maxkrav 0 Опубликовано 24 сентября, 2017 Share Опубликовано 24 сентября, 2017 Здравствуйте!Прошу помочь.Поймал вирусы.ОС Windows Server 2012 R2 Standart.Она используется для доступа других компов по интернету по удаленным рабочим столам для работы.На ней был установлен лицензионный Kaspersky Small Office Security.Примерно месяц назад стал замечать на локальных компах прерывание сеансов удаленного доступа.Сегодня решил проверить. Оказывается, что Kaspersky Small Office Security удален.Попытался установить - не получается. Всплывает "Ошибка 1310. Ошибка записи в файл".Cкачал CureIT, запустил. Он нашел много вирусов, но полечил или удалил не все.Также запускал программу AVZ. Запустить ее смог только со съемного диска.Программа AutoLogger.exe также не запускалась с жесткого диска. Смог запустить только со съемного.Логи во вложении. CollectionLog-2017.09.24-14.10.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 24 сентября, 2017 Share Опубликовано 24 сентября, 2017 KeyLogger MPK сами устанавливали? Выполните скрипт в AVZ begin if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\HP\webisida.browser.exe',''); SetServiceStart('wscsvs', 4); DeleteService('werlsfks'); DeleteService('wcvvses'); DeleteService('spoolsrvrs'); DeleteService('wscsvs'); QuarantineFile('C:\Windows\Inf\axperflib\0010\0011\000E\0015\mms.exe',''); QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe',''); QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe',''); QuarantineFile('C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe',''); QuarantineFile('C:\Windows\SysWOW64\inspect.exe',''); TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000e\0015\taskhostex.exe'); QuarantineFile('c:\windows\inf\axperflib\0010\0011\000e\0015\taskhostex.exe',''); TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000e\0015\mms.exe'); QuarantineFile('c:\windows\inf\axperflib\0010\0011\000e\0015\mms.exe',''); DeleteFile('c:\windows\inf\axperflib\0010\0011\000e\0015\mms.exe','32'); DeleteFile('c:\windows\inf\axperflib\0010\0011\000e\0015\taskhostex.exe','32'); DeleteFile('C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe','32'); DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe','32'); DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe','32'); DeleteFile('C:\Windows\Inf\axperflib\0010\0011\000E\0015\mms.exe','32'); DeleteFile('C:\Windows\system32\Tasks\GoogleUpdateTaskMashine','64'); DeleteFile('C:\Program Files\Common Files\Microsoft Shared\HP\webisida.browser.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; end.Перезагрузку компьютера выполните вручную. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи. Ссылка на сообщение Поделиться на другие сайты
maxkrav 0 Опубликовано 24 сентября, 2017 Автор Share Опубликовано 24 сентября, 2017 KeyLogger MPK не устанавливал. Даже не знаю что это такое. До того как вы прислали что делать запустил программу KVRT.exe, которая как понял удалила этот KeyLogger MPK с перезагрузкой. Все ваши действия выполнил. Касперский также не ставится. KLAN-6863973297 Ответ следующий: //////////////////////////////////////////////// Благодарим за обращение в Антивирусную ЛабораториюПрисланные вами файлы были проверены в автоматическом режиме.В антивирусных базах информация по присланным вами файлам отсутствует:mms.exemms_0.exelsm.exemms_1.exeinspect.exeФайлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.Антивирусная Лаборатория, Kaspersky Lab HQ ////////////////////////////////////////////// Новые логи во вложении. CollectionLog-2017.09.24-17.38.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 24 сентября, 2017 Share Опубликовано 24 сентября, 2017 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению. Ссылка на сообщение Поделиться на другие сайты
