Помогите в борьбе с вирусом

[Irbis73]

У меня также этот вирус заселился.

 

Я думал воспользоваться предложенным скриптом, но у меня нет файла 'C:\WINDOWS\system32\winsys2.exe'

 

Сообщение от модератора ТроПа

Сообщения выделены из темы

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[snifer67]

- Закройте/выгрузите все программы кроме Internet Explorer.

Отключите

- ПК от интернета/локальной сети.

 

- Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\program files\relevantknowledge\rlls.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\exifsmsg.dll','');
DeleteFile('C:\WINDOWS\system32\drivers\exifsmsg.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\System\EXIFS','EventMessageFile');
DeleteFile('C:\program files\relevantknowledge\rlls.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RelevantKnowledge','DLLName');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

- ПК перезагрузится.

 

- Выполнить скрипт в AVZ.

var
 qfolder: string;
 qname: string;
begin
 qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
 qfolder := ExtractFilePath(qname);
 if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
 CreateQurantineArchive(qname);
 ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.

Вы увидите папку с архивом. Это - карантин.

- Карантин отправьте на newvirus@kaspersky.com. В теле письма сообщите, что пароль на архив "virus"(без кавычек). Полученный ответ сообщите здесь.

- Сделайте новые логи.

[Irbis73]

Ответ от newvirus@kaspersky.com:

"В присланном Вами файле не найдено ничего вредоносного."

 

Касперский перестал ругаться на обнаруженные вирусы.

 

Новые логи:

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[ТроПа]

Пофиксить в HijackThis следующие строчки

O20 - Winlogon Notify: RelevantKnowledge - C:\WINDOWS\

Больше ничего подозрительного в логах не видно.

[Irbis73]

Пофиксил.

 

Спасибо snifer67 и ТроПа.

[gre_m]

Обнаружил этот сабж у себя, в связи с чем возникли вопросы:

- почему он пролез и KIS2010 его пропустил, да и сейчас ничего не видит - времени прошло много с момента публикации темы в форуме.

- через онлайн - тестирование тоже в нем ничего дурного не видно

- удалил его ручками (файлы сохранены) и из реестра, но вопрос в другом - меняет ли сей зверь настройки служб, если да, то как?

 

С этим зверем я встретился впервые: - ни на одном моем компе таких файлов нет. KIS ставился на практически чистую Windows. Самое интересное, что о его (rlvknlg) неприличной деятельности сообщил Skype: файл rlvknlg.exe пытается подключиться. Разрешить да/нет. После чего и был найден пост на форуме. В общем, я в недоумении.

Изменено 25 мая, 2010 пользователем gre_m

[snifer67]

gre_m, выполните http://forum.kasperskyclub.ru/index.php?showtopic=1698

[gre_m]

собственно говоряЮ сканировать то-нечего - зверь убит, и не появляется. Меня больше интересует - почему не сработал барьер. если есть интерес - то папку могу выслать

[snifer67]

обновления все установлены, в т.ч ПО ?

[gre_m]

20-мая установлена винда ХР3 с голографического диска+загружен Kis2010+запущено обновление. Самое же интересное: даже онлайн сканирование ничего плохого не видит. Просто похоже имеем мутанта.

[snifer67]

Без обновления ПО и залаток на виндовс, Вас не один антивирус не защитит.

[gre_m]

Без обновления ПО и залаток на виндовс, Вас не один антивирус не защитит.

Совкршенно неправильная точка зрения. Если программа пытается прописать себя в стартовую ветвь реестсра, автозагрузку и т.п. -эти действия должны рассматриваться как подозрительные, и вызывать соответствующий запрос на разрешение этих действий. Меня крайне удивляет, что такие примитивные прверки не выполняются

[snifer67]

У вас стоит галочка "Выбирать действие автоматически" ?

[gre_m]

специально убрал. Да и в отчете пусто