отчёты проверок приложены!

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

info.txt

MBAM-log-2014-02-16 (22-12-15).txt

Ссылка на сообщение
Поделиться на другие сайты

Ооу-у-у...

 

ещё вот дослали:

 

------------------------------------------

 
В присланном Вами файле обнаружено новое вредоносное программное обеспечение. 
Его детектирование будет включено в очередное обновление антивирусных баз. 
Благодарим за оказанную помощь.
 
Trojan.VBS.Agent.qx
 
Sincerely yours,
Paul Ambroso,
Junior Malware analyst.
_____________________
Kaspersky Lab
Bellevue, USA

------------------------------------------

Ссылка на сообщение
Поделиться на другие сайты

запустите ещё раз полную проверку в MBAM и удалите всё, кроме:

C:\Distrib\ SSF\Sony Sound Forge 10 Pro\keygen.exe (PUP.Riskware.Keygen) -> Действие не было предпринято.
C:\Distrib\GAMES\Angry.Birds.v1.5.2.cracked.READ.NFO-THETA\NFOviewer.exe (Malware.Packer.Krunchy) -> Действие не было предпринято.
C:\Program Files\TotalCommanderDL\Utilities\RegWorkshop\Keygen.exe (Riskware.Tool.CK) -> Действие не было предпринято.
C:\Program Files (x86)\Personal Finances Pro\Патч.exe (CrackTool.Agent) -> Действие не было предпринято.
C:\temp\x64\App\Ai\Support Files\Contents\Windows\amtlib.dll (PUP.RiskwareTool.CK) -> Действие не было предпринято.
C:\Users\Evgen\Documents\aps\aps3ekg.exe (RiskWare.Tool.HCK) -> Действие не было предпринято.
C:\Users\Evgen\Downloads\DownloadManagerSetup (1).exe (PUP.Optional.BundleInstaller.A) -> Действие не было предпринято.
C:\Users\Evgen\Downloads\MediaPlayerSetup.exe (PUP.Optional.BundleInstaller.A) -> Действие не было предпринято.
C:\Скачивание\Personal Finance 3.0.7.zip (Spyware.Password) -> Действие не было предпринято.
C:\Скачивание\Personal Finance Calculator 1.0.zip (Spyware.Password) -> Действие не было предпринято.
C:\Скачивание\90 themes for windows 7\Патчер Windows 7 для сторонних тем.rar (Trojan.Dropped) -> Действие не было предпринято.
C:\Скачивание\DUINO\Apress Arduino Adventures 2013 Retail eBook-BitBook.zip (Backdoor.Agent.WLMS) -> Действие не было предпринято.
C:\Скачивание\Personal Finances Pro\Патч.exe (CrackTool.Agent) -> Действие не было предпринято.
C:\Скачивание\Сканирование ошибок,ускорение работы ПК\SLOW-PCfighter-1.1.28.rar (Trojan.Agent) -> Действие не было предпринято.
C:\типа диск D\Мои докумены\С FLASHки 8GB\Distrib\Angry.Birds.v1.5.2.cracked.READ.NFO-THETA\NFOviewer.exe (Malware.Packer.Krunchy) -> Действие не было предпринято.
C:\Windows\System32\MSDCSC\msdcsc.exe (Backdoor.Agent.DC) -> Действие не было предпринято.
C:\Windows\SysWOW64\MSDCSC\msdcsc.exe (Backdoor.Agent.DC) -> Действие не было предпринято.
C:\Users\Evgen\AppData\Roaming\Microsoft\Windows\Templates\msctfmonitor.exe (Trojan.Agent) -> Действие не было предпринято.

новый лог приложите.

 

всё вышеперечисленное проверьте на virustotal.com и приложите на все результаты проверки ссылки.

Ссылка на сообщение
Поделиться на другие сайты



















 

Лог MBAM прикладываю!

 

MBAM-log-2014-02-20 (20-46-58).txt

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Arcus
      Здравствуйте!
      Касперский нашел на Android вирус DangerousObject.multi.generic
      Есть действие "Заблокировать", но оно открывает меню с параметрами ОС.
      При каждом повторном сканировании телефона вновь обнаруживается это заражение.
      Как залезть в системную папку без root и удалить вручную зараженный файл не знаю.
       
      Прикрепил скриншот с обнаружением и с параметрами телефона/версией ос-прошивки.
       
      Помогите вылечить смартфон. Спасибо!



×
×
  • Создать...