Перейти к содержанию

Вирусы в ноутбуке


Рекомендуемые сообщения

Здравствуйте!У меня проблема...

Ноутбук у друга полно вирусами.Но я не могу установит КИС8.При инсталляции выходит надпис что на компе уже установлен КАВ4 и не может продолжит.Я подумал что с АВЗ у меня не будет проблем.Еще раз НО!Но АВЗ тоже не запускается.В чем проблема?ВИРУСЫ!Дааа...Как же мне их наити если скрытых файлов не видно?Мне помог Фирефох.

Вот скрины с фирефоха.

 

file:///c:/Documents%20and%20Settings/Administrator

0Sae.exe 159 KB 23.09.2008 17:38:12

232.exe 295 KB 18.09.2008 21:27:04

5Sae.exe 878 KB 23.09.2008 17:38:54

6Sae.exe 431 KB 13.01.2009 12:07:08

8Sae.exe 723 KB 23.09.2008 17:35:16

9Sae.exe 791 KB 22.09.2008 22:10:07

cscvb.exe 755 KB 08.02.2009 22:49:45

google.exe 103 KB 14.02.2009 1:30:30

maasengr.exe 100 KB 15.02.2009 22:53:10

massenger.exe 124 KB 15.02.2009 22:24:54

ntuser.dat 13056 KB 16.04.2009 19:49:09

qwatt.exe 598 KB 30.11.2008 22:47:06

scren.exe 196 KB 08.02.2009 22:06:31

scrns.exe 196 KB 08.02.2009 22:06:31

tre.exe 159 KB 13.09.2008 23:32:09

uqq.exe 108 KB 27.03.2009 1:54:45

yes1.exe 38 KB 27.09.2008 22:21:42

Sare.exe 674 KB 09.09.2008 23:26:02

post-6306-1245748148_thumb.jpg

post-6306-1245748176_thumb.jpg

post-6306-1245748445_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты

Выполните правила! http://forum.kasperskyclub.ru/index.php?showtopic=1698

 

Сообщение от модератора wise-wistful
Внимательнее читайте сообщения пользователя, у него незапукается стандартная АВЗ
Ссылка на комментарий
Поделиться на другие сайты

А я подумал что мне не верно дали ссылку.

 

идет проверка "Скрипт лечения/карантина и сбора информации для раздела "Помогите!"

Изменено пользователем ArchiMAX
Ссылка на комментарий
Поделиться на другие сайты

Как это полиморфный?

"Данная версия состоит из единственного EXE файла, в который вшиты абсолютно все базы AVZ и все, что ему необходимо для работы. Все базы хранятся в миниатюрном аналоге файловой системы, которая физически находится в ресурсе EXE. При сборке эта база шифруется случайным ключом, а полученный в результате EXE поверх сжимается UPX. Копирайтов у данной версии в ресурсах нет, имя файла может быть любым, запускать его можно откуда угодно, хоть с рабочего стола. В результате все звери, которые ловят запуск AVZ по именам файла, не дают ему загружать базу (по именам и сигнатурам), или ищут сигнатуры типа "Зайцев", "AVZ" и "Лаборатория Касперского" в EXE файле или в его копирайтах для адаптивной блокировки запуска оказываются бессильны. Конечно остается возможность отловить AVZ по элементам GUI, по характерным константам в памяти или по характерным профилям поведения, но это уже намного сложнее и зловреды пока так далеко не идут."

Ссылка на комментарий
Поделиться на другие сайты

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

- скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

- если вы используете Opera, нажмите Opera - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

 

Выполните в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('G:\autorun.inf','');
QuarantineFile('G:\bd3q0qix.exe','');
QuarantineFile('D:\bd3q0qix.exe','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\bd3q0qix.exe','');
QuarantineFile('bd3q0qix.exe','');
QuarantineFile('C:\autorun.inf','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
QuarantineFile('C:\Program Files\AskPBar\SrchAstt\1.bin\A9SRCHAS.DLL','');
DeleteService('aic32p');
QuarantineFile('C:\Program Files\avpm.exe','');
QuarantineFile('C:\Program Files\avpcc.exe','');
QuarantineFile('C:\WINDOWS\system32\WinIo.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\kiupqs.sys','');
QuarantineFile('C:\WINDOWS\system32\haozs1.dll','');
QuarantineFile('C:\WINDOWS\system32\ciuytr0.dll','');
QuarantineFile('C:\WINDOWS\system32\afmain0.dll','');
QuarantineFile('c:\windows\system32\winscrne.exe','');
TerminateProcessByName('c:\windows\system32\winscrne.exe');
DeleteFile('c:\windows\system32\winscrne.exe');
DeleteFile('C:\WINDOWS\system32\afmain0.dll');
DeleteFile('C:\WINDOWS\system32\ciuytr0.dll');
DeleteFile('C:\WINDOWS\system32\haozs1.dll');
DeleteFile('C:\WINDOWS\system32\drivers\kiupqs.sys');
DeleteFile('C:\WINDOWS\system32\WinIo.sys');
DeleteFile('C:\Program Files\AskPBar\SrchAstt\1.bin\A9SRCHAS.DLL');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('bd3q0qix.exe');
DeleteFile('C:\bd3q0qix.exe');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\bd3q0qix.exe');
DeleteFile('G:\bd3q0qix.exe');
DeleteFile('G:\autorun.inf');
BC_ImportAll;
BC_DeleteSvc('aic32');
BC_DeleteSvc('WinIo');
ExecuteSysClean;								   
BC_Activate;
RebootWindows(true);
end.

