Не устанавливается KIS [LOG!]

[kilo]

Упоминание о ней в Пуск - Программы удалили?

Да удалил

Если еще нет, тогда с помощью файлового менеджера (Total Commander, например) посмотреть по пути C:\Documents and Settings\test\Главное меню\Программы на что ссылается lnk-файл

Или то же самое посмотреть в папке C:\Documents and Settings\All Users\Главное меню\Программы

Эти файлы тоже уже давно удалил

[kilo]

Уже весь реестр проверил нет там больше упоминаний о этом Windows System Suite, а в центре безопасности Windows он хоть что делай высвечивается и Касперского уже два раза переустанавливал все равно он там. Вот что я подумал, мог ли вирус заразить сам исполняемый файл Центра безопасности?

[thyrex]

Вот это выполните http://forum.kaspersky.com/index.php?showtopic=103868

Информацию о результате закачки сообщите

[kilo]

В архив нечего почти не попала не считая, вот этого C:\Program Files\Malwarebytes' Anti-Malware\mbamext.dll

Остальное все прошло как Ошибка карантина файла, попытка прямого чтения (System)

Выполняется автокарантин

Файл успешно помещен в карантин (C:\Program Files\Malwarebytes' Anti-Malware\mbamext.dll)

Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\Drivers\dump_atapi.sys)

Карантин с использованием прямого чтения - ошибка

Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS)

Карантин с использованием прямого чтения - ошибка

Ошибка карантина файла, попытка прямого чтения (deskpan.dll)

Карантин с использованием прямого чтения - ошибка

Ошибка карантина файла, попытка прямого чтения (rundll32.exe C:\WINDOWS\system32\shimgvw.dll,ImageView_COMServer {00E7B358-F65B-4dcf-83DF-CD026B94BFD4})

Карантин с использованием прямого чтения - ошибка

Ошибка карантина файла, попытка прямого чтения (System)

Карантин с использованием прямого чтения - ошибка

Ошибка карантина файла, попытка прямого чтения (System)

Карантин с использованием прямого чтения - ошибка

Ошибка карантина файла, попытка прямого чтения (System)

Карантин с использованием прямого чтения - ошибка

Ошибка карантина файла, попытка прямого чтения (System)

Карантин с использованием прямого чтения - ошибка

Ошибка карантина файла, попытка прямого чтения (System)

Карантин с использованием прямого чтения - ошибка

Ошибка карантина файла, попытка прямого чтения (mscoree.dll)

Карантин с использованием прямого чтения - ошибка

Ошибка карантина файла, попытка прямого чтения (mscoree.dll)

Карантин с использованием прямого чтения - ошибка

Ошибка карантина файла, попытка прямого чтения (mscoree.dll)

Карантин с использованием прямого чтения - ошибка

Автокарантин завершен

Это нормально, так и должно быть?

Вот результат анализа

Архив 090811_141159_virusinfo_files_VIRTUAL-5507F4D_4a8143ef49206.zip, загружен 11.08.2009 14:20:37, размер 31326 байт

Всего файлов: 1 (исполняемых 1), из них:

зловреды или опасные объекты: 0

подозрительные: 0

занесены в базу безопасных AVZ: 0

В очереди на добавление в базу безопасных:

высокий приоритет: 1

обычный приоритет: 0

avz_log.txt

Изменено 11 августа, 2009 пользователем kilo

[kilo]

У меня теперь и окно этого Windows System Suite появилась и кричит, что нашел вирусы и требует деньги за то что бы якобы его удалить.

[thyrex]

Сделайте еще раз логи и выкладывайте (их должно быть три)

[kilo]

Сделайте еще раз логи и выкладывайте (их должно быть три)

А тепер он в логах будет виден или нет?

Все зделал. После обновления KIS этот Windows System Suite перестал запускатся, только выкидывает ошибку и закрывается, смотрите скрин.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено 15 августа, 2009 пользователем kilo

[thyrex]

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users\Application Data\85d5af9\WS85d5.exe','');
DeleteFile('C:\Documents and Settings\All Users\Application Data\85d5af9\WS85d5.exe');
DeleteFileMask('C:\Documents and Settings\All Users\Application Data\85d5af9', '*.*', true);
DeleteDirectory('C:\Documents and Settings\All Users\Application Data\85d5af9');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(13);
ExecuteRepair(19);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Сделайте новые логи

[kilo]

Скрипт выполнил, карантин послал на newvirus@kaspersky.com

Загрузил новые логи

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[thyrex]

Пофиксить в HiJack

 O1 - Hosts: 74.125.45.100 4-open-davinci.com
O1 - Hosts: 74.125.45.100 securitysoftwarepayments.com
O1 - Hosts: 74.125.45.100 privatesecuredpayments.com
O1 - Hosts: 74.125.45.100 secure.privatesecuredpayments.com
O1 - Hosts: 74.125.45.100 getantivirusplusnow.com
O1 - Hosts: 74.125.45.100 secure-plus-payments.com
O1 - Hosts: 74.125.45.100 www.getantivirusplusnow.com
O1 - Hosts: 74.125.45.100 www.secure-plus-payments.com
O1 - Hosts: 74.125.45.100 www.getavplusnow.com
O1 - Hosts: 74.125.45.100 www.securesoftwarebill.com
O1 - Hosts: 74.125.45.100 secure.paysecuresystem.com

[kilo]

Профиксил, но эти строчки появляются снова

hijackthis.log

[thyrex]

Очередная инструкция по поиску файлов http://www.bleepingcomputer.com/virus-remo...ws-system-suite

[kilo]

Выполнил рекомендацию. host как изменял так продолжает изменятся после фикса HiJack

hijackthis.log

mbam_log_2009_08_17__18_37_36_.txt

[thyrex]

MBAM основательно почистил.

 

В начале статьи был перечень файлов для поиска. Искали?

Изменено 17 августа, 2009 пользователем thyrex

[kilo]

Да искал парочку нашел и удалил, только не понял что за директория %UserProfile%\Desktop\ это рабочий стол? Если да то на нем таких файлов нет. А host и после этого продолжает изменяется

MBAM вот что выдало

Изменено 17 августа, 2009 пользователем kilo