Перейти к содержанию
Правила раздела

KES обнаружил Трояна

Romcop

Автор Romcop
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Romcop Постоялец

Romcop

Опубликовано
Опубликовано

Добрый вечер!

 

Еще на одном компьютере возникло теперь предупреждение Касперского, причем несколько раз. Я не понимаю, он не может удались с первого раза или находит в разных местах?

И хоть Касперский и сказал, что  обнаружил уязвимость я решил на всякий случай провести начальную экзекуцию.

0. Просканировал KESом. - результат 1 угроза убрана.

1. Проверил KVRTом - ничего.

2. Autologger получил логи.

 

Подскажите у меня все нормально?

CollectionLog-2016.12.29-21.16.zip

report1.log

report2.log

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Здравствуйте,

 

HiJackThis (из каталога автологгера) профиксить

O2 - BHO: VK OK AdBlock - {FF20459C-DA6E-41A7-80BC-8F4FEFD9C575} - (no file)
O2-32 - BHO: VK OK AdBlock - {FF20459C-DA6E-41A7-80BC-8F4FEFD9C575} - (no file)
O4 - HKCU\..\Run: [jeiwkxuncm] explorer "http://rigneda.ru/?utm_source=uoua03&utm_content=3f5ac389090854fdc20d4928cb8b84b3&utm_term=435E4275B62E39989A87DA932F3BC245&utm_d=20161109"
AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 QuarantineFile('C:\Program Files (x86)\VK OK AdBlock\ScWccqX.exe','');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','jeiwkxuncm');
 DeleteFile('C:\Windows\Tasks\Update Service for VK OK AdBlock.job','32');
 DeleteFile('C:\Program Files (x86)\VK OK AdBlock\ScWccqX.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

 

После перезагрузки:

- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Подготовьте лог AdwCleaner и приложите его в теме.

Ссылка на комментарий
Поделиться на другие сайты
Romcop Постоялец

Romcop

Опубликовано
  • Автор
Опубликовано

Добрый день!

 

С утра не мог сразу начать предписанные действия. Сейчас приступил к работе. Вижу KES опять обнаружил угрозу.

Запустил HiJackThis( возможно не от имени администратора). Не обнаружил строчки O2-32. Поэтому отчекил только 2 строки(прикрепил  2 buckup файла). Затем провел операции в AVZ, но первый раз делал не под Админскими правами. Поэтому Quarantine.zip не получил.(Извините - болею температура). Затем сделал под админскими правами. но quarantine пустой.

Пришлось снова запустить AutoLogger.

Можете посмотреть?

backup-20161230-115033-114.txt

backup-20161230-115033-264.txt

CollectionLog-2016.12.30-12.09.zip

report1.log

report2.log

Ссылка на комментарий
Поделиться на другие сайты
Romcop Постоялец

Romcop

Опубликовано
  • Автор
Опубликовано

Нет, когда я вошел в этото HiJack, то не обнаружил картинки, как по ссылке на слове "пофиксить"

>HiJackThis (из каталога автологгера) профиксить 

выкачал с по ссылке с сайта и запустил - ошибка?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

выкачал с по ссылке с сайта и запустил - ошибка?

Конечно. Там версия отличается от той, которая находится уже у Вас в каталоге Автологера.
Ссылка на комментарий
Поделиться на другие сайты
Romcop Постоялец

Romcop

Опубликовано
  • Автор
Опубликовано

Произвол чек из HiJackThis в Autologer`е. Там имелись опять только 2 строки с 02 и 02-32, а строки с 04 не было. 

Затем произвел работу скрипта AVZ. Тот в процессе работы выдавал ошибки , что не может  удалить VK OK AdBlock ScWccqX.exe.  

Затем перегрузился комп, снова AVZ с сохранением Quarantinе, который естественно пустой.

Вобщем, снова AutoLogger. Взгляните?

