Помощь в нахождении и лечения вируса

[k008 0]

Здравствуйте, подскажите пожалуйста, может кто помочь ускорить поиск и обезвреживания вируса?

 

Запрос в Тех поддержку написал (INC000008037408), но уже пол недели, никак вирус не найдут.

 

[regist 617]

@k008, а если не секрет, то как они ищут? Никогда не обращался в тех. поддержку за помощью в лечение от вирусов ))).

А спрашиваю из-за того, что параллельное лечение в двух местах может навредить вам.

 

И всё-таки сделайте логи по правилам запроса о помощи, чтобы примерно знать, что у вас творится в системе.
 

[k008 0]

а если не секрет, то как они ищут?

 

 

 

Здравствуйте, Касперский находит вирус в ОЗУ, но вылечить не может.

Логи положить в WebDav не получилось, поэтому даю ссылку на облако:

https://drive.google.com/drive/folders/0B62kBfce-21TaUlSQUxBQ2FZWFk?usp=sharing

 

 

 

Уважаемый пользователь, для полноты картины необходимо, чтобы вы подробно описали проблему (ошибку), с которой столкнулись. Сильно поможет иллюстрация, которую можно сделать с помощью скриншотов (копией экрана). Полученную иллюстрацию и описание мы будем использовать для дальнейшей диагностики.

 

 

 

Прикладываю скриншот "Вируса", который не вылечивается нажатием на кнопку, "Лечить с перезагрузкой".

Ранее я прикладывал все необходимые отчёты.

 

Вирус находится, "вылечивается", перезагружается и опять всё по новой

[regist 617]

1) Полнедели для тех. поддержки это совсем не долго.

2) Логи по правилам этого раздела до сих пор не вижу.

[k008 0]

1) Полнедели для тех. поддержки это совсем не долго.

Этот очень, очень долго!!!

 

2) Логи по правилам этого раздела до сих пор не вижу.

Часть логов есть по ссылке выше, на гугл диске.

Остальные логи собираю и проверяю куреитом, который успешно нашёл вирусы, уже на втором ПК. Вирус Dande (аптечный вирус).

[regist 617]

 

 

Этот очень, очень долго!!!

согласно Энштейну, время понятие относительное. Для тех. поддержки это недолго.

 

 

Часть логов есть по ссылке выше, на гугл диске.

Я не могу их оттуда скачать. Прикрепите к сообщению. И не знаю что там за логи, но нужно по правилам раздела.

[k008 0]

Итак начну с начала.

Включаю компьютер, через небольшой промежуток времени, Касперский находит вирус в Memory (скриншот приложил), нажимаю на лечить с перезагрузкой, после перезагрузки и проверки системы на "восстановление после заражения вирусами" (само открылось окно), опять появляется вирус в Memory.

 

Логи прикладываю. Найденные вирусы (кроме вируса в System Volume Information) отправил в лабораторию на исследование

согласно Энштейну, время понятие относительное. Для тех. поддержки это недолго.

Мне есть с чем сравнивать, 4-ый день вирус, а тех. поддержка не шевелится, вот у меня вопрос, антивирус купленный, известно о нахождении вируса в ОС.

И пока тех. поддержка не прождёт неделю - вирус так и останется в системе, Вы считаете это нормально? А если учесть классификацию доктора веба, то это вирус, довольно опасный.

 

Я не могу их оттуда скачать.

Не знаю с чем это связано, но техподдержка смогла скачать, так как Far не смог загрузить на WebDav...

CollectionLog-2017.07.20-14.14.zip

report1.log

report2.log

cureit.zip

[regist 617]

1)

D:\POST\MoveFilesPost.vbs
C:\gdelek\Util\upload.vbs
C:\Katren\WinPrice2\WinPrice.exe

Эти файлы как понимаю вам знакомы?

2)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

3) Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.



 

[k008 0]

1) D:\POST\MoveFilesPost.vbs C:\gdelek\Util\upload.vbs C:\Katren\WinPrice2\WinPrice.exe

Все файлы знакомы, первый - это перемещение файлов с одного места, в другое. Второй - это отправка сведений на сайт (по идеи вируса в нём нет). Ну и последний - это аптечная программа от поставщика Катрен (там может быть вирус, чисто теоретически)

[k008 0]

В дополнение к ранее написанному сообщению.

 

2) http://virusinfo.info/virusdetector/report.php?md5=B392761E7A3DA6A0BDD69CAB9EE82883

3) Отчёт прикрепил

malwarebytes.txt

[regist 617]

Mail.ru агент используете?

 

Если да, то удалите в MBAM только

PUP.Optional.RussAd, C:\DOCUMENTS AND SETTINGS\т_тимофеева\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\NAHD6HA2.DEFAULT\EXTENSIONS\SOVETNIK@METABAR.RU.XPI, Проигнорировано пользователем, [12], [312601],1.0.2408

и по лечению дальше лучше продолжайте с тех. поддержкой. Если KIS всё ещё ругается, то возможно это ложное срабатывание. Подтвердить или опровергнуть скорее сможет тех. поддержка.

[k008 0]

 

 

Если KIS всё ещё ругается, то возможно это ложное срабатывание. Подтвердить или опровергнуть скорее сможет тех. поддержка.

 

В том то и дело, что судя по CureIt, вирусы есть и ложного срабатывания нет, а тем более какого ложного? Это срабатывание не может вылечить касперский, а это уже повод обновить функционал удаления.

[regist 617]

Судя по логу CureIt он уже удалил вирус.

И вы не ответили на вопросы.

 

 

Mail.ru агент используете?

 

 

KIS всё ещё ругается

?

[k008 0]

 

 

Судя по логу CureIt он уже удалил вирус.

Он скорее всего, удалил вирус в озу, а реальный вирус ещё лежит.

 

 

 

Mail.ru агент используете?

Точно не скажу, сейчас. Скорее всего, да, использую.

 

 

 

Если KIS всё ещё ругается

 

Да, он ругается.

 

Была ранее аналогичная проблема на другом компьютере, вирус вылечили куреитом, а касерский так же себя вёл.

[regist 617]

 

 

Он скорее всего, удалил вирус в озу, а реальный вирус ещё лежит.

если вы смотрели его отчёт, то он удалил реальные файлы на диске.

 

 

Да, он ругается.

 

 

а касерский так же себя вёл.

Вот поэтому и разбирайтесь с тех. поддержкой. Они могут передать разработчикам/вир. аналитикам, чтобы те доработали если требуется.

 

MBAM деинсталируйте.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.