Перейти к содержанию
Правила раздела

RMS — RFUSClient и "касперский security cloud", теперь каспер не работает

foxilian

Автор foxilian
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

foxilian

foxilian

Опубликовано
Опубликовано

1. ПК в домене, заражение прошло под правами пользователя.

2.  hosts  - все известные антивирусы забанены

3. Тело вируса:

ProgramData\Windows\rfusclient.exe, rutserv.exe

ProgramData\temp6.exe

4. Куча папок с закрытыми атрибутами

5. Понижен UAC

6. После ручного удаления вируса, теперь не запускается касперский. 

7. Заражение прошло под правами пользователя на ПК

Я уже чистил 20 ПК от такого вируса, я знаю как удалять его вручную. Но почему каспер его пропустил? Почему касперский теперь не запускается? 

Что бы заработал касперский, его надо сначала удалить, потом поставить заного!

Хочу передать вам образ ПК на исследование. 

 

akoK

akoK

Опубликовано
Опубликовано

Доброго времени суток. При наличии лицензии лучше подключить службу поддержки ЛК.

 

А для нас соберите комплект логов

 

foxilian

foxilian

Опубликовано
  • Автор
Опубликовано

Проблема регулярная, вирус ходит в сети. ПК с XP - не трогает. 

Хотелось бы еще получить рекомендации по настройке доменной политики для обнаружения и предотвращения.

CollectionLog-2021.10.19-17.05.zip

thyrex

thyrex

Опубликовано
Опубликовано

Здравствуйте!

 

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям.

После перезагрузки системы соберите новый CollectionLog Автологером.

  • Согласен 1
foxilian

foxilian

Опубликовано
  • Автор
Опубликовано

Сделал CollectionLog-2021.10.20-08.22.zip

После AV block remover:

C:\ProgramData\temp6.exe - вирус не удален
"C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Cloud 21.3\avpui.exe"  - не запускается
https://gridinsoft.com/antimalware - проверил еще этим, логи прикрепил

реестр не почищен

3 Под конец еще этим проверил ScanLog_2021-10-20 [08-24-38].log

18 часов назад, akoK сказал:

Доброго времени суток. При наличии лицензии лучше подключить службу поддержки ЛК.

 

А для нас соберите комплект логов

 

 

CollectionLog-2021.10.20-08.22.zip

Sandor

Sandor

Опубликовано
Опубликовано
2 часа назад, foxilian сказал:

После AV block remover:

Покажите его отчет в виде файла AV_block_remove.log

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

2 часа назад, foxilian сказал:

проверил еще этим

Пожалуйста, самостоятельно не запускайте никакие лечащие утилиты.

Sandor

Sandor

Опубликовано
Опубликовано
1 час назад, Sandor сказал:

Покажите его отчет в виде файла AV_block_remove.log

Вы прикрепили отчеты Автологера.

Sandor

Sandor

Опубликовано
Опубликовано

После сканирования чем, FRST? Не нормально. А логи при этом создались?

foxilian

foxilian

Опубликовано
  • Автор
Опубликовано

1 FRST64.exe

логи FRST_20-10-2021 16.20.02.txt и Addition_20-10-2021 16.20.02.txt

2. AVbr.exe запускаю под админом, ничего не меняю в настройках, запускается, сканирует и примерно через 30 сек после начала сканирования ПК перезагружается

После перезагрузки его лог: AV_block_remove.log

 

Addition_20-10-2021 16.20.02.txt AV_block_remove.log FRST_20-10-2021 16.20.02.txt

Sandor

Sandor

Опубликовано
Опубликовано
2 минуты назад, foxilian сказал:

AVbr.exe запускаю под админом

Его достаточно было один раз запустить.

