Зловред

[Алексей Н]

Доброго времени суток.

 

У моего отца такая ситуация с компьютером: звонит он мне и говорит, что KIS постоянно выдает сообщение, что обнаружено вредоносное ПО, "нейтрализовать все" не помогает. Пришел я к нему посмотреть на это, но при загрузке компьютера KIS даже не запустился, ну как не запустился, в процессах-то он висел, но само окно антивируса открыть не удавалось, в трее значка не появлялось и запуск с папки не давал результатов. Попробовал восстановить (у меня было что-то на подобие, после обновления, мне помогло), но в окне на вопросе хотите ли вы участвовать в KSN просто отсутствовала кнопка "Далее" не зависимо от того стояла ли галочка в согласии на участие или нет. Ну тут уже сомнений не возникло, что папа что-то поймал на компьютер. Тут я хотел скачать AVZ, но нет - к интернету компьютер не подключался (ADSL, через обычный модем). Сходил домой, обновил AVZ, скинул на флешку, запустил на создание отчетов и тут же окно AVZ закрылось и удалился ехе-шник Переустановка антивируса через безопасный режим не помогла, вылезло сообщение, что-то типа "Ваш компьютер заражен, установка не возможна и т.д.".

 

Может кто-нибудь сталкивался с такой ситуацией? Что-то можно здесь предпринять? Накачать программ типа CureIt, AVPTool и т.д. и пробовать сканить ими в надежде на то, что ехе-шник не удалиться при запуске?

 

Кстати, диспетчер задач и редактор реестра работают, компьтер не зависает, работает штатно, если можно это так назвать

[Roman_Five]

скачайте полиморфный AVZ и сделайте логи

http://gjf.hotbox.ru/mink.pif

[Алексей Н]

Итак, с целью получить доступ в интернет (чтобы отправлять логи) cначала просканировал компьютер Сureit'ом, были найдены:

trojan.smssend.192

tool.reboot.20841

и kido.ih

Потом, после перезагрузки, просканировал AVP. Детекта не было, как и доступа в интернет. Логи скинуты на флешку и залиты сюда с другого компьютера. Помогите, пожалуйста, получить доступ в интернет, а то лечение затянется... При попытке доступа выдается "Ошибка 769 указанное назначение не допустимо"

hijackthis.log

CureIt.log

virusinfo_syscheck.htm

virusinfo_syscure.htm

Изменено 8 декабря, 2010 пользователем Алексей Н

[Roman_Five]

проверьте компьютер утилитой из этой статьи

http://support.kaspersky.ru/kis2009/error?qid=208636215

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
SetServiceStart('mvqjeifx', 4);
QuarantineFile('C:\WINDOWS\system32\drivers\ecjmehob.sys','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\~Af12131\Upgrade\atidgllk.sys','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\AmDQS7GZ.sys','');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\AmDQS7GZ.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ecjmehob.sys');
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'ImagePath', 'REG_EXPAND_SZ', '%SystemRoot%\System32\svchost.exe -k netsvcs');
DeleteService('mvqjeifx');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Рекомендуется удалить ПО, которое может конфликтовать

с установленным Kaspersky Internet Security:

- DrWEB CureIT.

Если данные программы были ранее удалены некорректно,

можно воспользоваться специализированными утилитами

по очистке их следов с сайтов производителей данного ПО.

 

Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол.

 

1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

 

Сделайте новые логи по правилам.

 

- обычным AVZ

- отчёты надо в архивах (перечитайте правила)

[thyrex]

А также

 

Перед повторными логами выполните скрипт http://virusnet.info/forum/showthread.php?t=9188

[Алексей Н]

все осталось по прежнему, лог комбофикса сделать не удалось, запускал 2 раза, ждал по 40 минут, то ли зависал, то ли что...

Correct_wuauserv_BITS.log

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[thyrex]

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('mvqjeifx');
DeleteFile('C:\WINDOWS\system32\drivers\ecjmehob.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Сделайте новые логи

[Алексей Н]

Сделать скрипты не получилось, опять стали удаляться ехе-шники как у обычного AVZ так и у полиморфного. Когда делал лог комбофиксом, компьютер отключился и Windows после загрузки запускаться перестал, пришлось переустановить...

Всем спасибо за помощь