ArchiMAX Опубликовано 23 июня, 2009 Опубликовано 23 июня, 2009 Здравствуйте!У меня проблема... Ноутбук у друга полно вирусами.Но я не могу установит КИС8.При инсталляции выходит надпис что на компе уже установлен КАВ4 и не может продолжит.Я подумал что с АВЗ у меня не будет проблем.Еще раз НО!Но АВЗ тоже не запускается.В чем проблема?ВИРУСЫ!Дааа...Как же мне их наити если скрытых файлов не видно?Мне помог Фирефох. Вот скрины с фирефоха. file:///c:/Documents%20and%20Settings/Administrator 0Sae.exe 159 KB 23.09.2008 17:38:12 232.exe 295 KB 18.09.2008 21:27:04 5Sae.exe 878 KB 23.09.2008 17:38:54 6Sae.exe 431 KB 13.01.2009 12:07:08 8Sae.exe 723 KB 23.09.2008 17:35:16 9Sae.exe 791 KB 22.09.2008 22:10:07 cscvb.exe 755 KB 08.02.2009 22:49:45 google.exe 103 KB 14.02.2009 1:30:30 maasengr.exe 100 KB 15.02.2009 22:53:10 massenger.exe 124 KB 15.02.2009 22:24:54 ntuser.dat 13056 KB 16.04.2009 19:49:09 qwatt.exe 598 KB 30.11.2008 22:47:06 scren.exe 196 KB 08.02.2009 22:06:31 scrns.exe 196 KB 08.02.2009 22:06:31 tre.exe 159 KB 13.09.2008 23:32:09 uqq.exe 108 KB 27.03.2009 1:54:45 yes1.exe 38 KB 27.09.2008 22:21:42 Sare.exe 674 KB 09.09.2008 23:26:02
ika-ilya Опубликовано 23 июня, 2009 Опубликовано 23 июня, 2009 ArchiMAX Загрузись с помощью Live CD и проверь компьютер на вирусы и удали их.
ТроПа Опубликовано 23 июня, 2009 Опубликовано 23 июня, 2009 Как это полиморфный? Это специальная версия АВЗ, переименованная базы в которой обновлять не нужно
миднайт Опубликовано 23 июня, 2009 Опубликовано 23 июня, 2009 Выполните правила! http://forum.kasperskyclub.ru/index.php?showtopic=1698 Сообщение от модератора wise-wistful Внимательнее читайте сообщения пользователя, у него незапукается стандартная АВЗ
ТроПа Опубликовано 23 июня, 2009 Опубликовано 23 июня, 2009 Это и есть полиморфная, переименованная версия АВЗ. Запускайте её.
ArchiMAX Опубликовано 23 июня, 2009 Автор Опубликовано 23 июня, 2009 (изменено) А я подумал что мне не верно дали ссылку. идет проверка "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" Изменено 23 июня, 2009 пользователем ArchiMAX
Falcon Опубликовано 23 июня, 2009 Опубликовано 23 июня, 2009 Как это полиморфный? "Данная версия состоит из единственного EXE файла, в который вшиты абсолютно все базы AVZ и все, что ему необходимо для работы. Все базы хранятся в миниатюрном аналоге файловой системы, которая физически находится в ресурсе EXE. При сборке эта база шифруется случайным ключом, а полученный в результате EXE поверх сжимается UPX. Копирайтов у данной версии в ресурсах нет, имя файла может быть любым, запускать его можно откуда угодно, хоть с рабочего стола. В результате все звери, которые ловят запуск AVZ по именам файла, не дают ему загружать базу (по именам и сигнатурам), или ищут сигнатуры типа "Зайцев", "AVZ" и "Лаборатория Касперского" в EXE файле или в его копирайтах для адаптивной блокировки запуска оказываются бессильны. Конечно остается возможность отловить AVZ по элементам GUI, по характерным константам в памяти или по характерным профилям поведения, но это уже намного сложнее и зловреды пока так далеко не идут."
