Перейти к содержанию
Правила раздела
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

Вирус не дает установить Касперского

Philn

Автор Philn
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Philn Новичок

Philn

Опубликовано
Опубликовано

Доброго времени суток, поймал вирус, который не дает установить Касперского и другие антивирусы (не дает обновиться через инет), блокирует доступ на Вконтакте и основные почтовые браузеры, при этом открывает окна в оформлении схожие с оформлением сайтов и предлагает выслать СМС с кодом...

 

Плюс к этому не открываются некоторые сайты, которые отлично открываются с незараженного компьютера

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

info.txt

Ссылка на комментарий
Поделиться на другие сайты
icotonev Опытный

icotonev

Опубликовано
Опубликовано

Здравствуйте..! :acute:

 

Отключите временно:

Антивирус/Файерволл

 

Скрипт AVZ.

Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('c:\temp\rarsfx0\9493773.exe');
TerminateProcessByName('c:\temp\8723990\9493773.exe');
StopService('mkdrv');
QuarantineFile('c:\temp\rarsfx0\9493773.exe','');
QuarantineFile('c:\temp\8723990\9493773.exe','');
QuarantineFile('C:\TEMP\8723990\memmng.dll','');
QuarantineFile('C:\TEMP\8723990\prremote.dll','');
QuarantineFile('C:\TEMP\8723990\fssync.dll','');
QuarantineFile('C:\TEMP\8723990\Ushata.dll','');
QuarantineFile('C:\TEMP\8723990\CLLDR.DLL','');
QuarantineFile('C:\TEMP\8723990\prloader.dll','');
QuarantineFile('C:\TEMP\8723990\pxstub.ppl','');
QuarantineFile('C:\TEMP\8723990\params.ppl','');
QuarantineFile('C:\TEMP\8723990\propmap.ppl','');
QuarantineFile('C:\TEMP\8723990\nfio.ppl','');
QuarantineFile('C:\TEMP\8723990\fsdrvplg.ppl','');
QuarantineFile('C:\TEMP\8723990\filemap.ppl','');
QuarantineFile('C:\TEMP\8723990\mkavio.ppl','');
QuarantineFile('C:\TEMP\8723990\tm.ppl','');
QuarantineFile('C:\TEMP\8723990\bl.ppl','');
QuarantineFile('C:\TEMP\8723990\wmihlpr.ppl','');
QuarantineFile('C:\TEMP\8723990\regmap.ppl','');
QuarantineFile('C:\TEMP\8723990\thpimpl.ppl','');
QuarantineFile('C:\TEMP\8723990\ndetect.ppl','');
QuarantineFile('C:\TEMP\8723990\crpthlpr.ppl','');
QuarantineFile('C:\TEMP\8723990\dtreg.ppl','');
QuarantineFile('C:\TEMP\8723990\sfdb.ppl','');
QuarantineFile('C:\TEMP\8723990\schedule.ppl','');
QuarantineFile('C:\TEMP\8723990\timer.ppl','');
QuarantineFile('C:\TEMP\8723990\report.ppl','');
QuarantineFile('C:\TEMP\8723990\reportdb.ppl','');
QuarantineFile('C:\TEMP\8723990\icheck3.ppl','');
QuarantineFile('C:\TEMP\8723990\avs.ppl','');
QuarantineFile('C:\TEMP\8723990\avlib.ppl','');
QuarantineFile('C:\TEMP\8723990\avspm.ppl','');
QuarantineFile('C:\TEMP\8723990\dmap.ppl','');
QuarantineFile('C:\TEMP\8723990\qb.ppl','');
QuarantineFile('C:\TEMP\8723990\procmon.ppl','');
QuarantineFile('C:\TEMP\8723990\hashmd5.ppl','');
QuarantineFile('C:\TEMP\8723990\klsrlsvc.ppl','');
QuarantineFile('C:\TEMP\8723990\Bases\klavemu.kdl','');
QuarantineFile('C:\TEMP\8723990\Bases\kjim.kdl','');
QuarantineFile('C:\TEMP\8723990\Bases\mark.kdl','');
QuarantineFile('C:\TEMP\8723990\Bases\qscan.kdl','');
QuarantineFile('C:\TEMP\8723990\avpgui.ppl','');
QuarantineFile('C:\TEMP\8723990\basegui.ppl','');
QuarantineFile('C:\TEMP\8723990\winreg.ppl','');
QuarantineFile('C:\TEMP\8723990\Bases\kavsys.kdl','');
QuarantineFile('C:\TEMP\8723990\wdiskio.ppl','');
QuarantineFile('C:\TEMP\8723990\avzkrnl.dll','');
QuarantineFile('C:\TEMP\8723990\uniarc.ppl','');
QuarantineFile('C:\TEMP\8723990\minizip.ppl','');
QuarantineFile('C:\TEMP\8723990\mdb.ppl','');
QuarantineFile('C:\TEMP\8723990\msoe.ppl','');
QuarantineFile('C:\TEMP\8723990\mailmsg.ppl','');
QuarantineFile('c:\windows\nopor.sys','');
QuarantineFile('C:\TEMP\_uninst_85039680.bat','');
QuarantineFile('C:\Windows\system32\DRIVERS\9493773drv.sys','');
DeleteFile('C:\Windows\system32\DRIVERS\9493773drv.sys');
DeleteFile('c:\temp\rarsfx0\9493773.exe');
DeleteFile('c:\temp\8723990\9493773.exe');
DeleteFile('C:\TEMP\8723990\memmng.dll');
DeleteFile('C:\TEMP\8723990\prremote.dll');
DeleteFile('C:\TEMP\8723990\fssync.dll');
DeleteFile('C:\TEMP\8723990\Ushata.dll');
DeleteFile('C:\TEMP\8723990\CLLDR.DLL');
DeleteFile('C:\TEMP\8723990\prloader.dll');
DeleteFile('C:\TEMP\8723990\pxstub.ppl');
DeleteFile('C:\TEMP\8723990\params.ppl');
DeleteFile('C:\TEMP\8723990\propmap.ppl');
DeleteFile('C:\TEMP\8723990\nfio.ppl');
DeleteFile('C:\TEMP\8723990\fsdrvplg.ppl');
DeleteFile('C:\TEMP\8723990\filemap.ppl');
DeleteFile('C:\TEMP\8723990\mkavio.ppl');
DeleteFile('C:\TEMP\8723990\tm.ppl');
DeleteFile('C:\TEMP\8723990\bl.ppl');
DeleteFile('C:\TEMP\8723990\wmihlpr.ppl');
DeleteFile('C:\TEMP\8723990\regmap.ppl');
DeleteFile('C:\TEMP\8723990\thpimpl.ppl');
DeleteFile('C:\TEMP\8723990\ndetect.ppl');
DeleteFile('C:\TEMP\8723990\crpthlpr.ppl');
DeleteFile('C:\TEMP\8723990\dtreg.ppl');
DeleteFile('C:\TEMP\8723990\sfdb.ppl');
DeleteFile('C:\TEMP\8723990\schedule.ppl');
DeleteFile('C:\TEMP\8723990\timer.ppl');
DeleteFile('C:\TEMP\8723990\report.ppl');
DeleteFile('C:\TEMP\8723990\reportdb.ppl');
DeleteFile('C:\TEMP\8723990\icheck3.ppl');
DeleteFile('C:\TEMP\8723990\avs.ppl');
DeleteFile('C:\TEMP\8723990\avlib.ppl');
DeleteFile('C:\TEMP\8723990\avspm.ppl');
DeleteFile('C:\TEMP\8723990\dmap.ppl');
DeleteFile('C:\TEMP\8723990\qb.ppl');
DeleteFile('C:\TEMP\8723990\procmon.ppl');
DeleteFile('C:\TEMP\8723990\hashmd5.ppl');
DeleteFile('C:\TEMP\8723990\klsrlsvc.ppl');
DeleteFile('C:\TEMP\8723990\Bases\klavemu.kdl');
DeleteFile('C:\TEMP\8723990\Bases\kjim.kdl');
DeleteFile('C:\TEMP\8723990\Bases\mark.kdl');
DeleteFile('C:\TEMP\8723990\Bases\qscan.kdl');
DeleteFile('C:\TEMP\8723990\avpgui.ppl');
DeleteFile('C:\TEMP\8723990\basegui.ppl');
DeleteFile('C:\TEMP\8723990\winreg.ppl');
DeleteFile('C:\TEMP\8723990\Bases\kavsys.kdl');
DeleteFile('C:\TEMP\8723990\wdiskio.ppl');
DeleteFile('C:\TEMP\8723990\avzkrnl.dll');
DeleteFile('C:\TEMP\8723990\uniarc.ppl');
DeleteFile('C:\TEMP\8723990\minizip.ppl');
DeleteFile('C:\TEMP\8723990\mdb.ppl');
DeleteFile('C:\TEMP\8723990\msoe.ppl');
DeleteFile('C:\TEMP\8723990\mailmsg.ppl');
DeleteFile('c:\windows\nopor.sys');
DeleteFile('C:\TEMP\_uninst_85039680.bat');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
DeleteService('mkdrv');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