Затем:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Oтправьте quarantine.zip по электронной почте на адрес newvirus@kaspersky.com, указав в письме, что пароль на архив - virus. О результате сообщите.

 

Выполните в AVZ:

begin
SetAVZPMStatus(true);
RebootWindows(true); 
end.

Повторите логи.

1) Скачайте GMER по одной из указанных ссылок:

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

2) Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

  • Sections
  • IAT/EAT
  • Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

f0fae39c7e8b.jpg

Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Ссылка на комментарий
Поделиться на другие сайты

Резултаты:

 

Здравствуйте,

 

A9SRCHAS.DLL, autorun.inf, roya_sonsuz_sevgi.mp3, turk_monopol.mp3, WinIo.sys

 

Вредоносный код в файлах не обнаружен.

 

afmain0.dll - Trojan-GameThief.Win32.Magania.bimk

 

Детектирование файла будет добавлено в следующее обновление.

 

bd3q0qix.exe_ - Virus.Win32.Sality.z,

ciuytr0.dll - Trojan-GameThief.Win32.Magania.asjo,

winscrne.exe_ - Trojan-Dropper.Win32.VB.iza

 

Эти файлы определяются антивирусом. Обновите антивирусные базы.

 

Пожалуйста, при ответе включайте переписку целиком.

Ответ актуален для последних баз с источников обновлений.

 

> пароль на архив - virus.

>

>

--

С уважением, Вирусный аналитик Лаборатории Касперского.

 

Сообщение от модератора Falcon
Убрал данные аналитика.
Ссылка на комментарий
Поделиться на другие сайты

Вирусы все еще остались.Ест другое проблема.Когда идет установка КИС8 выдает ошибка что у вас уже установлен КАВ4.Но анинстал унего нет.Как мне его удалит?

 

Гмер все еще сканирует

 

Вот логи AVZ с включенным AVZPM.

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ShadowIce449
      От ShadowIce449
      ноут греется как бешанный хоть фильм смотришь,фпс низкий, Цп под 100%, понял что майнер на, не давал открывать avbr и т.д говорил не прав, поэтому пришлось переменовать. использовал avbr случайно удалил log, пиh его удалисалось что был пользователь Jonh. Запустил второй раз и прикрепил log другой уже. 
      CollectionLog-2025.01.11-14.02.zip
      AV_block_remove_2025.01.11-14.13.log
    • Temikst
      От Temikst
      Приветствую. Сын скачивал какую-то программу для игры, как итог словили какой-то вирус. Dr.web ничего не нашел. но обратил внимание что комп стал тупить, до этого не было так
      CollectionLog-2025.02.09-23.46.zip

    • VanyeJ
      От VanyeJ
      Здравствуйте, при включении компьютера и окончательном входе в систему PowerShell пытается перекинуть на вредоносную ссылку. Касперский сразу же блокирует.

      Событие: Остановлен переход на сайт
      Пользователь: WIN-O4R3Q0UCBR5\User
      Тип пользователя: Инициатор
      Имя приложения: powershell.exe
      Путь к приложению: C:\Windows\System32\WindowsPowerShell\v1.0
      Компонент: Интернет-защита
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: 
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: 1731762779-9803.jpeg
      Путь к объекту: 
      Причина: Облачная защита

      Активировал Windows через cmd после этого появилось (powershell iex (irm 'activated.run/key')) команда после которой вирус появился.
      CollectionLog-2025.02.08-15.48.zip
    • TloBeJluTeJlb
      От TloBeJluTeJlb
      Здравствуйте, перед обращением прошерстил темы похожих проблем, но не нашёл своей. John каким-то совершенно непостижимым образом почти не влиял на работоспособность системы, а заметил я его исключительно из-за пропажи доступа к файлам Касперского, который полностью перестал запускаться. 

      Побился об ближайшую стену, подумал, прошёлся KVRT, которым ничего не нашло, подумал ещё немного, включил AV_block_remover. Он нашёл, сделал своё дело, но доступ к папке антивируса я всё ещё не получил :D! FRST, от нечего делать, тоже был задействован, но немного опосля. Короче говоря, я, даже после удаления злополучного майнера из системы, не могу получить доступ к своим же файлам.



       

      FRST.txt Fixlog.txt Addition.txt AV_block_remove_2025.01.20-07.45.log
    • foxlape
      От foxlape
      Запустил прогу и комп тупить начал, есть подозрения на вирус. Логи после запуска проги Logfile.rar (Сохранял логи через Processor Monitor)
       
×
×
  • Создать...