Steel Rain 2 Опубликовано 13 ноября, 2009 Share Опубликовано 13 ноября, 2009 Всем доброго времени суток. Товарищ поймал себе на ноут вирь который просит sms отправить для разблокировки винды. Собственно эту заразу ему убить удалось, но дальше началось самое интересное. Ну, стандартно, не отображаются скрытые и системные файлы, Диспетчер задач не доступен и т.п. Касперского вирь заблочил сразу. В общем мне удалось после пары прогонов AVZ установить KIS 2010 с последним обновлением он ничего не находит. Пробовал лечить DrWeb'ом, утилитой автономной Касперского даже попробовал восстановление системы сделать с диска. В общем что имею сейчас после восстановления системы она начинает работать относительно нормально, но до первой перезагрузки. После перезагрузки пропадают все сетевые подключения, служба WindowsInstaller не работает, KIS запускается, с грехом пополам, минут через 30 после загрузки системы и панель задач ведет себя ооочень странно. То появляется, то исчезает. Меняются местами панели инструментов и, собственно, значки открытых в данный момент окон на ней не отображаются. Смотрел утилиткой autoruns не нашел ничего подозрительного в автозапуске, ну то что не понравилось и не нужно для базовой работы системы поотключал. processxp ничего плохого не показывает. Как эта дрянь работает и откуда запускается не могу разобраться. Помогите люди добрые. Заранее благодарен. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
vit9696 415 Опубликовано 13 ноября, 2009 Share Опубликовано 13 ноября, 2009 http://kasperskyclub.ru/ainmenu-31/382--- - это? http://support.kaspersky.ru/viruses/common?qid=208636874 - решение. Цитата Ссылка на сообщение Поделиться на другие сайты
Steel Rain 2 Опубликовано 13 ноября, 2009 Автор Share Опубликовано 13 ноября, 2009 Каким именно вирусом был заражён комп я не знаю, но уверен что не этим. Там было что то с кодеком связано. Типа попросили кодек загрузить для показа контента на сайте. А потом через некоторое время появляется окошко практически на весь экран с просьбой отправить sms. Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 475 Опубликовано 13 ноября, 2009 Share Опубликовано 13 ноября, 2009 Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, C:\ComboFix.txt прикрепите к сообщению. Примечание: в случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Цитата Ссылка на сообщение Поделиться на другие сайты
Steel Rain 2 Опубликовано 14 ноября, 2009 Автор Share Опубликовано 14 ноября, 2009 После проверки ComboFix система ушла в циклический перезагруз, лог получить не удалось. Восстановил систему с диска и до перезагрузки запустил ComboFix сейчас попробую перезагрузить и прогнать ещё раз. Вот первый лог: ComboFix.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 475 Опубликовано 14 ноября, 2009 Share Опубликовано 14 ноября, 2009 Есть подозрение, что пострадали системные файлы Идеальным вариантом будет этот: установите SP3 (может потребоваться активация) + все новые заплатки Цитата Ссылка на сообщение Поделиться на другие сайты
Steel Rain 2 Опубликовано 14 ноября, 2009 Автор Share Опубликовано 14 ноября, 2009 (изменено) Дело то в том, что до установки SP3 хотелось бы заразу эту вычистить сначала. Думаю что если этого не сделать, установка не поможет. Я делал восстановление системы с установочного диска уже несколько раз. Все работает нормально до первой перезагрузки, а потом что то опять все ломает. Вот закончилась вторая проверка, которую после перезагрузки запустил уже на скривевшей системе. Прилагаю лог. Больше всего меня смущает следующий момент: AVZ при проверке каждый раз пишет 1.3 Проверка IDT и SYSENTER Анализ для процессора 1 Анализ для процессора 2 CmpCallCallBack=00145A9F DisableCallBack=OK это проскакивает при каждом запуске Раньше ещё появлялось сообщение о внедрении в код kernel32.dll с байта 15, передача управления другому модулю, дословно, к сожалению, воспроизвести не могу. Да, и вот ещё что, на здоровой системе обычно AVZ красным пишет о восстановлении функций kist, кажется. Ну драйвер klif.sys и т.п. На этом зараженном ноуте ничего подобного нет при проверке. ComboFix.txt Изменено 14 ноября, 2009 пользователем Steel Rain Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 14 ноября, 2009 Share Опубликовано 14 ноября, 2009 Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК" Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up Ну драйвер klif.sys и т.п Это драйвер одного из продуктов Касперского. Цитата Ссылка на сообщение Поделиться на другие сайты
Steel Rain 2 Опубликовано 15 ноября, 2009 Автор Share Опубликовано 15 ноября, 2009 (изменено) Собственно ничего не изменилось. Если не сказать стало хуже. Панель задач вообще свернулась в серенькую полосочку внизу экрана и никоим образом оттуда не выцарапывается. Все сетевые подключения так же не активны, вернее даже будет сказать невидимы. WindowsInstaller заблокирован, т.е. не могу ни поставить ни удалить антивирь. Хорошо что перед всеми манипуляциями снес KIS, а то бы опять пришлось восстанавливастья с диска Изменено 15 ноября, 2009 пользователем Steel Rain Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.