 

Продолжаем.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe <==== ВНИМАНИЕ
HKLM-x32\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\stajer-kab7\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\ustinova\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2021-10-06 12:48 C:\Windows\boy.exe
2021-10-06 12:48 C:\Windows\java.exe
2021-10-06 12:48 C:\Windows\svchost.exe
2021-10-06 12:47 C:\Windows\SysWOW64\Drivers\conhost.exe
FirewallRules: [{F44A2068-E11A-45FE-98E3-A7FC5F0BF1A9}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => Нет файла
FirewallRules: [{7B8CDF6C-F3ED-4525-8145-EB1C9BCE679E}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
FirewallRules: [{69F4E914-1CD3-4F13-9C03-48979F16702F}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
FirewallRules: [{F5AD88A7-63C2-464B-8C54-3CF6C97717D4}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => Нет файла
FirewallRules: [{F0E8B3D3-7FF9-4AE9-8377-85A71200C799}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
FirewallRules: [{A459D541-5D93-42E7-81DD-39120C706F89}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
FirewallRules: [{4CE5F7ED-8EB6-47A8-A909-F81CEB61E4B2}] => (Allow) C:\ProgramData\RealtekHD\taskhostw.exe => Нет файла
FirewallRules: [{B2D3DB9F-EB79-470E-B59A-E63B21E39CB7}] => (Allow) C:\ProgramData\rundll\system.exe => Нет файла
FirewallRules: [{7E5EC622-E358-4887-B649-A31E92A78365}] => (Allow) C:\ProgramData\rundll\rundll.exe => Нет файла
FirewallRules: [{EBC999BA-D12C-4CF8-8E1D-D5192E735A48}] => (Allow) C:\ProgramData\rundll\Doublepulsar-1.3.1.exe => Нет файла
FirewallRules: [{BE173370-5B38-49BB-83BE-264847177961}] => (Allow) C:\ProgramData\rundll\Eternalblue-2.2.0.exe => Нет файла
FirewallRules: [{8F799CAB-48A4-4AAD-AB11-29963005FF3D}] => (Allow) LPort=9494
FirewallRules: [{6F824DAA-CC36-4DB4-9C2A-3769EE6DE482}] => (Allow) LPort=9393
FirewallRules: [{FBE88C0C-784C-41A8-B726-1E43D2FD3D43}] => (Allow) LPort=9494
FirewallRules: [{5E48E107-3C2E-4BEA-A767-588C2CFF8DA4}] => (Allow) LPort=9393
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

foxilian

foxilian

Опубликовано
  • Автор
Опубликовано

служба каспера не запускается, отказано в доступе Kaspersky Anti-Virus

Kaspersky Sekurity Code вручную не запускается 

C:\ProgramData\temp6.exe - вирус не удален

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • ToFu
      Kaspersky Endpoint Security Cloud, уведомления.
      Автор ToFu
      Здравствуйте, являюсь обладателем Kaspersky Endpoint Security Cloud, не могу отключить уведомления на управляемых ПК. Подскажите пожалуйста, где находится эта настройка? 
    • ToFu
      Kaspersky Endpoint Security Cloud, запрет доступа
      Автор ToFu
      Здравствуйте, как настроить блокировку сайта по времени, например, с 10:00 до 15:00? 
      Не нашел как создать правило действующее в определенный временной промежуток. 
    • Sandynist
      Почему Kaspersky Security Cloud Antivirus не удаляет обнаруженные вирусы?
      Автор Sandynist
      Дорый вечер! 
       
      Этот вопрос хотелось бы задать разработчикам данного чуда, но сначала хотел бы почитать аргументы поклонников продукта. Предыстроия такова: два с лишним года тому назад мне приносили на обслуживание ноутбук, нужно было почистить СО, заодно попросили поставить антивирус. Установил пользователю Kaspersky Security Cloud с настройками «по умолчанию».
       
      И вот намедни этот же пользователь обращается вновь с просьбой «переустановить винду, потому что всё дико тормозит». Стал исследовать причины появления тормозов и выявил, что ноутбук тотально заражён вирусум Brontok и несколькими другими зверушками с приставками «agent» и «trojan.multi.gen».
       