maxkrav 0 Опубликовано 24 сентября, 2017 Автор Share Опубликовано 24 сентября, 2017 Выполнил. Отчеты во вложении. Отчеты FRST64.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 24 сентября, 2017 Share Опубликовано 24 сентября, 2017 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: IFEO\sethc.exe: [Debugger] seth.exe ShortcutTarget: Punto Switcher.lnk -> C:\Users\Администратор\AppData\Roaming\Punto\lsass.exe (No File) BHO: Kaspersky Protection -> {2E38825B-8815-42CF-9126-C58BC28D4591} -> C:\Program Files (x86)\Kaspersky Lab\Kaspersky Small Office Security 17.0.0\x64\IEExt\ie_plugin.dll => No File Toolbar: HKLM - Kaspersky Protection Toolbar - {093F479D-712E-46CD-9E06-62E734A05F68} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Small Office Security 17.0.0\x64\IEExt\ie_plugin.dll No File S2 spoolsrvrs; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe [X] S2 wcvvses; C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe [X] S2 werlsfks; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe [X] S2 wscsvs; C:\Windows\Inf\axperflib\0010\0011\000E\0015\mms.exe [X] C:\Windows\Inf\axperflib\0010 C:\Windows\Inf\NETLIBRARIESTIP\000D 2. Нажмите Файл – Сохранить как3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Перезагрузку компьютера выполните вручную. Ссылка на сообщение Поделиться на другие сайты
maxkrav 0 Опубликовано 24 сентября, 2017 Автор Share Опубликовано 24 сентября, 2017 Выполнил. Fixlog.txt во вложении. Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 24 сентября, 2017 Share Опубликовано 24 сентября, 2017 Попробуйте удалить все следы установки антивируса утилитой http://media.kaspersky.com/utilities/ConsumerUtilities/kavremvr.exe А потом попробуйте установить его заново Ссылка на сообщение Поделиться на другие сайты
maxkrav 0 Опубликовано 24 сентября, 2017 Автор Share Опубликовано 24 сентября, 2017 Выполнил, но Касперский не устанавливается. Выдает ту же ошибку. Такое ощущение, что вирусы запретили многие действия. Например, даже программу торрент не могу открыть. Также при запуске программы AutoLogger.exe выдает ошибку. Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 25 сентября, 2017 Share Опубликовано 25 сентября, 2017 Да тут вирусы не причем. Скорее это настройки сервера виноваты. Или это последствия после удаления антивируса вручную после удаленного входа в систему. Error: (09/24/2017 05:23:35 PM) (Source: MsiInstaller) (EventID: 11310) (User: WIN-TN71ARLH39G) Description: Программа: Kaspersky Small Office Security -- Ошибка 1310. Ошибка записи в файл: C:\Program Files (x86)\Kaspersky Lab\Kaspersky Small Office Security 17.0.0\avp.exe. Системная ошибка 0. Убедитесь, что вы обладаете правами доступа к папке. Error: (09/24/2017 05:13:56 PM) (Source: MsiInstaller) (EventID: 11310) (User: WIN-TN71ARLH39G) Description: Программа: Kaspersky Small Office Security -- Ошибка 1310. Ошибка записи в файл: C:\Program Files (x86)\Kaspersky Lab\Kaspersky Small Office Security 17.0.0\avp.exe. Системная ошибка 0. Убедитесь, что вы обладаете правами доступа к папке. Error: (09/24/2017 01:42:36 PM) (Source: MsiInstaller) (EventID: 11310) (User: WIN-TN71ARLH39G) Description: Программа: Kaspersky Small Office Security -- Ошибка 1310. Ошибка записи в файл: C:\Program Files (x86)\Kaspersky Lab\Kaspersky Small Office Security 17.0.0\avp.exe. Системная ошибка 0. Убедитесь, что вы обладаете правами доступа к папке. Error: (09/24/2017 11:57:41 AM) (Source: MsiInstaller) (EventID: 11310) (User: WIN-TN71ARLH39G) Description: Программа: Kaspersky Small Office Security -- Ошибка 1310. Ошибка записи в файл: C:\Program Files (x86)\Kaspersky Lab\Kaspersky Small Office Security 