CollectionLog-2016.12.30-13.42.zip

quarantine.zip

report1.log

report2.log

Ссылка на комментарий
Поделиться на другие сайты
Romcop Постоялец

Romcop

Опубликовано
  • Автор
Опубликовано

Произвёл чек из HiJackThis в Autologer`е. Там имелись опять только 2 строки с 02 и 02-32, а строки с 04 не было. 

Затем произвел работу скрипта AVZ. Тот в процессе работы выдавал ошибки , что не может  удалить VK OK AdBlock ScWccqX.exe.  

Затем перегрузился комп, снова AVZ с сохранением Quarantinе, который естественно пустой.

Вобщем, снова AutoLogger. Взгляните?

Посмотрите, Вирус остался?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Виталий Чебыкин
      Обновление продуктов KES
      Автор Виталий Чебыкин
      Добрый день!
      Может вопрос уже решался ранее но ответа на него я не нашел. В домене есть множество клиентов KES при обновлении который с версии 12.3 - 12.8. На множестве клиентах вышла ошибка при обновлении следующая: Kaspersky Endpoint Security для Windows (12.8.0) (12.8.0.505): Удаленная установка на устройстве завершена с ошибкой: В процессе установки произошла неисправимая ошибка. (Установка Kaspersky Endpoint Security для Windows не может быть выполнена, так как на компьютере установлено стороннее приложение: Eset Endpoint Antivirus 5.0.2214.7. Чтобы выполнить установку Kaspersky Endpoint Security для Windows, необходимо удалить стороннее приложение стандартными средствами Microsoft Windows или иными способами.)
      Подскажите почему сам инсталятор не удаляет Eset Endpoint Antivirus сам если при создании задачи в KSC я выбрал удалить все не совместимые продукты? Данные УЗ при инсталляции есть домена и локального админа. При этом если устанавливаешь вручную он дает поставить. Да и до этого стояла версия другая 12.3. Можно как то выяснить что конкретно KES проверяет при установке?
    • Ezexec
      [РЕШЕНО] Обнаружил мощный майнер на пк
      Автор Ezexec
      Стал замечать большие просадки фпс в разных играх. C открытым диспетчером задач проблема всегда уходит. В самом диспетчере нашел "левый" процесс с фейковой иконкой дискорда, который периодически меняет рандомно названия. Погуглив, понял, что это самый настоящий майнер. Заблочил мне все антивирусы, редактор реестра и службы. Из-за этого никакими статьями и советами не могу избавиться от этого майнера. Был бы рад какому либо совету или помощью.
    • Aman2008
      Обнаружил вирус-майнер-троян и по ДЗ, скачал касперский стандарт но он его не обнаружил
      Автор Aman2008
      Месяц или 3 недели назад заметил как упал фпс в играх и в ДЗ при открывании ЦП резко падает со 100%, скачал касперский стандарт и он его не видит в полную проверку.
      CollectionLog-2025.03.05-20.40.zip
    • sajithebloody
      [РЕШЕНО] Трояны в cohost.exe и explorer.exe
      Автор sajithebloody
      Доброго времени, касперский не может справиться с троянами в этих файлах, лечение с перезагрузкой не помогает. Не нашел детект трояна в отчетах Касперского (но это было в моменте), но нашел упоминание попадания этих файлов в исключение сразу же после установки антивиря - подозрительно. Заранее прикрепляю максимум логов, из аутологгера и uvs. 
      лог к.txt CollectionLog-2025.05.09-02.44.zip DESKTOP-LB93OSN_2025-05-09_03-17-36_v4.99.14v x64.7z
    • Wgis
      Троян HEUR/AGEN.1374183
      Автор Wgis
      Добрый день, поймали такой вирус: https://www.virustotal.com/gui/file/55d05771086c5acc0c6275be9e1366819b5bb941a1bfb85ea4a1721ce6486a85/
       
      Помогите пожалуйста с лечением, вот отчёты FRST:
       
      frst.zip
×
×
  • Создать...