Перейти к содержанию
Правила раздела
Конкурс по разработке Telegram-бота Kaspersky Club

KES обнаружил Трояна

Romcop

Автор Romcop
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Romcop Постоялец

Romcop

Опубликовано
Опубликовано

Добрый вечер!

 

Еще на одном компьютере возникло теперь предупреждение Касперского, причем несколько раз. Я не понимаю, он не может удались с первого раза или находит в разных местах?

И хоть Касперский и сказал, что  обнаружил уязвимость я решил на всякий случай провести начальную экзекуцию.

0. Просканировал KESом. - результат 1 угроза убрана.

1. Проверил KVRTом - ничего.

2. Autologger получил логи.

 

Подскажите у меня все нормально?

CollectionLog-2016.12.29-21.16.zip

report1.log

report2.log

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Здравствуйте,

 

HiJackThis (из каталога автологгера) профиксить

O2 - BHO: VK OK AdBlock - {FF20459C-DA6E-41A7-80BC-8F4FEFD9C575} - (no file)
O2-32 - BHO: VK OK AdBlock - {FF20459C-DA6E-41A7-80BC-8F4FEFD9C575} - (no file)
O4 - HKCU\..\Run: [jeiwkxuncm] explorer "http://rigneda.ru/?utm_source=uoua03&utm_content=3f5ac389090854fdc20d4928cb8b84b3&utm_term=435E4275B62E39989A87DA932F3BC245&utm_d=20161109"
AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 QuarantineFile('C:\Program Files (x86)\VK OK AdBlock\ScWccqX.exe','');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','jeiwkxuncm');
 DeleteFile('C:\Windows\Tasks\Update Service for VK OK AdBlock.job','32');
 DeleteFile('C:\Program Files (x86)\VK OK AdBlock\ScWccqX.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

 

После перезагрузки:

- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Подготовьте лог AdwCleaner и приложите его в теме.

Ссылка на комментарий
Поделиться на другие сайты
Romcop Постоялец

Romcop

Опубликовано
  • Автор
Опубликовано

Добрый день!

 

С утра не мог сразу начать предписанные действия. Сейчас приступил к работе. Вижу KES опять обнаружил угрозу.

Запустил HiJackThis( возможно не от имени администратора). Не обнаружил строчки O2-32. Поэтому отчекил только 2 строки(прикрепил  2 buckup файла). Затем провел операции в AVZ, но первый раз делал не под Админскими правами. Поэтому Quarantine.zip не получил.(Извините - болею температура). Затем сделал под админскими правами. но quarantine пустой.

Пришлось снова запустить AutoLogger.

Можете посмотреть?

backup-20161230-115033-114.txt

backup-20161230-115033-264.txt

CollectionLog-2016.12.30-12.09.zip

report1.log

report2.log

Ссылка на комментарий
Поделиться на другие сайты
Romcop Постоялец

Romcop

Опубликовано
  • Автор
Опубликовано

Нет, когда я вошел в этото HiJack, то не обнаружил картинки, как по ссылке на слове "пофиксить"

>HiJackThis (из каталога автологгера) профиксить 

выкачал с по ссылке с сайта и запустил - ошибка?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

выкачал с по ссылке с сайта и запустил - ошибка?

Конечно. Там версия отличается от той, которая находится уже у Вас в каталоге Автологера.
Ссылка на комментарий
Поделиться на другие сайты
Romcop Постоялец

Romcop

Опубликовано
  • Автор
Опубликовано

Произвол чек из HiJackThis в Autologer`е. Там имелись опять только 2 строки с 02 и 02-32, а строки с 04 не было. 

Затем произвел работу скрипта AVZ. Тот в процессе работы выдавал ошибки , что не может  удалить VK OK AdBlock ScWccqX.exe.  

Затем перегрузился комп, снова AVZ с сохранением Quarantinе, который естественно пустой.

Вобщем, снова AutoLogger. Взгляните?

CollectionLog-2016.12.30-13.42.zip

quarantine.zip

report1.log

report2.log

Ссылка на комментарий
Поделиться на другие сайты
Romcop Постоялец

Romcop

Опубликовано
  • Автор
Опубликовано

Произвёл чек из HiJackThis в Autologer`е. Там имелись опять только 2 строки с 02 и 02-32, а строки с 04 не было. 

Затем произвел работу скрипта AVZ. Тот в процессе работы выдавал ошибки , что не может  удалить VK OK AdBlock ScWccqX.exe.  

Затем перегрузился комп, снова AVZ с сохранением Quarantinе, который естественно пустой.

Вобщем, снова AutoLogger. Взгляните?

Посмотрите, Вирус остался?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Aman2008
      Обнаружил вирус-майнер-троян и по ДЗ, скачал касперский стандарт но он его не обнаружил
      Автор Aman2008
      Месяц или 3 недели назад заметил как упал фпс в играх и в ДЗ при открывании ЦП резко падает со 100%, скачал касперский стандарт и он его не видит в полную проверку.
      CollectionLog-2025.03.05-20.40.zip
    • sajithebloody
      Трояны в cohost.exe и explorer.exe
      Автор sajithebloody
      Доброго времени, касперский не может справиться с троянами в этих файлах, лечение с перезагрузкой не помогает. Не нашел детект трояна в отчетах Касперского (но это было в моменте), но нашел упоминание попадания этих файлов в исключение сразу же после установки антивиря - подозрительно. Заранее прикрепляю максимум логов, из аутологгера и uvs. 
      лог к.txt CollectionLog-2025.05.09-02.44.zip DESKTOP-LB93OSN_2025-05-09_03-17-36_v4.99.14v x64.7z
    • Secops
      Самозащита KES 12 в AstraLinux
      Автор Secops
      Добрый день!
      Подскажите, есть ли возможность защитить KES от выключения пользователем в AstraLinux паролем?
      Знаю, что есть такая возможность на windows, но в политиках для KES Linux на KSC пункт "интерфейс" - > самозащита и т.д. отсутствует. 
      Поиск в манах результата не дал (возможно плохо искал).
      Использую KES 12.0 для AstraLinux под управлением KSC 14.2 (web-консоль).
       
      Сообщение от модератора thyrex Перемещено из технического раздела
       
    • foroven
      Обнаружена сетевая атака
      Автор foroven
      Добрый день. После того как мы словили вирус шифровальщик и был установлен антивирусный продукт лаборатории Касперского, в его журнале каждый час стали появляться записи о сетевой атаке. Причем адрес атакующего компьютера это Linux-система с установленным Kerio Control. Может ли Касперсий так реагировать на его работу? Или он может быть заражен? Спасибо.
    • m7a7s7
      Установка KES 12.8.0
      Автор m7a7s7
      День добрый.
      Установил KSC 15.1, на клиентах остались KES 11.3.0.773.
      При автоматической установке KES 12.8.0 и вместе с ним Агента Kaspersky Security Center (15.1.0.20748), устанавливается только агент, антивирус не устанавливается. Задача зависает на 50%, так и висит.
      Подозреваю, что это происходит из за установленного на клиенте KES 11.3.0.773/
      Создал задачу для его удаления, но задача выдает ошибку "Невозможно загрузить утилиту деинсталляции с помощью Агента администрирования. На данном устройстве не установлен Агент администрирования." Хотя Агент администрирования 15.1 на клиенте установлен.
×
×
  • Создать...