      Хотелось бы узнать — почему бесплатный аннтивирус обнаруживает, но не удаляет вирус, а ждёт вмешательства пользователя? Там в предупреждениях так и было написано: «решение 51 проблемы требует вашего вмешательства» (или что-то типа того) . И ладно бы если предупреждение касалось рекламных программ, кейгенов или каких-то других объектов с неявной вредоносной деятельностью. Но Бронток! Господа разработчики, это уже яный перебор! Зверушка разрабатывается с 2005 года, занимается ярко выраженной деструктивной деятельностью на компьютере, но почему-то для удаления этого вируса пользователь дожен предпринять ещё какие-то дополнительные телодвижения! Почему? Любой другой бесплатный авнтивирус при обнаружении грохнул бы эту заразу не задавая лишних вопросов пользователю.
       
         
       
      У кого какие будут версии по данном у кейсу?
       
       
    • KL FC Bot
      Что такое Fediverse и как это работает | Блог Касперского
      Автор KL FC Bot
      После того как Илон Маск сломал свой Twitter (сейчас известный как X), а Марк Цукерберг показал общественности свой Threads*, в Интернете заметно участились разговоры о некоем Fediverse. Многие считают его последней надеждой человечества на то, чтобы выбраться из существующего социально-сетевого безобразия.
      В этом посте разбираемся, что этот самый Fediverse собой представляет, как он работает, что он предлагает пользователям уже сейчас и что в нем может появиться в недалеком будущем.
      Что не так с обычными социальными сетями
      Начнем с того, зачем вообще нужен Fediverse. Главная проблема современных соцсетей — они стали чрезмерно закрытыми и замкнутыми сами на себя (на полях заметим, что их еще и чертовски много). Часто без регистрации в той или иной соцсети вы не сможете даже получить доступ к существенной части контента, а о каком-то взаимодействии с ним и вовсе речи быть не может.
      Чтобы, к примеру, поставить лайк в Twitter или оставить комментарий к видео в YouTube, вам придется сначала зарегистрироваться в соответствующем сервисе. Если говорить о социальных сетях, которые входят в империю Марка Цукерберга, то тут все еще хуже: часто без аккаунта вы не сможете даже толком ознакомиться с содержимым соцсети, не то что «полайкать».
      Вторая важная проблема социальных сетей состоит в том, что они по сути не производят ничего сами по себе. Все содержимое соцсетей создают пользователи, а владеющие ими огромные и могущественные корпорации наживаются на чужом контенте. И, конечно же, совершенно не уважают приватность своих пользователей, собирая невероятное количество данных о них. Это уже приводило к грандиозным скандалам в прошлом и наверняка выльется в кучу неприятностей в будущем, если ничего кардинально не поменяется.
      При нынешнем порядке вещей есть еще один немалый риск, связанный с полным отсутствием хоть какого-то контроля со стороны пользователей над платформой, которую они на самом деле создают. Скажем, когда огромная соцсеть, ставшая, так уж вышло, одной из важных медийных частей общемировой политики, переходит под контроль человека с весьма своеобразными взглядами, ее пользователям остается только утереться (или поискать себе другую платформу, с чуть более вменяемым владельцем).
      Fediverse призван решить все эти проблемы привычных социальных сетей: излишнюю централизацию, полную неподотчетность, изоляцию контента, сбор данных о пользователях и нарушение их приватности.
       
      Посмотреть статью полностью
    • Нина_Азарова
      Не работает интернет (WiFi и кабель). Касперский не видит вируса(
      Автор Нина_Азарова
      Здравствуйте дорогие хакеры!
       Помогите, пожалуйста, разобраться. Что делать?
       
      Сегодня с утра после включения компьютера перестал работать интернет (на телефоне и айпаде всё работает). 
      сделали сброс настроек интернета, ничего не изменилось. 
      далее сделали такую команду через командную строку:
      netsh winsock reset netsh int ip reset all netsh winhttp reset proxy ipconfig /flushdns
      однако так же ничего не изменилось(
      Помогите, пожалуйста!
       

×
×
  • Создать...