 

Пожалуйста, подготовить новые логи с АВЗ и RSIT...! ;)

Ссылка на комментарий
Поделиться на другие сайты
Philn Новичок

Philn

Опубликовано
  • Автор
Опубликовано

В процессе выполнения скрипта AVZ выскакивает синий экран, что-то про Dump physical memory и проблемы с nopor.sys. Перезагружается только через ресет.

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

Philn,

 

скачайте OSAM

установите. запустите. дождитесь окончания сканирования.

в разделе Drivers найдите объект MKDRV

правый клик по нему - Turn run OFF

внизу справа нажмите Apply

вверху слева нажмите Save Log

перезагрузите компьютер.

полученный лог osam.html прикрепите к новому сообщению.

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

Philn,

удалите остатки Kaspersky Virus Removal Tool с помощью утилиты из данной статьи в безопасном режиме.

 

Очистите временные файлы

Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner:

• скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

• если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

• нажмите No, если вы хотите оставить ваши сохраненные пароли

• если вы используете Opera, нажмите Opera - Select All - Empty Selected

нажмите No, если вы хотите оставить ваши сохраненные пароли.

 

сделайте новые логи AVZ

 

также не забудьте про рекомендацию icotonev'a

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • bzhero
      Вирус не дает закончить установку антивируса
      Автор bzhero
      Добрый день. Выполняю установку Kaspersky Standart с официального сайта. В окне с установщиком доходит до 90%, а далее вирус закрывает установщик, когда заново пытаюсь установить - все сначала. И так уже несколько раз. Когда пытаюсь зайти в антивирус (открыть приложение) из "Безопасности Windows" - ничего не происходит. Помогите пожалуйста
       
      Сообщение от модератора kmscom Тема перемещена из раздела Компьютерная помощь
    • 2107zak
      Майнер не дает войти в безопасный режим и установить антивирус.
      Автор 2107zak
      Дорого времени суток проблема: Вирус блокирует антивирусы. Вход в безопасный режим. Kaspersky Virus Removal Tool их видит но удалить не может.  Dr.Web CureIt не видит Windows.
      Windows не переустанавливается: не дает отформатировать и не дает удалить раздел. Если удалось как то  установить какой ни будь утилиту по уделению, начинаешь сканировать-   Windows перезагружается синим эканом. После перезагрузки система откатывается в начало как было до  манипуляций с компьютером. Диск С забит.  
      CollectionLog-2025.02.15-01.30.zip
    • Нина_Азарова
      Не работает интернет (WiFi и кабель). Касперский не видит вируса(
      Автор Нина_Азарова
      Здравствуйте дорогие хакеры!
       Помогите, пожалуйста, разобраться. Что делать?
       
      Сегодня с утра после включения компьютера перестал работать интернет (на телефоне и айпаде всё работает). 
      сделали сброс настроек интернета, ничего не изменилось. 
      далее сделали такую команду через командную строку:
      netsh winsock reset netsh int ip reset all netsh winhttp reset proxy ipconfig /flushdns
      однако так же ничего не изменилось(
      Помогите, пожалуйста!
       

    • KL FC Bot
      Как загрузить, установить и обновить приложения Kaspersky для Android | Блог Касперского
      Автор KL FC Bot
      Наши защитные решения для Android временно недоступны в официальном магазине приложений Google Play. Для установки приложений «Лаборатории Касперского» на Android-устройства мы рекомендуем пользоваться альтернативными магазинами приложений. Также эти приложения можно установить вручную из APK-файлов, доступных на нашем сайте или в вашем аккаунте My Kaspersky. В этой статье мы дадим подробные инструкции, как установить Kaspersky на Android в 2025 году.
      Общие рекомендации
      Если на ваших устройствах уже установлены какие-то приложения Kaspersky из Google Play, то они продолжат работать, автоматически получая только обновления антивирусных баз, но не улучшения приложений и функций защиты. Удалив приложение, вы не сможете переустановить его из Google Play.
      Мы рекомендуем не удалять уже установленные из Google Play приложения, а установить поверх них версии из альтернативных магазинов:
      Samsung Galaxy Store  Huawei AppGallery Vivo V-Appstore RuStore Набор приложений Kaspersky во всех этих альтернативных магазинах одинаков, и способ загрузки также не отличается.
      Откройте приложение магазина. Нажмите на иконку лупы или введите в поисковой строке Kaspersky. Найдите в результатах поиска нужное приложение. Нажмите Получить, Установить, Скачать, Обновить (в зависимости от магазина) или же просто кликните на иконку загрузки рядом с названием требуемого приложения.  
      View the full article
    • ВладиславFox
      KSMG как установить (а точнее интегрировать) с уже работающей почтой, на одном сервере, без виртуалок.
      Автор ВладиславFox
      Звиняюсь за форму подачи информации (это был запрос в поддержку, помощи по которому я жду уже второй день, а сроки горят)
      Если кто то ставил уже ksmg не как отдельную систему (физическую или логическую), а интегрированно в сам почтовый сервер физический/логический (одна и та же ос, без виртуалок, гипервизоров и тд) прошу подсказать.


      Не видит постфикс на шаге интеграции с почтовым сервером
      предлогает только ручную интеграцию (которая не описана в инструкции)

      Пункт инструкции:
      Если Postfix отсутствует в списке доступных почтовых серверов для интеграции, но при этом он установлен на сервере, необходимо вернуть конфигурационный файл /etc/postfix/master.cf в исходное состояние и повторно запустить скрипт первоначальной настройки.

      Проблема в том что мы не изменяли конфигурационный файл.


      (напоминание ос Debian 12, почтовое решение Iredmail, postfix, dovecoat, sogo, nginx, clamav -шли одним установочным комплектом. Требуется чтоб антивирусное решение Касперсокого (KMSG) стояло на том же сервере, в той же системе и защищало почту)
      Выполненые шаги скрипта установки:
      Select web server [1]:
      [1] Nginx
      [2] Abort setup
      > 1

      Setup will use the following web server configuration:
      | type: Nginx
      | config_dir: /etc/nginx
      | config_file: nginx.conf
      | systemd_name: nginx
      | binary_name: /usr/sbin/nginx
      | sites_dir: /etc/nginx/conf.d
      | user: www-data
      Continue setup using this configuration? [1]:
      [1] Continue setup
      [2] Abort setup
      > 1

      Specify IP address of the current node
      The IP address will be used to communicate with other nodes [10.10.0.10]:
      >

      Specify the port number of the current node
      The port number will be used to communicate with other nodes [9045]:
      >

      Specify the port number of the current node for web interface
      The port number will be used to access KSMG web interface [443]:
      >
      Port 443 is already in use.

      Specify the port number of the current node for web interface
      The port number will be used to access KSMG web interface [443]:
      > 445

      Select MTA [1]:
      [1] Manual integration
      Note that by selecting "Manual integration", you will skip automatic integration with an MTA, so you will have to change the MTA configuration files manually.
      > 1

      при запуске всех служб ksmg отключаются все системы удаленного управления cockpit/webmin, так и должно быть ?
      но прописанный в скрипте установке порт веб интерфейса ksmg (в нашем случае 445) ничего не выводит ни удаленно, ни с самого сервера.

      среди ошибок есть что то про лицензию (как и куда прописать код нашей лицензии)

      и все та же проблема что пр установке скрипт, не видит почтового сервера(ПО) postfix, только мануальная интеграция. как говорил ранее мы не меняли конфиг постфикса, он изначально шел комплектом с кучей других пакетов (и они уже интегрированы друг в друга).

      напомню нашу ситуацию
      у нас всего один сервер и одна ос (никаких вирутальных машин, гипервизоров, кластеров)
      и почтовый сервер и ksmg должны стоять на одном и том же сервере и в одной и той же ос.
      setup-250415-102638.log traceback-250415-105029.txt master.txt
×
×
  • Создать...