Перейти к содержанию
Правила раздела
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

Вирус в системе ПК

lange

Автор lange
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

lange,

добро пожаловать на форум!

 

Загрузившись в безопасном режиме, удалите остатки Kaspersky Virus Removal Tool с помощью утилиты из данной статьи.

http://support.kaspersky.ru/faq/?qid=208635705

Важно: выбирать AVP Tool Driver.

 

покажите лог полного сканирования MBAM

Ссылка на комментарий
Поделиться на другие сайты
lange Новичок

lange

Опубликовано
  • Автор
Опубликовано (изменено)

Здравствуйте, Roman_Five!

 

Удалил остатки Kaspersky Virus Removal Tool в обычном режиме. К сожалению удалить в безопасном почему то не удалось.

 

С уважением.

mbam_log_2012_07_03__11_24_50_.txt

Изменено пользователем lange
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

в безопасном режиме удалите файлы

C:\Windows\system32\drivers\90619002.sys
C:\Windows\system32\drivers\90619001.sys

 

установите SP1 для Windows, IE 9 и все обновления на Windows

Ссылка на комментарий
Поделиться на другие сайты
lange Новичок

lange

Опубликовано
  • Автор
Опубликовано

Добрый день!

 

Победу праздновал рано. Сегодня утилита AVZ снова обнаружила троян. При том, что никакие сомнительные сайты я прошедшие дни не посещал. Буду искренне благодарен специалисту, который поможет извести зверя.

 

С уважением, lange.

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

Ссылка на комментарий
Поделиться на другие сайты
icotonev Опытный

icotonev

Опубликовано
Опубликовано
Внимание ! База поcледний раз обновлялась 20.05.2012 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

 

Обновите базы AVZ и сделайте логи заново.

 

 

в безопасном режиме удалите файлы

C:\Windows\system32\drivers\90619002.sys
C:\Windows\system32\drivers\90619001.sys

 

установите SP1 для Windows, IE 9 и все обновления на Windows

 

Почему не выполнено?

Ссылка на комментарий
Поделиться на другие сайты
Tiare Профи

Tiare

Опубликовано
Опубликовано

lange,

 

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". Запускать от имени администратора.

begin
ClearQuarantine;
QuarantineFileF('%appdata%\Malwarebytes\Malwar~1\Quarantine', 'quar*.*', false, '', 0, 0);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

 

Сегодня утилита AVZ снова обнаружила троян

о чем идет речь?

Ссылка на комментарий
Поделиться на другие сайты
lange Новичок

lange

Опубликовано
  • Автор
Опубликовано

Tiare, здравствуйте!

 

С большим трудом удалось просканировать ОС утилитой AVZ. Все ваши советы выполнены, Quarantine.zip отправлен.

 

Снова обнаружен троян:

 

Src=C:\Windows\System32\wdi\{67144949-5132-4859-8036-a737b43825d8}\{e4b0ae44-ec87-4f0e-8864-2cabfaad6759}\snapshot.etl

Infected=avz00001.dta

Virus=Подозрение на Trojan-Downloader.Win32.AutoIt.q ( 1C9D22FA 1E621768 004D6E44 004D6E44 491520)

QDate=09.07.2012 18:03:56

Size=491520

MD5=42CD69083F7FB679A77E207CDB69ACD0

FileDate=06.07.2012 21:55:04

AVZVer=4.39

Attr=

MainAVBase=09.07.2012 4:00:04

x64=0

 

А так же:

 

1.1 Поиск перехватчиков API, работающих в UserMode

Анализ kernel32.dll, таблица экспорта найдена в секции .text

Анализ ntdll.dll, таблица экспорта найдена в секции .text

Анализ user32.dll, таблица экспорта найдена в секции .text

Анализ advapi32.dll, таблица экспорта найдена в секции .text

Анализ ws2_32.dll, таблица экспорта найдена в секции .text

Анализ wininet.dll, таблица экспорта найдена в секции .text

Анализ rasapi32.dll, таблица экспорта найдена в секции .text

Анализ urlmon.dll, таблица экспорта найдена в секции .text

Анализ netapi32.dll, таблица экспорта найдена в секции .text

1.4 Поиск маскировки процессов и драйверов

Маскировка процесса с PID=288, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 288)

