Roman_Five 598 Опубликовано 19 июля, 2014 Share Опубликовано 19 июля, 2014 вот эти файлы проверьте на virustotal.com Trojan.Agent, C:\Program Files\TCDL\_Setup32.exe, No Action By User, [6b36f1afc6b5152150ea5741ae52dd23],Trojan.Agent, C:\Program Files\TCDL\_Setup64.exe, No Action By User, [cfd2247c8af1a88e63d7bfd9847c3fc1],Trojan.KillAV, C:\Program Files\TCDL\Utilites\WinUDA.exe, No Action By User, [435e8c1495e636002aff3a42ec181ae6],Trojan.Agent, C:\Program Files\Volumecontrol2\LConfig.exe, No Action By User, [f8a9f4ac4a315adc3690c88df80cb14f], 4 ссылки на результаты проверок приложите. проблема не устранилась. оно и понятно. сделайте новые логи по правилам. будем удалять остатки от KIS а также лог GSI http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=55906 Цитата Ссылка на сообщение Поделиться на другие сайты
Мурзин Сергей 0 Опубликовано 19 июля, 2014 Автор Share Опубликовано 19 июля, 2014 https://www.virustotal.com/ru/file/5d8b2ee03a7acbc448d6e5b8f11bb64212b8031cd7f30f9c0c4c423177f8262a/analysis/1405749350/ https://www.virustotal.com/ru/file/298d9071b97ae5182fc09cf2e3fb2e9269c4ef3592d28d9e7cd6603c54c08f5f/analysis/1405749603/ https://www.virustotal.com/ru/file/fc0e31ecc172f82ca2f1693767451b36c2e19d4f4b4f16fa8d8318e8a8010b01/analysis/1405749688/ https://www.virustotal.com/ru/file/28e57d415eb5598d4c4f9b50caf806bc4769d66ac1ad994610f4665caa217208/analysis/1405749829/ соберу логи - отправлю собрал - отправляю ссылку забыл добавить http://www.getsysteminfo.com/read.php?file=1aaa35770c304294ba86da7e8de35ed8 CollectionLog-2014.07.19-17.35.zip GetSystemInfo_NOUT_SBBJ_Admin_2014_07_19_17_45_49.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 19 июля, 2014 Share Опубликовано 19 июля, 2014 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; SetServiceStart('kltdi', 4); SetServiceStart('klpd', 4); SetServiceStart('kneps', 4); StopService('kltdi'); StopService('klpd'); StopService('kneps'); QuarantineFile('lgcqxwso.sys',''); QuarantineFile('C:\DOCUME~1\Admin\APPLIC~1\UPDATE~1\UPDATE~1\UPDATE~1.EXE',''); QuarantineFile('C:\WINDOWS\system32\RWLN.dll',''); QuarantineFile('C:\Documents and Settings\Admin\Application Data\F.exe',' '); QuarantineFile('C:\Documents and Settings\Admin\Application Data\5A.exe',' '); DeleteFile('C:\Documents and Settings\Admin\Application Data\F.exe',' '); DeleteFile('C:\Documents and Settings\Admin\Application Data\5A.exe',' '); DeleteFile('C:\WINDOWS\system32\drivers\klpd.sys'); DeleteFile('C:\WINDOWS\system32\RWLN.dll','32'); DeleteFile('C:\WINDOWS\Tasks\At1.job','32'); DeleteFile('C:\DOCUME~1\Admin\APPLIC~1\UPDATE~1\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\WINDOWS\system32\DRIVERS\kneps.sys','32'); DeleteFile('C:\WINDOWS\system32\DRIVERS\kltdi.sys','32'); DelBHO('5564CC73-EFA7-4CBF-918A-5CF7FBBFFF4F'); DelBHO('3CA2F312-6F6E-4B53-A66E-4E65E497C8C0'); DelBHO('31332EEF-CB9F-458F-AFEB-D30E9A66B6BA'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RWLN','DLLName'); DeleteService('kltdi'); DeleteService('klpd'); DeleteService('kneps'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. после этого сделайте новые логи и новый лог GSI Цитата Ссылка на сообщение Поделиться на другие сайты
Мурзин Сергей 0 Опубликовано 19 июля, 2014 Автор Share Опубликовано 19 июля, 2014 запрос отправил. я вчера отправлял запрос на исследование вредоносного файла. вот ответ с почты: Здравствуйте,Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.UPDATE~1.EXEВредоносный код в файле не обнаружен.С уважением, Лаборатория Касперского Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 19 июля, 2014 Share Опубликовано 19 июля, 2014 после этого сделайте новые логи и новый лог GSI где? Цитата Ссылка на сообщение Поделиться на другие сайты
Мурзин Сергей 0 Опубликовано 19 июля, 2014 Автор Share Опубликовано 19 июля, 2014 после этого сделайте новые логи и новый лог GSI где? как GSI сделать? Цитата Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 704 Опубликовано 19 июля, 2014 Share Опубликовано 19 июля, 2014 @Мурзин Сергей, http://forum.kasperskyclub.ru/index.php?showtopic=7611&st=0&p=55906&&do=findComment&comment=55906 Цитата Ссылка на сообщение Поделиться на другие сайты
Мурзин Сергей 0 Опубликовано 19 июля, 2014 Автор Share Опубликовано 19 июля, 2014 вот один лог вот GSI у нас есть какие-нибудь сдвиги? или всё совсем плохо? решение вообще существует? CollectionLog-2014.07.19-23.43.zip GetSystemInfo_NOUT_SBBJ_Admin_2014_07_19_23_51_36.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 19 июля, 2014 Share Опубликовано 19 июля, 2014 есть какие-нибудь сдвиги? есть. деинсталлируйте MBAM пробуйте ставить KIS Цитата Ссылка на сообщение Поделиться на другие сайты
Мурзин Сергей 0 Опубликовано 19 июля, 2014 Автор Share Опубликовано 19 июля, 2014 удалил ч/з установку удаление. перегрузил. установка не удалась. Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 19 июля, 2014 Share Опубликовано 19 июля, 2014 удалите все возможные остатки от продуктов ЛК с помощью спецутилиты из-под безопасного режима. после перезагрузки пробуйте ставить. Цитата Ссылка на сообщение Поделиться на другие сайты
Мурзин Сергей 0 Опубликовано 19 июля, 2014 Автор Share Опубликовано 19 июля, 2014 УРА! ПОБЕДА! установился теперь скажите пожалуйста как вылечить второй комп, он в локалке с этим. есть панацея? там скорее всего тоже самое. у меня ключ на два компа Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 19 июля, 2014 Share Опубликовано 19 июля, 2014 новый компьютер - новая тема. Цитата Ссылка на сообщение Поделиться на другие сайты
Мурзин Сергей 0 Опубликовано 20 июля, 2014 Автор Share Опубликовано 20 июля, 2014 понятно. всем спасибо за помощь! Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.