ArchiMAX Опубликовано 23 июня, 2009 Автор Опубликовано 23 июня, 2009 ЛОГИ virusinfo_syscheck.zip virusinfo_syscure.zip
Falcon Опубликовано 23 июня, 2009 Опубликовано 23 июня, 2009 Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner - скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли - если вы используете Opera, нажмите Opera - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли Выполните в AVZ: begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('G:\autorun.inf',''); QuarantineFile('G:\bd3q0qix.exe',''); QuarantineFile('D:\bd3q0qix.exe',''); QuarantineFile('D:\autorun.inf',''); QuarantineFile('C:\bd3q0qix.exe',''); QuarantineFile('bd3q0qix.exe',''); QuarantineFile('C:\autorun.inf',''); QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe',''); QuarantineFile('C:\Program Files\AskPBar\SrchAstt\1.bin\A9SRCHAS.DLL',''); DeleteService('aic32p'); QuarantineFile('C:\Program Files\avpm.exe',''); QuarantineFile('C:\Program Files\avpcc.exe',''); QuarantineFile('C:\WINDOWS\system32\WinIo.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\kiupqs.sys',''); QuarantineFile('C:\WINDOWS\system32\haozs1.dll',''); QuarantineFile('C:\WINDOWS\system32\ciuytr0.dll',''); QuarantineFile('C:\WINDOWS\system32\afmain0.dll',''); QuarantineFile('c:\windows\system32\winscrne.exe',''); TerminateProcessByName('c:\windows\system32\winscrne.exe'); DeleteFile('c:\windows\system32\winscrne.exe'); DeleteFile('C:\WINDOWS\system32\afmain0.dll'); DeleteFile('C:\WINDOWS\system32\ciuytr0.dll'); DeleteFile('C:\WINDOWS\system32\haozs1.dll'); DeleteFile('C:\WINDOWS\system32\drivers\kiupqs.sys'); DeleteFile('C:\WINDOWS\system32\WinIo.sys'); DeleteFile('C:\Program Files\AskPBar\SrchAstt\1.bin\A9SRCHAS.DLL'); DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe'); DeleteFile('C:\autorun.inf'); DeleteFile('bd3q0qix.exe'); DeleteFile('C:\bd3q0qix.exe'); DeleteFile('D:\autorun.inf'); DeleteFile('D:\bd3q0qix.exe'); DeleteFile('G:\bd3q0qix.exe'); DeleteFile('G:\autorun.inf'); BC_ImportAll; BC_DeleteSvc('aic32'); BC_DeleteSvc('WinIo'); ExecuteSysClean; BC_Activate; RebootWindows(true); end. Затем: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Oтправьте quarantine.zip по электронной почте на адрес newvirus@kaspersky.com, указав в письме, что пароль на архив - virus. О результате сообщите. Выполните в AVZ: begin SetAVZPMStatus(true); RebootWindows(true); end. Повторите логи. 1) Скачайте GMER по одной из указанных ссылок: Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) 2) Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов: Sections IAT/EAT Show all Из всех дисков оставьте отмеченным только системный диск (обычно C:\) Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
ArchiMAX Опубликовано 24 июня, 2009 Автор Опубликовано 24 июня, 2009 Резултаты: Здравствуйте, A9SRCHAS.DLL, autorun.inf, roya_sonsuz_sevgi.mp3, turk_monopol.mp3, WinIo.sys Вредоносный код в файлах не обнаружен. afmain0.dll - Trojan-GameThief.Win32.Magania.bimk Детектирование файла будет добавлено в следующее обновление. bd3q0qix.exe_ - Virus.Win32.Sality.z, ciuytr0.dll - Trojan-GameThief.Win32.Magania.asjo, winscrne.exe_ - Trojan-Dropper.Win32.VB.iza Эти файлы определяются антивирусом. Обновите антивирусные базы. Пожалуйста, при ответе включайте переписку целиком. Ответ актуален для последних баз с источников обновлений. > пароль на архив - virus. > > -- С уважением, Вирусный аналитик Лаборатории Касперского. Сообщение от модератора Falcon Убрал данные аналитика.
Falcon Опубликовано 24 июня, 2009 Опубликовано 24 июня, 2009 Ждем логи гмер и AVZ с включенным AVZPM. 1
ArchiMAX Опубликовано 24 июня, 2009 Автор Опубликовано 24 июня, 2009 Вирусы все еще остались.Ест другое проблема.Когда идет установка КИС8 выдает ошибка что у вас уже установлен КАВ4.Но анинстал унего нет.Как мне его удалит? Гмер все еще сканирует Вот логи AVZ с включенным AVZPM. virusinfo_syscheck.zip virusinfo_syscure.zip
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти