Вирус не дает установить Касперского

10 октября, 2011

Доброго времени суток, поймал вирус, который не дает установить Касперского и другие антивирусы (не дает обновиться через инет), блокирует доступ на Вконтакте и основные почтовые браузеры, при этом открывает окна в оформлении схожие с оформлением сайтов и предлагает выслать СМС с кодом...

Плюс к этому не открываются некоторые сайты, которые отлично открываются с незараженного компьютера

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

info.txt

10 октября, 2011

Здравствуйте..!

• Отключите временно:

Антивирус/Файерволл

• Скрипт AVZ.

Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('c:\temp\rarsfx0\9493773.exe');
TerminateProcessByName('c:\temp\8723990\9493773.exe');
StopService('mkdrv');
QuarantineFile('c:\temp\rarsfx0\9493773.exe','');
QuarantineFile('c:\temp\8723990\9493773.exe','');
QuarantineFile('C:\TEMP\8723990\memmng.dll','');
QuarantineFile('C:\TEMP\8723990\prremote.dll','');
QuarantineFile('C:\TEMP\8723990\fssync.dll','');
QuarantineFile('C:\TEMP\8723990\Ushata.dll','');
QuarantineFile('C:\TEMP\8723990\CLLDR.DLL','');
QuarantineFile('C:\TEMP\8723990\prloader.dll','');
QuarantineFile('C:\TEMP\8723990\pxstub.ppl','');
QuarantineFile('C:\TEMP\8723990\params.ppl','');
QuarantineFile('C:\TEMP\8723990\propmap.ppl','');
QuarantineFile('C:\TEMP\8723990\nfio.ppl','');
QuarantineFile('C:\TEMP\8723990\fsdrvplg.ppl','');
QuarantineFile('C:\TEMP\8723990\filemap.ppl','');
QuarantineFile('C:\TEMP\8723990\mkavio.ppl','');
QuarantineFile('C:\TEMP\8723990\tm.ppl','');
QuarantineFile('C:\TEMP\8723990\bl.ppl','');
QuarantineFile('C:\TEMP\8723990\wmihlpr.ppl','');
QuarantineFile('C:\TEMP\8723990\regmap.ppl','');
QuarantineFile('C:\TEMP\8723990\thpimpl.ppl','');
QuarantineFile('C:\TEMP\8723990\ndetect.ppl','');
QuarantineFile('C:\TEMP\8723990\crpthlpr.ppl','');
QuarantineFile('C:\TEMP\8723990\dtreg.ppl','');
QuarantineFile('C:\TEMP\8723990\sfdb.ppl','');
QuarantineFile('C:\TEMP\8723990\schedule.ppl','');
QuarantineFile('C:\TEMP\8723990\timer.ppl','');
QuarantineFile('C:\TEMP\8723990\report.ppl','');
QuarantineFile('C:\TEMP\8723990\reportdb.ppl','');
QuarantineFile('C:\TEMP\8723990\icheck3.ppl','');
QuarantineFile('C:\TEMP\8723990\avs.ppl','');
QuarantineFile('C:\TEMP\8723990\avlib.ppl','');
QuarantineFile('C:\TEMP\8723990\avspm.ppl','');
QuarantineFile('C:\TEMP\8723990\dmap.ppl','');
QuarantineFile('C:\TEMP\8723990\qb.ppl','');
QuarantineFile('C:\TEMP\8723990\procmon.ppl','');
QuarantineFile('C:\TEMP\8723990\hashmd5.ppl','');
QuarantineFile('C:\TEMP\8723990\klsrlsvc.ppl','');
QuarantineFile('C:\TEMP\8723990\Bases\klavemu.kdl','');
QuarantineFile('C:\TEMP\8723990\Bases\kjim.kdl','');
QuarantineFile('C:\TEMP\8723990\Bases\mark.kdl','');
QuarantineFile('C:\TEMP\8723990\Bases\qscan.kdl','');
QuarantineFile('C:\TEMP\8723990\avpgui.ppl','');
QuarantineFile('C:\TEMP\8723990\basegui.ppl','');
QuarantineFile('C:\TEMP\8723990\winreg.ppl','');
QuarantineFile('C:\TEMP\8723990\Bases\kavsys.kdl','');
QuarantineFile('C:\TEMP\8723990\wdiskio.ppl','');
QuarantineFile('C:\TEMP\8723990\avzkrnl.dll','');
QuarantineFile('C:\TEMP\8723990\uniarc.ppl','');
QuarantineFile('C:\TEMP\8723990\minizip.ppl','');
QuarantineFile('C:\TEMP\8723990\mdb.ppl','');
QuarantineFile('C:\TEMP\8723990\msoe.ppl','');
QuarantineFile('C:\TEMP\8723990\mailmsg.ppl','');
QuarantineFile('c:\windows\nopor.sys','');
QuarantineFile('C:\TEMP\_uninst_85039680.bat','');
QuarantineFile('C:\Windows\system32\DRIVERS\9493773drv.sys','');
DeleteFile('C:\Windows\system32\DRIVERS\9493773drv.sys');
DeleteFile('c:\temp\rarsfx0\9493773.exe');
DeleteFile('c:\temp\8723990\9493773.exe');
DeleteFile('C:\TEMP\8723990\memmng.dll');
DeleteFile('C:\TEMP\8723990\prremote.dll');
DeleteFile('C:\TEMP\8723990\fssync.dll');
DeleteFile('C:\TEMP\8723990\Ushata.dll');
DeleteFile('C:\TEMP\8723990\CLLDR.DLL');
DeleteFile('C:\TEMP\8723990\prloader.dll');
DeleteFile('C:\TEMP\8723990\pxstub.ppl');
DeleteFile('C:\TEMP\8723990\params.ppl');
DeleteFile('C:\TEMP\8723990\propmap.ppl');
DeleteFile('C:\TEMP\8723990\nfio.ppl');
DeleteFile('C:\TEMP\8723990\fsdrvplg.ppl');
DeleteFile('C:\TEMP\8723990\filemap.ppl');
DeleteFile('C:\TEMP\8723990\mkavio.ppl');
DeleteFile('C:\TEMP\8723990\tm.ppl');
DeleteFile('C:\TEMP\8723990\bl.ppl');
DeleteFile('C:\TEMP\8723990\wmihlpr.ppl');
DeleteFile('C:\TEMP\8723990\regmap.ppl');
DeleteFile('C:\TEMP\8723990\thpimpl.ppl');
DeleteFile('C:\TEMP\8723990\ndetect.ppl');
DeleteFile('C:\TEMP\8723990\crpthlpr.ppl');
DeleteFile('C:\TEMP\8723990\dtreg.ppl');
DeleteFile('C:\TEMP\8723990\sfdb.ppl');
DeleteFile('C:\TEMP\8723990\schedule.ppl');
DeleteFile('C:\TEMP\8723990\timer.ppl');
DeleteFile('C:\TEMP\8723990\report.ppl');
DeleteFile('C:\TEMP\8723990\reportdb.ppl');
DeleteFile('C:\TEMP\8723990\icheck3.ppl');
DeleteFile('C:\TEMP\8723990\avs.ppl');
DeleteFile('C:\TEMP\8723990\avlib.ppl');
DeleteFile('C:\TEMP\8723990\avspm.ppl');
DeleteFile('C:\TEMP\8723990\dmap.ppl');
DeleteFile('C:\TEMP\8723990\qb.ppl');
DeleteFile('C:\TEMP\8723990\procmon.ppl');
DeleteFile('C:\TEMP\8723990\hashmd5.ppl');
DeleteFile('C:\TEMP\8723990\klsrlsvc.ppl');
DeleteFile('C:\TEMP\8723990\Bases\klavemu.kdl');
DeleteFile('C:\TEMP\8723990\Bases\kjim.kdl');
DeleteFile('C:\TEMP\8723990\Bases\mark.kdl');
DeleteFile('C:\TEMP\8723990\Bases\qscan.kdl');
DeleteFile('C:\TEMP\8723990\avpgui.ppl');
DeleteFile('C:\TEMP\8723990\basegui.ppl');
DeleteFile('C:\TEMP\8723990\winreg.ppl');
DeleteFile('C:\TEMP\8723990\Bases\kavsys.kdl');
DeleteFile('C:\TEMP\8723990\wdiskio.ppl');
DeleteFile('C:\TEMP\8723990\avzkrnl.dll');
DeleteFile('C:\TEMP\8723990\uniarc.ppl');
DeleteFile('C:\TEMP\8723990\minizip.ppl');
DeleteFile('C:\TEMP\8723990\mdb.ppl');
DeleteFile('C:\TEMP\8723990\msoe.ppl');
DeleteFile('C:\TEMP\8723990\mailmsg.ppl');
DeleteFile('c:\windows\nopor.sys');
DeleteFile('C:\TEMP\_uninst_85039680.bat');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
DeleteService('mkdrv');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Пожалуйста, подготовить новые логи с АВЗ и RSIT...!

10 октября, 2011

В процессе выполнения скрипта AVZ выскакивает синий экран, что-то про Dump physical memory и проблемы с nopor.sys. Перезагружается только через ресет.

10 октября, 2011

Philn,

скачайте OSAM

установите. запустите. дождитесь окончания сканирования.

в разделе Drivers найдите объект MKDRV

правый клик по нему - Turn run OFF

внизу справа нажмите Apply

вверху слева нажмите Save Log

перезагрузите компьютер.

полученный лог osam.html прикрепите к новому сообщению.

10 октября, 2011

Вроде все правильно сделал

osam.html

10 октября, 2011

Philn,

удалите остатки Kaspersky Virus Removal Tool с помощью утилиты из данной статьи в безопасном режиме.

Очистите временные файлы

Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner:

• скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

• если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

• нажмите No, если вы хотите оставить ваши сохраненные пароли

• если вы используете Opera, нажмите Opera - Select All - Empty Selected

нажмите No, если вы хотите оставить ваши сохраненные пароли.

сделайте новые логи AVZ

также не забудьте про рекомендацию icotonev'a

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

10 октября, 2011

Спасибо, после очистки через ATF антивирусы стали запускаться, MBAM удалил вирус, все заработало

10 октября, 2011

Philn,

это хорошо.

но нужны логи, чтобы знать наверняка, что всё удалилось.

2 лога AVZ + лог MBAM + 2 лога RSIT

Вирус не дает установить Касперского

Рекомендуемые сообщения

Philn

Ссылка на комментарий

Поделиться на другие сайты

icotonev

Ссылка на комментарий

Поделиться на другие сайты

Philn

Ссылка на комментарий

Поделиться на другие сайты

Roman_Five

Ссылка на комментарий

Поделиться на другие сайты

Philn

Ссылка на комментарий

Поделиться на другие сайты

Roman_Five

Ссылка на комментарий

Поделиться на другие сайты

Philn

Ссылка на комментарий

Поделиться на другие сайты

Roman_Five

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum