Вирус Trojan.Multi.CertStor.a

[vetlyakov]

Здравствуйте, имеем KSC и KES 10.3.0.6294 и еще KES 10.2.6.3733 (на пк с WinXP) оба  постоянно обнаруживают вирус Trojan.Multi.CertStor.a. Компьютеры в домене (что-то распространяется политиками и обнаруживает как вирус) администраторы сами не знают (или делают вид, что не знают) что может это быть.

 

Название темы написал не правильно, можно ли изменить на Вирус Trojan.Multi.CertStor.a

CollectionLog-2017.08.08-11.04.zip

Изменено 8 августа, 2017 пользователем vetlyakov

[regist]

1)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

2)

Java(TM) 6 Update 45 [20170202]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216045FF}

старая, дрявая версия. Надо удалить.

 

3) Где находит вирус? Можете скопировать сюда строку из отчёта?

[vetlyakov]

Расположение System Memory

1)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

2)

Java(TM) 6 Update 45 [20170202]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216045FF}

старая, дрявая версия. Надо удалить.

 

3) Где находит вирус? Можете скопировать сюда строку из отчёта?

Расположение System Memory, процедуру сделал, отправил через форму.

[regist]

 

 

отправил через форму.

ссылку на отчёт оставьте тут.

 

+ Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.
 

[vetlyakov]

 

отправил через форму.

ссылку на отчёт оставьте тут.

 

+ Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.

 

отчет  AVZ https://virusinfo.info/virusdetector/report.php?md5=E1EDA82DEC96320BC8B463BD0E11EEF1

Файл uVS прикрепил

079-485129_2017-08-08_12-19-05.7z

[regist]

1) Не надо заниматься оверквотингом. Есть поле для быстрого ответа внизу.

2) Не игнорируйте указания.

 

 

ссылку на отчёт оставьте тут.

Где?

 

 

Java 6 Update 45 [20170202]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216045FF} старая, дрявая версия. Надо удалить.

Почему не удалили?

 

 

Можете скопировать сюда строку из отчёта?

строка из лога будет?

[vetlyakov]

Строка из лога https://virusinfo.info/virusdetector/report.php?md5=E1EDA82DEC96320BC8B463BD0E11EEF1

[regist]

 

 

Строка из лога https://virusinfo.in...8B463BD0E11EEF1

это не из лога, а отчёт о проверке. Строку всё жду.

 

+

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.0.9 [http://dsrt.dyndns.org]
   ;Target OS: NTv6.1
   v400c
   BREG
   dirzooex %SystemRoot%\EX
   ;---------command-block---------
   bl 43AB44012604985BD0ED300AD36BA749 135112
   zoo %SystemRoot%\EX\NFAPI.DLL
   delall %SystemRoot%\EX\NFAPI.DLL
   bl 06108F705F3A87FB60F7044C1E6B3AB4 344064
   zoo %SystemRoot%\EX\PROTOCOLFILTERS.DLL
   delall %SystemRoot%\EX\PROTOCOLFILTERS.DLL
   apply
   
   ; Java(TM) 6 Update 45
   exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216045FF} /quiet
   regt 27
   czoo
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
   
   Если архив отсутствует, то
   заархивруйте папку ZOO
   с паролем
   virus
   .

7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
8. Подробнее читайте в этом руководстве.

 

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

[vetlyakov]

В отчете запись,

Событие "Обнаружена активная угроза. Требуется запуск процедуры лечения активного заражения" произошло на компьютере 055-483786 в домене ELARA 8 августа 2017 г. 15:02:06 (GMT+03:00)

Тип события:     Обнаружена активная угроза. Требуется запуск процедуры лечения активного заражения

Программа\Название:     Kaspersky Endpoint Security 10 для Windows

Программа\Путь:     c:\program files (x86)\kaspersky lab\kaspersky endpoint security 10 for windows sp1\

Пользователь:     ELARA\8032 (Активный пользователь)

Компонент:     Управление защитой

 

[regist]

выполняйте остальное.

[vetlyakov]

Скрипт выполнил, отправил на почту.

Проверил AdwCleaner, лог прикрепил.

AdwCleanerS0.txt

[regist]

Просьба переделайте лог этой версией.

Если вдруг предложит обновить версию, то нажмите отмена.

[vetlyakov]

Просканировал еще раз.

AdwCleanerS1.txt

[regist]

• Пожалуйста, запустите adwcleaner.exe
• Нажмите File (Файл) Uninstall (Деинсталлировать).
• Подтвердите удаление нажав кнопку: Да.

 

что с проблемой?

[vetlyakov]

Проблема осталась