Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

KES обнаружил Трояна

Romcop

Автор Romcop
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Romcop

Romcop

Опубликовано
Опубликовано

Добрый вечер!

 

Еще на одном компьютере возникло теперь предупреждение Касперского, причем несколько раз. Я не понимаю, он не может удались с первого раза или находит в разных местах?

И хоть Касперский и сказал, что  обнаружил уязвимость я решил на всякий случай провести начальную экзекуцию.

0. Просканировал KESом. - результат 1 угроза убрана.

1. Проверил KVRTом - ничего.

2. Autologger получил логи.

 

Подскажите у меня все нормально?

CollectionLog-2016.12.29-21.16.zip

report1.log

report2.log

Ссылка на комментарий
Поделиться на другие сайты
SQ

SQ

Опубликовано
Опубликовано

Здравствуйте,

 

HiJackThis (из каталога автологгера) профиксить

O2 - BHO: VK OK AdBlock - {FF20459C-DA6E-41A7-80BC-8F4FEFD9C575} - (no file)
O2-32 - BHO: VK OK AdBlock - {FF20459C-DA6E-41A7-80BC-8F4FEFD9C575} - (no file)
O4 - HKCU\..\Run: [jeiwkxuncm] explorer "http://rigneda.ru/?utm_source=uoua03&utm_content=3f5ac389090854fdc20d4928cb8b84b3&utm_term=435E4275B62E39989A87DA932F3BC245&utm_d=20161109"
AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 QuarantineFile('C:\Program Files (x86)\VK OK AdBlock\ScWccqX.exe','');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','jeiwkxuncm');
 DeleteFile('C:\Windows\Tasks\Update Service for VK OK AdBlock.job','32');
 DeleteFile('C:\Program Files (x86)\VK OK AdBlock\ScWccqX.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

 

После перезагрузки:

- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Подготовьте лог AdwCleaner и приложите его в теме.

Ссылка на комментарий
Поделиться на другие сайты
Romcop

Romcop

Опубликовано
  • Автор
Опубликовано

Добрый день!

 

С утра не мог сразу начать предписанные действия. Сейчас приступил к работе. Вижу KES опять обнаружил угрозу.

Запустил HiJackThis( возможно не от имени администратора). Не обнаружил строчки O2-32. Поэтому отчекил только 2 строки(прикрепил  2 buckup файла). Затем провел операции в AVZ, но первый раз делал не под Админскими правами. Поэтому Quarantine.zip не получил.(Извините - болею температура). Затем сделал под админскими правами. но quarantine пустой.

Пришлось снова запустить AutoLogger.

Можете посмотреть?

backup-20161230-115033-114.txt

backup-20161230-115033-264.txt

CollectionLog-2016.12.30-12.09.zip

report1.log

report2.log

Ссылка на комментарий
Поделиться на другие сайты
Romcop

Romcop

Опубликовано
  • Автор
Опубликовано

Нет, когда я вошел в этото HiJack, то не обнаружил картинки, как по ссылке на слове "пофиксить"

>HiJackThis (из каталога автологгера) профиксить 

выкачал с по ссылке с сайта и запустил - ошибка?

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

выкачал с по ссылке с сайта и запустил - ошибка?

Конечно. Там версия отличается от той, которая находится уже у Вас в каталоге Автологера.
Ссылка на комментарий
Поделиться на другие сайты
Romcop

Romcop

Опубликовано
  • Автор
Опубликовано

Произвол чек из HiJackThis в Autologer`е. Там имелись опять только 2 строки с 02 и 02-32, а строки с 04 не было. 

Затем произвел работу скрипта AVZ. Тот в процессе работы выдавал ошибки , что не может  удалить VK OK AdBlock ScWccqX.exe.  

Затем перегрузился комп, снова AVZ с сохранением Quarantinе, который естественно пустой.

Вобщем, снова AutoLogger. Взгляните?

CollectionLog-2016.12.30-13.42.zip

quarantine.zip

report1.log

report2.log

Ссылка на комментарий
Поделиться на другие сайты
Romcop

Romcop

Опубликовано
  • Автор
Опубликовано

Произвёл чек из HiJackThis в Autologer`е. Там имелись опять только 2 строки с 02 и 02-32, а строки с 04 не было. 

Затем произвел работу скрипта AVZ. Тот в процессе работы выдавал ошибки , что не может  удалить VK OK AdBlock ScWccqX.exe.  

Затем перегрузился комп, снова AVZ с сохранением Quarantinе, который естественно пустой.

Вобщем, снова AutoLogger. Взгляните?

Посмотрите, Вирус остался?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • varzi_73
      Троян trojan.multi.aum
      Автор varzi_73
      Добрый день! подцепил троян. Как восстановить данные?
      RDesk_Backup.rar
    • DeniTornado
      KES на терминальных серверах
      Автор DeniTornado
      Доброго всем!
      Коллеги, а кто-нибудь использует KES на своих RDS серверах? Все нормально с работой серверов?
       
      Дано:
      - несколько RDS на Windows Server 2019
      - на них установлен KES 12.1.0.506
       
      Проблема:
      Вот уже в течении нескольких дней подряд наблюдаю утром проблему пока только на RDS (на остальных серверах пока все нормально - служебные серверы для определенных целей). То один сервер, то второй, то третий - утром когда все пользователи заходят на свои рабочие столы (почти все у нас работают на терминальных серверах со своих тонких клиентов), зайти не могут! Сервер тупо не отвечает на запросы. RDSы - это виртуальные машины на Hyper-V. Приходится через консоль Hyper-V перезагружать виртуалку и тогда она или после первой перезагрузки или после второй начинает пускать пользователей.
      Самое интересное что в логах ни чего такого, что указало бы на проблему. ТП в собранных логах ни чего криминального не видит
       
      До установки KES такого не было ни когда! Раньше пользовались другим известным антивирусом вообще не знали таких симптомов и проблем.
      Есть у кого схожие проблемы на RDS?
       
      И еще такой вопрос: на RDS серверах я использую скрытый режим работы KES - в настройках политики для RDSов отключил интерфейс. Не за чем пользователям его видеть в трее Windows. Но при такой настройке становится недоступна проверка из контекстного меню WIndows файлов на вирусы - эти менюшки серые и их не нажать. Можно как-то и скрыть KES, но при этом и функция проверки из контекстного меню была доступна?
    • linnur
      Обновление KES оффлайн
      Автор linnur
      Здравствуйте имеется KES 11 версии, необходимо обновить на версии 12 на ос виндовс. Проблема заключается в том, что большое чисто компьютеров локальные (без сети) и обновление получают через флешку (через утилиту KUU). Подскажите, возможно ли обновление версии без ручного обхода всех ПК, а автоматически с правами пользователя?
    • MirTa
      Троян ISTANBULTEAM зашифровал файлы
      Автор MirTa
      Здравствуйте, вчера в два этапа  10.00 и  20.00 оказались зашифрованы почти все файлы, в том числе и архиватор, поэтому не могу сложить в архив и не могу их прикрепить, подскажите, пожалуйста, как их сюда добавить
      Important_Notice.txt Addition.txt FRST.txt
    • user344
      Поймал майнер или троян
      Автор user344
      Здравствуйте! Недавно компьютер в простое начинает переодически нагружаться до 100%, вентиляторы начинают крутить на полную в течении 5-10 минут, только начинаешь водить мышкой по рабочему столу, то сразу же нагрузка падает до дефолтных значений. Проверял лечащай утилитой др.веб и kvrt они вирусов не нашли.
      CollectionLog-2025.06.25-21.11.zip
×
×
  • Создать...