Перейти к содержанию
Правила раздела
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

[Лог!] KIS не справился

gensek

Автор gensek
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

gensek Продвинутый

gensek

Опубликовано
Опубликовано

Всем привет!! :) B) B)

 

Из-за постоянной перезагрузки пришлось отлажить удаление этого паука :)

 

Посмотрите логи, помогите плиз :)

 

Захват1.rar

hijackthis.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\MS-0901-upd011709.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\MS-0901-upd011707.exe','');
DeleteService('jgbgfjvm');
QuarantineFile('C:\WINDOWS\system32\drivers\bajqfprfczxllsv.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\bajqfprfczxllsv.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам, только о том что в попавших файлах, никакой информации (Ф.И.О и т.д.) о том кто из аналитиков проверял не нужно.

 

 

Повторите логи.

Ссылка на комментарий
Поделиться на другие сайты
gensek Продвинутый

gensek

Опубликовано
  • Автор
Опубликовано
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\MS-0901-upd011709.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\MS-0901-upd011707.exe','');
DeleteService('jgbgfjvm');
QuarantineFile('C:\WINDOWS\system32\drivers\bajqfprfczxllsv.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\bajqfprfczxllsv.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам, только о том что в попавших файлах, никакой информации (Ф.И.О и т.д.) о том кто из аналитиков проверял не нужно.

 

 

Повторите логи.

 

 

Скрипты выполнил но троян остался

 

hijackthis.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано

'C:\WINDOWS\system32\AgCPanelSwedis.dll' - этот файл в архиве под паролем virus отправьте на newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам, только о том что в попавших файлах, никакой информации (Ф.И.О и т.д.) о том кто из аналитиков проверял не нужно.

Ссылка на комментарий
Поделиться на другие сайты
gensek Продвинутый

gensek

Опубликовано
  • Автор
Опубликовано
'C:\WINDOWS\system32\AgCPanelSwedis.dll' - этот файл в архиве под паролем virus отправьте на newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам, только о том что в попавших файлах, никакой информации (Ф.И.О и т.д.) о том кто из аналитиков проверял не нужно.

 

 

AgCPanelSwedish.dll

 

Вредоносный код в файле не обнаружен.

Ссылка на комментарий
Поделиться на другие сайты
gensek Продвинутый

gensek

Опубликовано
  • Автор
Опубликовано
а по поводу первого карантина ответа ещё не было?

 

Здравствуйте.

 

Присланный Вами файл уже детектируется. Пожалуйста, обновите Ваши базы.

Ссылка на комментарий
Поделиться на другие сайты
gensek Продвинутый

gensek

Опубликовано
  • Автор
Опубликовано
а по поводу первого карантина ответа ещё не было?

 

 

Здравствуйте.

 

Присланный Вами файл уже детектируется. Пожалуйста, обновите Ваши базы.

Trojan-Dropper.Win32.Agent.adwt :huh:

Ссылка на комментарий
Поделиться на другие сайты
akoK Ветеран

akoK

Опубликовано
Опубликовано

Деинсталируйте Outpost он блокирует работу антируткита AVZ.

 

Пофиксить в HijackThis следующие строчки

 O4 - Global Startup: MS-0901-upd011707.exe
O4 - Global Startup: MS-0901-upd011709.exe

 

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Program Files\Stardock\Object Desktop\IconPackager\iprepair.dll','');
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\oreans32.sys','');
DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\MS-0901-upd011707.exe');
DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\MS-0901-upd011709.exe');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

 

Повторите тольковместо лога HJT мне понадобится:

Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Ссылка на комментарий
Поделиться на другие сайты
gensek Продвинутый

gensek

Опубликовано
  • Автор
Опубликовано

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

 

Повторите тольковместо лога HJT мне понадобится:

Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

 

 

Извиняюсь за задержку-ответ на карантин получил тока счас:

 

Hello,

 

iprepair.dll, oreans32.sys

 

No malicious code were found in these files.

 

userinit.exe_ - Trojan.Win32.Inject.neq

 

Логи avz4 вот:

 

virusinfo_syscheck.zip

virusinfo_syscure.zip

 

Ну а дальше проблемка, я RSIT не могу стянуть с инета ни тут (с сайта) ни с поскоивиков, ни с других форумов -- ни откуда,

ну ни лезет он ко мне в комп - СЕРВЕР НЕ НАЙДЕН -(можа все это с одного места?)

