Алексей Н Опубликовано 6 июля, 2009 Опубликовано 6 июля, 2009 (изменено) Доброго времени суток, хелперы. У моего друга такая проблема, не запускается KIS. Нет его процесса, переустановка не помогает. При сканировании AVZ было подозрение на TROJAN.WIN32.BHO.CFY. В браузерах информер с порнухой, с оперы удалить его труда не составило, но она не закачивает и не заливает файлы, вылетает. В IE информер остался. HijackThis со стандартным именем не запускался, переименовывал. Ссылка на отчет GSI: http://www.getsysteminfo.com/read.php?file...78ce6a7b919c677 Вот остальные логи hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip GetSystemInfo_USERPC_User_2009_07_06_10_37_24.zip Изменено 6 июля, 2009 пользователем Falcon
Falcon Опубликовано 6 июля, 2009 Опубликовано 6 июля, 2009 Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner - скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. - если вы используете Firefox, нажмите Firefox - Select All - Empty Selected - нажмите No, если вы хотите оставить ваши сохраненные пароли. - если вы используете Opera, нажмите Opera - Select All - Empty Selected. - нажмите No, если вы хотите оставить ваши сохраненные пароли. Выполните следующий скрипт В AVZ: begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\TEMP\tempo-2970296.tmp',''); DelBHO('{9D64F819-9380-8473-DAB2-702FCB3D7A3E}'); QuarantineFile('\systemroot\system32\drivers\MSIVXlxbehqlxyirirnvpylyardnosvqfqppb.sys',''); QuarantineFile('C:\Documents and Settings\User\Application Data\bpfeed.dll',''); QuarantineFile('C:\WINDOWS\system32\MSIVXpxovmtcrhcfxmkltitlmvohiukuvyyqm.dll',''); QuarantineFile('C:\WINDOWS\system32\MSIVXaxvlceeogasvanpdibekudttvsxlpudn.dll',''); DeleteFile('C:\Documents and Settings\User\Application Data\bpfeed.dll'); DeleteFile('\systemroot\system32\drivers\MSIVXlxbehqlxyirirnvpylyardnosvqfqppb.sys'); DeleteFile('%USERPROFILE%\Application Data\bpfeed.dll'); DeleteFile('C:\WINDOWS\TEMP\tempo-2970296.tmp'); DeleteFile('C:\WINDOWS\system32\MSIVXaxvlceeogasvanpdibekudttvsxlpudn.dll'); DeleteFile('C:\WINDOWS\system32\MSIVXpxovmtcrhcfxmkltitlmvohiukuvyyqm.dll'); Deletefile('C:\WINDOWS\Tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job'); DeleteFileMask('%Tmp%', '*.*', true); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Затем: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Oтправьте quarantine.zip по электронной почте на адрес newvirus@kaspersky.com, указав в письме, что пароль на архив - virus. О результате сообщите. Пофиксить в HJT (некоторые строки могут отсутствовать): O2 - BHO: (no name) - {88888888-8888-8888-8888-888888888888} - (no file) O2 - BHO: BP Data Feeder - {9D64F819-9380-8473-DAB2-702FCB3D7A3E} - %USERPROFILE%\Application Data\bpfeed.dll (file missing) - Скачайте GMER по одной из указанных ссылок: Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) - Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов: Sections IAT/EAT Show all Из всех дисков оставьте отмеченным только системный диск (обычно C:\) - Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. Сделайте также новые логи AVZ.
Алексей Н Опубликовано 6 июля, 2009 Автор Опубликовано 6 июля, 2009 После выполнения указанного скрипта в AVZ KIS запустился. При попытке создать quarantine.zip KIS обнаружил в нем TROJAN.WIN32.BHO.VJS. Вроде как проблема решена, но посмотрите логи на всякий случай. hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip 123465.log
Falcon Опубликовано 6 июля, 2009 Опубликовано 6 июля, 2009 Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe: gmer.exe -del service MSIVXserv.sys gmer.exe -del file "C:\WINDOWS\system32\drivers\MSIVXlxbehqlxyirirnvpylyardnosvqfqppb.sys" gmer.exe -del file "C:\WINDOWS\system32\MSIVXpxovmtcrhcfxmkltitlmvohiukuvyyqm.dll" gmer.exe -del file "C:\WINDOWS\system32\MSIVXaxvlceeogasvanpdibekudttvsxlpudn.dll" gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\MSIVXserv.sys" gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\MSIVXserv.sys" gmer -reboot И запустите cleanup.bat Повторите лог гмер. Какие из этих адресов - ваши? O17 - HKLM\System\CCS\Services\Tcpip\..\{007A79E4-831F-4B6D-8605-C473AB2F29F2}: NameServer = 213.135.97.131 195.128.128.1 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.112,85.255.112.212 O17 - HKLM\System\CS1\Services\Tcpip\..\{007A79E4-831F-4B6D-8605-C473AB2F29F2}: NameServer = 213.135.97.131 195.128.128.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.112,85.255.112.212 Лишнее нужно пофиксить.
Falcon Опубликовано 6 июля, 2009 Опубликовано 6 июля, 2009 Хорошо. Я в посте №4 кое-что добавил, взгляните.
Алексей Н Опубликовано 6 июля, 2009 Автор Опубликовано 6 июля, 2009 Пофиксил, вот лог. Все нормально? hijackthis.log
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти