Не запускается KIS [OK]

[Алексей Н]

Доброго времени суток, хелперы.

У моего друга такая проблема, не запускается KIS. Нет его процесса, переустановка не помогает. При сканировании AVZ было подозрение на TROJAN.WIN32.BHO.CFY. В браузерах информер с порнухой, с оперы удалить его труда не составило, но она не закачивает и не заливает файлы, вылетает. В IE информер остался. HijackThis со стандартным именем не запускался, переименовывал.

 

Ссылка на отчет GSI: http://www.getsysteminfo.com/read.php?file...78ce6a7b919c677

 

Вот остальные логи

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

GetSystemInfo_USERPC_User_2009_07_06_10_37_24.zip

Изменено 6 июля, 2009 пользователем Falcon

[Falcon]

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

- скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли.

- если вы используете Opera, нажмите Opera - Select All - Empty Selected.

- нажмите No, если вы хотите оставить ваши сохраненные пароли.

 

Выполните следующий скрипт В AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\TEMP\tempo-2970296.tmp','');
DelBHO('{9D64F819-9380-8473-DAB2-702FCB3D7A3E}');
QuarantineFile('\systemroot\system32\drivers\MSIVXlxbehqlxyirirnvpylyardnosvqfqppb.sys','');
QuarantineFile('C:\Documents and Settings\User\Application Data\bpfeed.dll','');
QuarantineFile('C:\WINDOWS\system32\MSIVXpxovmtcrhcfxmkltitlmvohiukuvyyqm.dll','');
QuarantineFile('C:\WINDOWS\system32\MSIVXaxvlceeogasvanpdibekudttvsxlpudn.dll','');
DeleteFile('C:\Documents and Settings\User\Application Data\bpfeed.dll');
DeleteFile('\systemroot\system32\drivers\MSIVXlxbehqlxyirirnvpylyardnosvqfqppb.sys');
DeleteFile('%USERPROFILE%\Application Data\bpfeed.dll');
DeleteFile('C:\WINDOWS\TEMP\tempo-2970296.tmp');
DeleteFile('C:\WINDOWS\system32\MSIVXaxvlceeogasvanpdibekudttvsxlpudn.dll');
DeleteFile('C:\WINDOWS\system32\MSIVXpxovmtcrhcfxmkltitlmvohiukuvyyqm.dll');
Deletefile('C:\WINDOWS\Tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Затем:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Oтправьте quarantine.zip по электронной почте на адрес newvirus@kaspersky.com, указав в письме, что пароль на архив - virus. О результате сообщите.

 

Пофиксить в HJT (некоторые строки могут отсутствовать):

O2 - BHO: (no name) - {88888888-8888-8888-8888-888888888888} - (no file)
O2 - BHO: BP Data Feeder - {9D64F819-9380-8473-DAB2-702FCB3D7A3E} - %USERPROFILE%\Application Data\bpfeed.dll (file missing)

 

 

- Скачайте GMER по одной из указанных ссылок:

Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)

- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
  
• IAT/EAT
  
• Show all
  

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

 

Сделайте также новые логи AVZ.

[Алексей Н]

После выполнения указанного скрипта в AVZ KIS запустился. При попытке создать quarantine.zip KIS обнаружил в нем TROJAN.WIN32.BHO.VJS. Вроде как проблема решена, но посмотрите логи на всякий случай.

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

123465.log

[Falcon]

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe:

gmer.exe -del service MSIVXserv.sys
gmer.exe -del file "C:\WINDOWS\system32\drivers\MSIVXlxbehqlxyirirnvpylyardnosvqfqppb.sys"
gmer.exe -del file "C:\WINDOWS\system32\MSIVXpxovmtcrhcfxmkltitlmvohiukuvyyqm.dll"
gmer.exe -del file "C:\WINDOWS\system32\MSIVXaxvlceeogasvanpdibekudttvsxlpudn.dll"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\MSIVXserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\MSIVXserv.sys"
gmer -reboot

И запустите cleanup.bat

 

Повторите лог гмер.

 

Какие из этих адресов - ваши?

O17 - HKLM\System\CCS\Services\Tcpip\..\{007A79E4-831F-4B6D-8605-C473AB2F29F2}: NameServer = 213.135.97.131 195.128.128.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.112,85.255.112.212
O17 - HKLM\System\CS1\Services\Tcpip\..\{007A79E4-831F-4B6D-8605-C473AB2F29F2}: NameServer = 213.135.97.131 195.128.128.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.112,85.255.112.212

Лишнее нужно пофиксить.

[Алексей Н]

Вот новый лог gmer

12346.log

[Falcon]

Хорошо. Я в посте №4 кое-что добавил, взгляните.

[Алексей Н]

Пофиксил, вот лог. Все нормально?

hijackthis.log

[Falcon]

Lexa /nokia 5800/, да все в порядке.

[Алексей Н]

Falcon, спасибо за помощь!

[Falcon]

Lexa /nokia 5800/, обращайтесь