Перейти к содержанию

Вирус Trojan.Multi.CertStor.a


Рекомендуемые сообщения

Здравствуйте, имеем KSC и KES 10.3.0.6294 и еще KES 10.2.6.3733 (на пк с WinXP) оба  постоянно обнаруживают вирус Trojan.Multi.CertStor.a. Компьютеры в домене (что-то распространяется политиками и обнаруживает как вирус) администраторы сами не знают (или делают вид, что не знают) что может это быть.

 

Название темы написал не правильно, можно ли изменить на Вирус Trojan.Multi.CertStor.a

CollectionLog-2017.08.08-11.04.zip

Изменено пользователем vetlyakov
Ссылка на сообщение
Поделиться на другие сайты

1)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

2)

Java(TM) 6 Update 45 [20170202]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216045FF}

старая, дрявая версия. Надо удалить.

 

3) Где находит вирус? Можете скопировать сюда строку из отчёта?

Ссылка на сообщение
Поделиться на другие сайты

Расположение System Memory


1)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

2)

Java(TM) 6 Update 45 [20170202]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216045FF}

старая, дрявая версия. Надо удалить.

 

3) Где находит вирус? Можете скопировать сюда строку из отчёта?

Расположение System Memory, процедуру сделал, отправил через форму.

Ссылка на сообщение
Поделиться на другие сайты

 

 


отправил через форму.
ссылку на отчёт оставьте тут.

 

+ Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.
 

Ссылка на сообщение
Поделиться на другие сайты

 

отправил через форму.

ссылку на отчёт оставьте тут.

 

+ Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.

 

отчет  AVZ https://virusinfo.info/virusdetector/report.php?md5=E1EDA82DEC96320BC8B463BD0E11EEF1

Файл uVS прикрепил

079-485129_2017-08-08_12-19-05.7z

Ссылка на сообщение
Поделиться на другие сайты

1) Не надо заниматься оверквотингом. Есть поле для быстрого ответа внизу.

2) Не игнорируйте указания.

 

 


ссылку на отчёт оставьте тут.
Где?

 

 


Java 6 Update 45 [20170202]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216045FF} старая, дрявая версия. Надо удалить.
Почему не удалили?

 

 


Можете скопировать сюда строку из отчёта?
строка из лога будет?
Ссылка на сообщение
Поделиться на другие сайты

 

 


Строка из лога https://virusinfo.in...8B463BD0E11EEF1
это не из лога, а отчёт о проверке. Строку всё жду.

 

+

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.0.9 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    BREG
    dirzooex %SystemRoot%\EX
    ;---------command-block---------
    bl 43AB44012604985BD0ED300AD36BA749 135112
    zoo %SystemRoot%\EX\NFAPI.DLL
    delall %SystemRoot%\EX\NFAPI.DLL
    bl 06108F705F3A87FB60F7044C1E6B3AB4 344064
    zoo %SystemRoot%\EX\PROTOCOLFILTERS.DLL
    delall %SystemRoot%\EX\PROTOCOLFILTERS.DLL
    apply
    
    ; Java(TM) 6 Update 45
    exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216045FF} /quiet
    regt 27
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то
    с паролем
    virus
    .

  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.


 

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

В отчете запись,

Событие "Обнаружена активная угроза. Требуется запуск процедуры лечения активного заражения" произошло на компьютере 055-483786 в домене ELARA 8 августа 2017 г. 15:02:06 (GMT+03:00)

Тип события:     Обнаружена активная угроза. Требуется запуск процедуры лечения активного заражения

Программа\Название:     Kaspersky Endpoint Security 10 для Windows

Программа\Путь:     c:\program files (x86)\kaspersky lab\kaspersky endpoint security 10 for windows sp1\

Пользователь:     ELARA\8032 (Активный пользователь)

Компонент:     Управление защитой

 

post-46897-0-71253600-1502194994_thumb.png

Ссылка на сообщение
Поделиться на другие сайты

  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите File (Файл) Uninstall (Деинсталлировать).
  • Подтвердите удаление нажав кнопку: Да.

 

что с проблемой?

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
×
×
  • Создать...