не могу вылечить от Win32.Vilsel.nvd

[Wipe]

Всем привет!

Тема такая

Вставляешь флэшку в комп, на ней появляются в корневике файл autorun.inf, папка Recycle вней recycle.exe.

AVP 6.0 находит в нем вирус Win32.Vilsel.nvd, удаляет его. Вытаскием флешку тут же вставляем, опять появляется файл с вирусом и по новой.

Если вылеченную флэшку вставляешь в другой комп - все нормально вирусов нет.

Тоесть вирус на моем компе видимо процессах где то замаскирован и антивирус его там не видит.

Несколько раз пробовал Касперский Ремувал - не помогает. при его установке изменяются ключи в реестре не только файлом установки но и несколькими процессами. Борьба идет с переменным успехом, вроде заражение флэшек прекратилось, но после запуска толи медиаплейера, толи интернет эксплорера опять началось по новой.

Немного о вирусе: заблокировал диспетчер задач и редактор реестра, затем накрылись настроики vpn server, затем отрубились несколько видов защиты в AVP

Присоединяю файл анализа системы

Просю помощи!

avptool_sysinfo.zip

avptool_sysinfo.zip

Изменено 1 декабря, 2009 пользователем Wipe

[SLASH_id]

Wipe

Для начала - удалите AVP 6.0 и установите версию посвежее. Она должна справиться.

 

Если не помогло - http://forum.kasperskyclub.ru/index.php?showtopic=1698 - логи сделайте.

[Wipe]

Добрый день!

С обнавлением ситуация следующая: Комп казенный, лицензия на AVP до 2012 года, ничего более нового в наличии нет, а ворованное неохота ставить.

За неприсоединенные логи извиняюсь, но я сделал как написано в программе Kas. Removal

теперь исправляюсь и жду инструкций

 

 

 

И еще о вирусе: в безопасном режиме флэшки не заражаются. Так как vpn соединение накрылось интернета нет, я пытался обновить AVP из папки с файлами из архива av-i386&ids-daily.zip - не получилось, пишет что нехватает какого то файла, затем брал файлы из av-i386-daily.zip - тоже самое. потом антивирус после перегрузки говорит что то вроде: чтобы завершить обновление надо перегрузить компьютер.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Изменено 3 декабря, 2009 пользователем Wipe

[snifer67]

Восстановление системы отключить.

 

Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{BB5FEA85-27F0-4E78-B304-B1289FF7D629}');
QuarantineFile('C:\Windows\system32\hixev.dll','');
DeleteFile('C:\Windows\system32\hixev.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Сделайте новые логи.

[Wipe]

Выполнил скрипты. Отправил на ньювирус файл карантина

Заражения флешек вроде нет. И вроде касперыч больше не проситься перегружаться

Сделал логи

 

Вопрос: Восстановление системы стоит включать или нет?

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[snifer67]

чисто.

[ROMIK]

Вопрос: Восстановление системы стоит включать или нет?

 

Включайте. Отключение требовалось на время лечения.

[Wipe]

СПАСИБО!

[Wipe]

После запуска IE 8.0 заражение возобновилось

Реакция на письмо ньювирус:

оправлено: 3 декабря 2009 в 14:13

>Здравствуйте,

>

>hixev.dll - Trojan-Spy.Win32.Amber.qa

>

>Детектирование файла будет добавлено в следующее обновление.

>

>Пожалуйста, при ответе включайте переписку целиком.

>Ответ актуален для последних баз с источников обновлений.

>--

>С уважением, Сергей Прокудин

>Вирусный аналитик Лаборатории Касперского.

 

Вчера 4 декабря обнавивил касперского, после чего запустилась процедура лечения активных угроз.

Результат ---->

Заражен: троянская программа Trojan-Spy.Win32.Amber.qa C:\Windows\System32\fyesibo.dll 34 КБ

[snifer67]

Сделайте новый лог virusinfo_syscheck.zip и приложите к этой теме.

[миднайт]

Пофиксите в Hijackthis, если будет такая строчка:

 

O2 - BHO: Internet Explorer Plugin - {9B991D14-8449-4B43-85CC-C7A3695C57BA} - fyesibo.dll (file missing)

 

Повторите все логи по правилам.