Перейти к содержанию
Правила раздела

Не могу удалить вирус Trojan.Win32.Agentb.btlt

Andrey Saridzha

Автор Andrey Saridzha,
в Помощь в удалении вирусов

 Share Подписчики 1

Рекомендуемые сообщения

Andrey Saridzha

Andrey Saridzha 0

Опубликовано
Опубликовано (изменено)

KES находит Trojan.Win32.Agentb.btlt d в файле C:\windows\system\msinfo.exe и UDS:DangerousObject.Multi.Generic в файле C:\windows\debug\item.dat. Для удаления просит перезагрузить ПК, после перезагрузки вирус заново обнаруживается. Также в шедулере появляются два задания, первое запускает - my1.bat, второе - msinfo.exe.
Посмотрев что лежит в этих папках наше скрипты для ftp клиента которые выкачивают соответствующие вирусы и батники которые их устанавливают.
Удалить вирус не могу. Прошу помощи.

CollectionLog-2016.12.08-15.16.zip

kes.txt

CollectionLog-2016.12.08-17.19.zip

Изменено пользователем Andrey Saridzha
Убрал подозрительный файл
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Здравствуйте!

 

Пожалуйста, уточните: файлы

c:\RECYCLER\web7b.ini

c:\RECYCLER\Cacrk.exe

c:\windows\system32\wbem\123.bat

C:\WINDOWS\system32\wbem\1234567.bat

c:\windows\system\my1.bat

Ваши?
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
SearchRootkit(true, true);
 TerminateProcessByName('c:\windows\system\msinfo.exe');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Storm\update\Console\wxsse.cc3','');
 QuarantineFile('c:\windows\system\msinfo.exe','');
 QuarantineFile('c:\RECYCLER\web7b.ini', '');
 QuarantineFile('C:\RECYCLER\Cacrk.exe', '');
 QuarantineFile('c:\windows\system32\wbem\123.bat', '');
 QuarantineFile('C:\WINDOWS\system32\wbem\1234567.bat', '');
 QuarantineFile('c:\windows\system\my1.bat', '');
 ExecuteFile('schtasks.exe', '/delete /TN "C:\WINDOWS\Tasks\msinfo.job" /F', 0, 15000, true);
 DeleteFile('c:\windows\system\msinfo.exe','32');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Storm\update\Console\wxsse.cc3','32');
 DeleteFile('c:\RECYCLER\web7b.ini', '32');
 DeleteFile('C:\RECYCLER\Cacrk.exe', '32');
 DeleteFile('c:\windows\system32\wbem\123.bat', '32');
 DeleteFile('C:\WINDOWS\system32\wbem\1234567.bat', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Aut1');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Aut2');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Aut3');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','BGClients');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','BGClients1');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(9);
 ExecuteWizard('SCU', 2, 3, true);
end.
Пожалуйста, перезагрузите компьютер вручную.

 

 

После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Ссылка на сообщение
Поделиться на другие сайты
Andrey Saridzha

Andrey Saridzha 0

Опубликовано
  • Автор
Опубликовано

quarantine.zip [KLAN-5465852236]

Антивирус Касперского проверил файлы.

Вредоносные программы не найдены в файлах:
123.bat
my1.bat

Мы исследуем эти файлы. Если результат исследования будет отличаться, мы сообщим вам по электронной почте в течение пяти дней.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Логи следует собирать из консоли, а не из терминального режима.

 

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Включите Восстановление системы.

 

Следующую рекомендацию тоже выполняйте в консоли от имени администратора.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM\...\Run: [360Safetray] => [X]
HKLM\...\Run: [ QQPCTray] => [X]
HKLM\...\Run: [RavTRAY] => [X]
HKLM\...\Run: [RISTRAY] => [X]
HKLM\...\Run: [kxesc] => [X]
HKLM\...\Run: [KVMON] => [X]
HKLM\...\Run: [ShStatEXE] => [X]
HKLM\...\Run: [McAfeeUpdaterUI] => [X]
HKLM\...\Run: [KVXP] => [X]
2016-12-08 17:31 - 2016-12-08 17:31 - 02441984 _____ C:\WINDOWS\system\msinfo.exe
2016-12-08 17:31 - 2016-12-08 17:31 - 00000276 _____ C:\WINDOWS\Tasks\msinfo.job
Task: C:\WINDOWS\Tasks\msinfo.job => c:\windows\system\msinfo.exe
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Вручную перегрузите компьютер.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Ser_S
      Удаление KES
      От Ser_S
      Здравствуйте, подскажите как можно удалить KES 12.1.0, а то как то затянулся  KEKS c KEPS    В Панели управления->Удаление программ  его нет, но он есть в реестре, и в службах
      Также есть каталог C:\Program Files\Kaspersky Lab\KES 12.1.0, со всем содержимым (есть приложения avp и т.д., полный комплект приложений).
      OC win7-32 бита. Хотелось бы без всяких клинеров и ремоверов от касп. так как полагаю, что они рассчитаны на 64 бита, и приходится прибегать к точке восстановления, после их работы
      Т.е. можно ли  средствами этих приложений, которые в каталоге деинсталлировать или нет?., чтоб удалить(не остановить) хотя бы службы, а в реестре пусть болтаются..
    • Rgn
      Обновление политик в KSC
      От Rgn
      Здравствуйте, подскажите в чем может заключатся ошибка?
      Установил новую версию KES 12.4, но в политиках отображается 12.3

      подскажите с решением данной проблемы
    • Совух белобокий
      Как удалить ключ KES в KSC?
      От Совух белобокий
      Добрый день, господа!
      Имеем развёрнутый Kaspersky Security Center 14.2.20222 на Windows Server 2016, лицензионный ключ для продукта "Kaspersky Endpoint Security для бизнеса – Стандартный Russian Edition. 25-49 Node 1 year Renewal Download Licence - Лицензия" на 27 ПК, но почему-то на последний добавленный ПК не "прилетает" лиц. ключ, может быть потому, что все 27 лицензии уже использованы? Как тогда удалить ключ с одного из ПК (или это нужно делать с удалением самого KES на этом ПК?) чтобы освободилась лицензия для последнего ПК?
      Заранее благодарю за ответы!
    • Ser_S
      Доступ к принтеру
      От Ser_S
      Здравствуйте, на комп. OS win7, надо сделать печать на принтер Xerox WorkCentre 5016, который подключен к другому компу (я уже тут теряюсь это сетевая или локальная печать, печать вроде сетевая, а принтер подцеплен локально, т.к. нет сетевого интерфейса на нём)
      Так вот, отключаешь KES, печатает, включаешь не печатает, стал читать про контроль печати(Контроль печати (kaspersky.com)), ну вроде настроил политики, но вот где настраивать правила, не нашёл в  KSC, комп находится в управляемых устройствах, и подчиняется групповой политики KSC, и вроде там правил нет. Можно ли при такой схеме подключения(комп в управл. устройствах KSC, но к этому компу подцеплен принтер, о котором KSC не знает), поместить принтер в доверенные устройства?
    • Ser_S
      Удаление KES
      От Ser_S
      Здравствуйте, при обновление KES, вышло сообщение об ошибке, значит что-то пошло не так, и он самоликвидировался. Задаю вопрос в тех поддержку, как установить?, прикрепляю отчёт и скрин, со службами, которые там присутствуют, новые службы или старые, или очень древние не знаю. Ответ с ТП стандартный запускайте клеанер и повторно устанавливайте(видать некогда им там разбираться). Запускаю по инструкции клеанер, но службы все рано не удалились. Да и понятно клеанер чистит реестр, а не службы, но наверное в ТП это не подозревают. В общем, как после удаления Касперского, очистить службы, которые могут остаться в списке служб, от каких-то старых версий?
×
×
  • Создать...