Вирусы в ноутбуке

[ArchiMAX]

Здравствуйте!У меня проблема...

Ноутбук у друга полно вирусами.Но я не могу установит КИС8.При инсталляции выходит надпис что на компе уже установлен КАВ4 и не может продолжит.Я подумал что с АВЗ у меня не будет проблем.Еще раз НО!Но АВЗ тоже не запускается.В чем проблема?ВИРУСЫ!Дааа...Как же мне их наити если скрытых файлов не видно?Мне помог Фирефох.

Вот скрины с фирефоха.

 

file:///c:/Documents%20and%20Settings/Administrator

0Sae.exe 159 KB 23.09.2008 17:38:12

232.exe 295 KB 18.09.2008 21:27:04

5Sae.exe 878 KB 23.09.2008 17:38:54

6Sae.exe 431 KB 13.01.2009 12:07:08

8Sae.exe 723 KB 23.09.2008 17:35:16

9Sae.exe 791 KB 22.09.2008 22:10:07

cscvb.exe 755 KB 08.02.2009 22:49:45

google.exe 103 KB 14.02.2009 1:30:30

maasengr.exe 100 KB 15.02.2009 22:53:10

massenger.exe 124 KB 15.02.2009 22:24:54

ntuser.dat 13056 KB 16.04.2009 19:49:09

qwatt.exe 598 KB 30.11.2008 22:47:06

scren.exe 196 KB 08.02.2009 22:06:31

scrns.exe 196 KB 08.02.2009 22:06:31

tre.exe 159 KB 13.09.2008 23:32:09

uqq.exe 108 KB 27.03.2009 1:54:45

yes1.exe 38 KB 27.09.2008 22:21:42

Sare.exe 674 KB 09.09.2008 23:26:02

[Falcon]

Попробуйте полиморфный AVZ.

[ArchiMAX]

Как это полиморфный?

[ika-ilya]

ArchiMAX

Загрузись с помощью Live CD и проверь компьютер на вирусы и удали их.

[ТроПа]

Как это полиморфный?

Это специальная версия АВЗ, переименованная базы в которой обновлять не нужно

[миднайт]

Выполните правила! http://forum.kasperskyclub.ru/index.php?showtopic=1698

 

Сообщение от модератора wise-wistful

Внимательнее читайте сообщения пользователя, у него незапукается стандартная АВЗ

[ArchiMAX]

что за файл game.pif?

[ТроПа]

Это и есть полиморфная, переименованная версия АВЗ. Запускайте её.

[ArchiMAX]

А я подумал что мне не верно дали ссылку.

 

идет проверка "Скрипт лечения/карантина и сбора информации для раздела "Помогите!"

Изменено 23 июня, 2009 пользователем ArchiMAX

[Falcon]

Как это полиморфный?

"Данная версия состоит из единственного EXE файла, в который вшиты абсолютно все базы AVZ и все, что ему необходимо для работы. Все базы хранятся в миниатюрном аналоге файловой системы, которая физически находится в ресурсе EXE. При сборке эта база шифруется случайным ключом, а полученный в результате EXE поверх сжимается UPX. Копирайтов у данной версии в ресурсах нет, имя файла может быть любым, запускать его можно откуда угодно, хоть с рабочего стола. В результате все звери, которые ловят запуск AVZ по именам файла, не дают ему загружать базу (по именам и сигнатурам), или ищут сигнатуры типа "Зайцев", "AVZ" и "Лаборатория Касперского" в EXE файле или в его копирайтах для адаптивной блокировки запуска оказываются бессильны. Конечно остается возможность отловить AVZ по элементам GUI, по характерным константам в памяти или по характерным профилям поведения, но это уже намного сложнее и зловреды пока так далеко не идут."