Маскировка процесса с PID=388, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 388)

Маскировка процесса с PID=440, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 440)

Маскировка процесса с PID=880, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 880)

Маскировка процесса с PID=1220, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 1220)

Маскировка процесса с PID=1392, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 1392)

Маскировка процесса с PID=1940, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 1940)

Маскировка процесса с PID=1468, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 1468)

Маскировка процесса с PID=1508, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 1508)

Маскировка процесса с PID=1964, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 1964)

Маскировка процесса с PID=2068, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 2068)

Маскировка процесса с PID=2136, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 2136)

Маскировка процесса с PID=2276, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 2276)

Маскировка процесса с PID=2320, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 2320)

Маскировка процесса с PID=2416, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 2416)

Маскировка процесса с PID=2468, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 2468)

Маскировка процесса с PID=3240, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 3240)

Маскировка процесса с PID=3316, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 3316)

Маскировка процесса с PID=3476, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 3476)

Маскировка процесса с PID=3604, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 3604)

Маскировка процесса с PID=3808, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 3808)

Маскировка процесса с PID=3936, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 3936)

Маскировка процесса с PID=2116, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 2116)

Маскировка процесса с PID=140, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 140)

Маскировка процесса с PID=272, имя = ""

>> обнаружена подмена PID (текущий PID=0, реальный = 272)

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • rustam253
      Установка операционной системы
      Автор rustam253
      Всем привет.
      Купил SSD и салазки, чтоб установить его вместо дисковода на ноут.
      Жесткий вынимать не планировал - хочу в дальнейшем использовать его как хранилище данных.
      Прошу подсказать, как мне установить ОС на SSD? Есть ключ от предустановленной windows8.1. 
      Хотел бы установить и windows10 и linux для пробы.
      Нужно ли удалять windows8.1 с жесткого диска перед установкой или нет?
      Всем заранее благодарен.


    • misska
      Скомпрометированна система
      Автор misska
      Добрых суток, знатоки!
       
      У меня в системе сидит шпион: знает мои пароли от соц сетей, видит мои вкладки браузера, шпионит за мной в ТГ - знает все мои сообщества в которых состою, чаты. 🤬
       
      По вирусам - чисто. Проверила на логи - чисто.
      Анализ сети антивирусом выдает инфу, что у меня порт 22 открыт - его следует закрыть, хотя при этом, все подключенные устройства к роутеру отображаются только мои! Закрыть не смогла, т.к. не нашла в настройках моего роутера где оное находится. 🤨 Где найти этот порт, чтобы его закрыть?
       
      В ТГ, в настройках безопасности, показывает только мои подключенные устройства! Но сталкер 100% также, как и я, просматривает мой профиль и активность. Как это может быть? 🤔
       
      Какие есть варианты действий? Чему уделить внимание? Винду не меняла, может с нее начать? Что делать, где искать, как выкинуть непрошенного гостя? 🐕 Комп у меня постоянно шуршит, что-то накручивает, шумный, короче.  👾😩🤬
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь"
       
    • Виктория12333
      Узел службы: локальная система
      Автор Виктория12333
      Здравствуйте, в диспетчере задач было замечен такой узел службы. Что он значит? 
    • para87
      [РЕШЕНО] проверка системы
      Автор para87
      Я заметил что  включаешь комп играешь работаешь  ну и т.д и после там часа или 2 не помню точно не могу открыть Kaspersky Plus нажимаю на иконку где часы и не чего не происходит тоже самое и на ярлык тоже не хочет открываться.  Помогает перезагрузка пк сразу открывается работает нормально. Я удалил Каспера утилитой  kavremover и заново поставил обновил провел полную проверку не чего не нашёл.  Пока все хорошо.  Просканировал еще FRST64 вот лог. Посмотрите может я зря беспокоюсь и это все ерунда.
      CollectionLog-2025.02.21-16.59.zip Addition.txt FRST.txt
    • Pomka.
      Рейтинговая система мотивации участников клуба: обсуждение
      Автор Pomka.
      короче простым клубням тут не место ?
×
×
  • Создать...