Прошлый раз был запрос - я скачал и ни проблем, а счас - фиг

Ссылка на комментарий
Поделиться на другие сайты
gensek Продвинутый

gensek

Опубликовано
  • Автор
Опубликовано (изменено)
У Вас userinit.exe - патчен.

 

Его необходими заменить на чистый.

 

 

Сменил на чистый, размер 24,5 Кб,перезагрузил , а вирус сидит

Изменено пользователем gensek
Ссылка на комментарий
Поделиться на другие сайты
akoK Ветеран

akoK

Опубликовано
Опубликовано
Ну а дальше проблемка, я RSIT не могу стянуть с инета ни тут (с сайта) ни с поскоивиков, ни с других форумов -- ни откуда,

ну ни лезет он ко мне в комп - СЕРВЕР НЕ НАЙДЕН -(можа все это с одного места?)

Прошлый раз был запрос - я скачал и ни проблем, а счас - фиг

 

Попробуйте скачать отсюда.

 

Какие проблемы наблюдаются. Если наблюдаются, то опишите их более подробно.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Игорь11
      kis блокирует яндекс браузер
      Автор Игорь11
      Здравствуйте.
      Внезапно появилась проблема с KIS. В первой половине этого (2023) года KIS стал блокировать любые сайти, открываемые с помощью браузеров Яндекс, Атом и Хромиум-ГОСТ.
      В Яндекс-браузере открывается и работает только поиск яндекса. Переход на любой сайт:
      Не удаётся установить соединение с сайтом.
      Соединение сброшено.
      В Атом и Хромиум-ГОСТ блокируется всё.
      Попытка поставить в исключение не помогла.
      Помогает только приостановка защиты KIS.
      Другие браузеры (Edge, Хром, Firefox, Опера) работают без проблем.
      Подскажите, если знаете, в чём тут дело?
      ОС - Виндовс10проф
      KIS 21.3.10.391
      Всё официально и с последними обновлениями.
    • Ilya45
      Зашифровали файлы (ELENOR), нужна помощь, логи FRST собрал.
      Автор Ilya45
      Доброго времени суток.
      Зашифровали сегодня файлы на компе, ночью, предположительно подключились через рдп, вырубили каспера иначе думаю не отключить. винда 7.
      log.zip - логи под пользователем где все зашифровано,
      log2.zip - логи под созданным пользователем(добавил нового сам). со всеми галками в программе.
      files.zip - файл исходный и зашифрованный, плюс тхт с сообщением.
      log.zip files.zip log2.zip
    • Камиль Махмутянов
      KIS обнаружил рекламные программы
      Автор Камиль Махмутянов
      Здравствуйте, извиняюсь за беспокойство, недано KIS стал обнаруживать рекламные программы. Вчера одну, сегодня 2. Удалить не может, после перезагрузки компьютера они возвращаются. прикрепляю логи.
      CollectionLog-2024.11.13-14.42.zip
    • LordKunsaid
      KIS 2021 Не удаляется уведомление
      Автор LordKunsaid
      При сканировании выскочило окно уведомления о найденной проблеме. Но я не хочу лечить этот файл. Я хочу добавить его в исключения. Но там нет такого пункта. Почему? Это первый вопрос.
      Второй вопрос, как удалить это окно? Оно висит и висит на рабочем столе, мешает.

    • Андрей2029
      При каждой загрузке KIS находит троян в памяти
      Автор Андрей2029
      Добрый день. Каждый раз после загрузки ПК вижу сообщение KIS о том, что в памяти обнаружена вредоносная программа. Выключить нельзя, KIS предлагает только лечить без перезагрузки и лечить с перезагрузкой. Лечу. Перезагруэаюсь, спустя какое-то время опять вижу это сообщение. Началось после установки Davinchi Resolve и его доп софта. Давинчи нужен.\
      Разумеется, я проводил полную проверку ПК и с помощью KIS, и через Kaspersky Virus Removal Tool, и через AVZ, даже Adwcleaner запускал - везде все по нулям, как до появления этого сообщения, так и после.
       


×
×
  • Создать...