17.0.0\avp.exe. Системная ошибка 0. Убедитесь, что вы обладаете правами доступа к папке. Error: (09/24/2017 10:21:38 AM) (Source: MsiInstaller) (EventID: 11310) (User: WIN-TN71ARLH39G) Description: Программа: Kaspersky Small Office Security -- Ошибка 1310. Ошибка записи в файл: C:\Program Files (x86)\Kaspersky Lab\Kaspersky Small Office Security 17.0.0\avp.exe. Системная ошибка 0. Убедитесь, что вы обладаете правами доступа к папке. Error: (09/24/2017 10:12:36 AM) (Source: MsiInstaller) (EventID: 10005) (User: WIN-TN71ARLH39G) Description: Программа: Kaspersky Small Office Security -- Внутренняя ошибка 2318. C:\ProgramData\Kaspersky Lab\AVP17.0.0\dummy.tmp Error: (09/24/2017 10:11:03 AM) (Source: MsiInstaller) (EventID: 10005) (User: WIN-TN71ARLH39G) Description: Программа: Kaspersky Small Office Security -- Ошибка 29005. Вы выбрали папку или диск, где уже есть файлы. Программа не может быть установлена в папку, где уже есть файлы, так как после включения функции "Самозащита" могут возникнуть проблемы с доступом к этим файлам.<<29005>>InstallDir=C:\Program Files (x86)\Kaspersky Lab\Kaspersky Small Office Security 17.0.0\ Error: (09/14/2017 09:11:59 PM) (Source: MsiInstaller) (EventID: 1013) (User: NT AUTHORITY) Description: Программа: Kaspersky Small Office Security -- Пароль для удаления программы не задан либо неверен. Попробуйте обратиться в техподдержку. Возможно, что для удаления всех следов корпоративных продуктов есть отдельный ремувер. Ссылка на сообщение Поделиться на другие сайты
maxkrav 0 Опубликовано 25 сентября, 2017 Автор Share Опубликовано 25 сентября, 2017 Если вирусы не при чем, то почему программы AutoLogger, AVZ и KVRT не запускаются с жесткого диска? Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 25 сентября, 2017 Share Опубликовано 25 сентября, 2017 почему программы AutoLogger, AVZ и KVRT политики на сервере скорее всего срабатывают Как вариант, проверить сервер с помощью Kaspersky Rescue Disk https://support.kaspersky.ru/viruses/rescuedisk Ссылка на сообщение Поделиться на другие сайты
maxkrav 0 Опубликовано 25 сентября, 2017 Автор Share Опубликовано 25 сентября, 2017 Проверял сервер с помощью Kaspersky Rescue Disk. Дошел до 99% и после два часа на этой отметке. Устал ждать. Но программа ничего не нашла. Так на сервере были вирусы, когда написал сообщение? Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 25 сентября, 2017 Share Опубликовано 25 сентября, 2017 Только программа удаленного администрирования, компоненты которой удалялись в первом скрипте и дочищались далее. Такие программы относятся к категории потенциально опасных, но полноценными вирусами их считать не нужно. Ссылка на сообщение Поделиться на другие сайты
maxkrav 0 Опубликовано 25 сентября, 2017 Автор Share Опубликовано 25 сентября, 2017 Спасибо за помощь. Обратился в службу техподдержки Касперского. Вот их первое сообщение: //////////////////////////////////////////////////////////////////// Здравствуйте!Уточните, пожалуйста, пробовали ли Вы создать новую учетную запись с правами администратора и проверить наличие проблем?Для диагностики пришлите нам, пожалуйста, отчёт утилиты GetSystemInfo версии 6: http://media.kaspersky.com/utilities/ConsumerUtilities/GetSystemInfo6.2.exeИнструкции по созданию отчёта Вы можете найти здесь: http://support.kaspersky.ru/3632Пожалуйста, обратите внимание, что в случае, если ответ от Вас не будет получен в течение 7 дней, запрос будет расценён как решённый или не требующий ответа.С уважением,Служба Технической ПоддержкиАО "Лаборатория Касперского" ///////////////////////////////////////////////////////////////// Посмотрим, может правда конфликт антивируса и сервера. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти