Не активируется антивирус после заражения

[maxorez]

На ПК стоял антивирус стороннего разработчика(DrWeb), пользователь впоймал блокировщик системы с просьбой пополнить счет абонента 8917-дальше увы не помню, и еще парочку вирусов для полного счастья! Подходящий код разблокировки не был найден.

Выполнили востановление системы до предыдущего рабочего состояния, проверили жесткий диск с другого ПК на котором стоит KIS 2011, было найдено около 20 зараженых файлов. Затем вернули жесткий диск на место и накатили обновления на о.с. Проверили дополнительно еще раз malwarebytes, было найдено еще несколько вирусов: Worm.Autorun, Trojan.Banker, Worm.Palevo.

Поставили KIS, столкнулись с проблемой антивируса, пишет что не возможно соедениться с сервером.

На сайти антивирусных производителей можем зайти, что обычно при такой проблеме то же не возможно.

Файл hosts системы чист, проверил ветку реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes, там все тоже чисто.

 

AVZ и HiJackThis создал логи

 

Пробовал пропинговать сервер обновления касперского dnl-13.geo.kaspersky.com, на зараженной машине пинги не проходят, попробовал пингануть на здоровом ПК, получил ответ.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\wlinjlib.dll','');
QuarantineFile('D:\DrWeb\upate.cmd','');
QuarantineFile('C:\Documents and Settings\Юрист\Local Settings\Application Data\FIE2.Customers\ICLCrypt.dll','');
QuarantineFile('C:\WINDOWS\system32\wlinject.exe','');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
ExecuteRepair(20 );
ClearHostsFile;
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Рекомендуется удалить ПО, которое может конфликтовать с установленной антивирусной программой:

- DrWeb.

Если данные программы были ранее удалены некорректно, можно воспользоваться специализированными утилитами по очистке их следов с сайтов производителей данного ПО.

 

После проведённого лечения рекомендуется:

- обновить Internet Explorer до версии 8.0 (даже если им не пользуетесь!)

- установить все обновления на Windows (может потребоваться активация Windows)

- проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее)

Скачайте ComboFix здесь или здесь и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Изменено 22 июня, 2011 пользователем Roman_Five