[ArchiMAX]

ЛОГИ

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Falcon]

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

- скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

- если вы используете Opera, нажмите Opera - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

 

Выполните в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('G:\autorun.inf','');
QuarantineFile('G:\bd3q0qix.exe','');
QuarantineFile('D:\bd3q0qix.exe','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\bd3q0qix.exe','');
QuarantineFile('bd3q0qix.exe','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
QuarantineFile('C:\Program Files\AskPBar\SrchAstt\1.bin\A9SRCHAS.DLL','');
DeleteService('aic32p');
QuarantineFile('C:\Program Files\avpm.exe','');
QuarantineFile('C:\Program Files\avpcc.exe','');
QuarantineFile('C:\WINDOWS\system32\WinIo.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\kiupqs.sys','');
QuarantineFile('C:\WINDOWS\system32\haozs1.dll','');
QuarantineFile('C:\WINDOWS\system32\ciuytr0.dll','');
QuarantineFile('C:\WINDOWS\system32\afmain0.dll','');
QuarantineFile('c:\windows\system32\winscrne.exe','');
TerminateProcessByName('c:\windows\system32\winscrne.exe');
DeleteFile('c:\windows\system32\winscrne.exe');
DeleteFile('C:\WINDOWS\system32\afmain0.dll');
DeleteFile('C:\WINDOWS\system32\ciuytr0.dll');
DeleteFile('C:\WINDOWS\system32\haozs1.dll');
DeleteFile('C:\WINDOWS\system32\drivers\kiupqs.sys');
DeleteFile('C:\WINDOWS\system32\WinIo.sys');
DeleteFile('C:\Program Files\AskPBar\SrchAstt\1.bin\A9SRCHAS.DLL');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('bd3q0qix.exe');
DeleteFile('C:\bd3q0qix.exe');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\bd3q0qix.exe');
DeleteFile('G:\bd3q0qix.exe');
DeleteFile('G:\autorun.inf');
BC_ImportAll;
BC_DeleteSvc('aic32');
BC_DeleteSvc('WinIo');
ExecuteSysClean;								   
BC_Activate;
RebootWindows(true);
end.

Затем:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Oтправьте quarantine.zip по электронной почте на адрес newvirus@kaspersky.com, указав в письме, что пароль на архив - virus. О результате сообщите.

 

Выполните в AVZ:

begin
SetAVZPMStatus(true);
RebootWindows(true); 
end.

Повторите логи.

1) Скачайте GMER по одной из указанных ссылок:

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

2) Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
  
• IAT/EAT
  
• Show all
  

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

[ArchiMAX]

Резултаты:

 

Здравствуйте,

 

A9SRCHAS.DLL, autorun.inf, roya_sonsuz_sevgi.mp3, turk_monopol.mp3, WinIo.sys

 

Вредоносный код в файлах не обнаружен.

 

afmain0.dll - Trojan-GameThief.Win32.Magania.bimk

 

Детектирование файла будет добавлено в следующее обновление.

 

bd3q0qix.exe_ - Virus.Win32.Sality.z,

ciuytr0.dll - Trojan-GameThief.Win32.Magania.asjo,

winscrne.exe_ - Trojan-Dropper.Win32.VB.iza

 

Эти файлы определяются антивирусом. Обновите антивирусные базы.

 

Пожалуйста, при ответе включайте переписку целиком.

Ответ актуален для последних баз с источников обновлений.

 

> пароль на архив - virus.

>

>

--

С уважением, Вирусный аналитик Лаборатории Касперского.

 

Сообщение от модератора Falcon

Убрал данные аналитика.

[Falcon]

Ждем логи гмер и AVZ с включенным AVZPM.

[ArchiMAX]

Вирусы все еще остались.Ест другое проблема.Когда идет установка КИС8 выдает ошибка что у вас уже установлен КАВ4.Но анинстал унего нет.Как мне его удалит?

 

Гмер все еще сканирует

 

Вот логи AVZ с включенным AVZPM.

virusinfo_syscheck.zip

virusinfo_syscure.zip