Перейти к содержанию
Правила раздела

Поймал Brontok с флешки

RokWeb

От RokWeb
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\и\AppData\Roaming\Microsoft\Windows\Templates\Brengkolang.com','');
DeleteFile('C:\Users\и\AppData\Roaming\Microsoft\Windows\Templates\Brengkolang.com','32');
DeleteFile('C:\Windows\Tasks\At1.job','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(8);
ExecuteRepair(13);
ExecuteRepair(17);
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.


1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи

 

Сделайте лог полного сканирования МВАМ

Ссылка на комментарий
Поделиться на другие сайты
RokWeb Новичок

RokWeb

Опубликовано
  • Автор
Опубликовано

Ответ (KLAN-1459230328)

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику. Если Вы являетесь Лицензионным пользователем продуктов Лаборатории Касперского, рекомендуем Вам воспользоваться личным кабинетом для отправки файлов на проверку в вирусную лабораторию: https://my.kaspersky.com/ru/support/viruslab. Данная возможность была специально предусмотрена для удобства Лицензионных Пользователей наших продуктов. Если Вы не являетесь Лицензионным пользователем продуктов Лаборатории Касперского, Вы можете воспользоваться формой :http://support.kaspersky.ru/virlab/helpdesk.html для отправки файла на проверку в вирусную лабораторию. Запросы на проверку файлов, отправленные не с перечисленных выше форм, будут обработаны в порядке очереди.

quarantine.zip

Этот файл повреждён.

С уважением, Лаборатория Касперского

 

(При этом действительно проверил нахождение файлов помещающихся в карантин - там их нет, поэтому видимо и "файл поврежден").

log.txt

MBAM-log-2014-03-09 (07-36-15).txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Удалите в МВАМ только указанные ниже записи 

Обнаруженные ключи в реестре:  4
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{93DBF2BB-A2B3-4683-A92E-57E60751F346} (PUP.Optional.ValueApps.A) -> Действие не было предпринято.
HKCU\Software\Conduit\ValueApps (PUP.Optional.ValueApps.A) -> Действие не было предпринято.
HKCU\SOFTWARE\SWEETIM (PUP.Optional.SweetIM.A) -> Действие не было предпринято.
HKLM\SOFTWARE\SWEETIM (PUP.Optional.SweetIM.A) -> Действие не было предпринято.
 
Обнаруженные параметры в реестре:  2
HKCU\Software\SweetIM|simapp_id (PUP.Optional.SweetIM.A) -> Параметры: 1763663218088148991 -> Действие не было предпринято.
HKLM\Software\SweetIM|simapp_id (PUP.Optional.SweetIM.A) -> Параметры: 1763663218088148991 -> Действие не было предпринято.
 
Обнаруженные папки:  9
C:\Users\и\AppData\Local\Bron.tok-12-3 (Worm.Brontok) -> Действие не было предпринято.
C:\Users\и\AppData\Local\Bron.tok-12-4 (Worm.Brontok) -> Действие не было предпринято.
C:\Users\и\AppData\Local\Bron.tok-12-5 (Worm.Brontok) -> Действие не было предпринято.
C:\Users\и\AppData\Local\Bron.tok-12-6 (Worm.Brontok) -> Действие не было предпринято.
C:\Users\и\AppData\Local\Bron.tok-12-7 (Worm.Brontok) -> Действие не было предпринято.
C:\Users\и\AppData\Local\Bron.tok-12-8 (Worm.Brontok) -> Действие не было предпринято.
C:\Program Files\Conduit\ValueApps (PUP.Optional.ValueAppsplugin.A) -> Действие не было предпринято.
C:\Program Files (x86)\Conduit\ValueApps (PUP.Optional.ValueAppsplugin.A) -> Действие не было предпринято.
C:\Users\и\AppData\Local\Conduit\ValueApps (PUP.Optional.ValueAppsplugin.A) -> Действие не было предпринято.
Ссылка на комментарий
Поделиться на другие сайты
RokWeb Новичок

RokWeb

Опубликовано
  • Автор
Опубликовано

Проблема решена?

Не знаю. Видимых признаков наличия Brontok нет. Пока посижу так, если проявится - сообщу! Большое спасибо за помощь!

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Gagik
      Поймал вирус
      От Gagik
      Поймал вирус не знаю из за чего и ни чем не определяется почти,вроде как dwm процесс называется,при открытии диспетчера задач,не отображается и нагрузка сразу спадает,в простое нагревает процессор до 90 градусов
    • LeoNid2024
      Поймали шифровщика
      От LeoNid2024
      Был взломан сервер по rdp, все файлы зашифрованы, NAS к сожалению не работал.
      Система просканирована kvrt.exe. Найдено вредоносное ПО. 
       
       
       
      KVRT2020_Data.zip
      Зашифрованные файлы.zip
    • Владимир_032
      Роли пользователя для управления "флешками"
      От Владимир_032
      Добрый день.
       
      Стажеру надо дать права на добавление/удаление флешек из списка "Доверенные устройства" в "Контроль безопасности" - "Контроль устройств".
      Подскажите, какую роль я должен ему прописать?
      Сейчас есть роль "Оператор сервера администрирования", но вышеуказанный функционал он только видит, править не может.
      У пользователя на скриншоте выделенные команды не активны.

    • Блохина Татьяна
      Проблема с флешкой
      От Блохина Татьяна
      Здравствуйте! Я недавно купила флешку Кингстон на 64 и 128гигабайт по работе. Но обнаружила на них обеих следующее. Файл если записать в корень флешки читается нормально, но если переписать его с другого носителя в папке, то появляется сообщение об ошибке и не возможности файл прочесть или просто чистый лист. Форматирование изменений не принесло. Что делать, выкинуть флешки или можно их вылечить? Спасибо. Антивирус Касперского постоянно обновляется и вирусов на флешках не показывает.
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Уничтожение вирусов"
    • Максим Шахторин
      Тоже Поймали шифровальщика ELPACO-team
      От Максим Шахторин
      Здравствуйте, ELPACO-team залетел в наш сервер, зашифровал 1с, если кто научился дешифровать, дайте знать. Хакеры указали не вменяемую сумму за ключ.
×
×
  • Создать...