Philn Опубликовано 10 октября, 2011 Опубликовано 10 октября, 2011 Доброго времени суток, поймал вирус, который не дает установить Касперского и другие антивирусы (не дает обновиться через инет), блокирует доступ на Вконтакте и основные почтовые браузеры, при этом открывает окна в оформлении схожие с оформлением сайтов и предлагает выслать СМС с кодом... Плюс к этому не открываются некоторые сайты, которые отлично открываются с незараженного компьютера virusinfo_syscheck.zip virusinfo_syscure.zip log.txt info.txt
icotonev Опубликовано 10 октября, 2011 Опубликовано 10 октября, 2011 Здравствуйте..! • Отключите временно: Антивирус/Файерволл • Скрипт AVZ. Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится. begin SearchRootkit(true, true); SetAVZGuardStatus(True); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('c:\temp\rarsfx0\9493773.exe'); TerminateProcessByName('c:\temp\8723990\9493773.exe'); StopService('mkdrv'); QuarantineFile('c:\temp\rarsfx0\9493773.exe',''); QuarantineFile('c:\temp\8723990\9493773.exe',''); QuarantineFile('C:\TEMP\8723990\memmng.dll',''); QuarantineFile('C:\TEMP\8723990\prremote.dll',''); QuarantineFile('C:\TEMP\8723990\fssync.dll',''); QuarantineFile('C:\TEMP\8723990\Ushata.dll',''); QuarantineFile('C:\TEMP\8723990\CLLDR.DLL',''); QuarantineFile('C:\TEMP\8723990\prloader.dll',''); QuarantineFile('C:\TEMP\8723990\pxstub.ppl',''); QuarantineFile('C:\TEMP\8723990\params.ppl',''); QuarantineFile('C:\TEMP\8723990\propmap.ppl',''); QuarantineFile('C:\TEMP\8723990\nfio.ppl',''); QuarantineFile('C:\TEMP\8723990\fsdrvplg.ppl',''); QuarantineFile('C:\TEMP\8723990\filemap.ppl',''); QuarantineFile('C:\TEMP\8723990\mkavio.ppl',''); QuarantineFile('C:\TEMP\8723990\tm.ppl',''); QuarantineFile('C:\TEMP\8723990\bl.ppl',''); QuarantineFile('C:\TEMP\8723990\wmihlpr.ppl',''); QuarantineFile('C:\TEMP\8723990\regmap.ppl',''); QuarantineFile('C:\TEMP\8723990\thpimpl.ppl',''); QuarantineFile('C:\TEMP\8723990\ndetect.ppl',''); QuarantineFile('C:\TEMP\8723990\crpthlpr.ppl',''); QuarantineFile('C:\TEMP\8723990\dtreg.ppl',''); QuarantineFile('C:\TEMP\8723990\sfdb.ppl',''); QuarantineFile('C:\TEMP\8723990\schedule.ppl',''); QuarantineFile('C:\TEMP\8723990\timer.ppl',''); QuarantineFile('C:\TEMP\8723990\report.ppl',''); QuarantineFile('C:\TEMP\8723990\reportdb.ppl',''); QuarantineFile('C:\TEMP\8723990\icheck3.ppl',''); QuarantineFile('C:\TEMP\8723990\avs.ppl',''); QuarantineFile('C:\TEMP\8723990\avlib.ppl',''); QuarantineFile('C:\TEMP\8723990\avspm.ppl',''); QuarantineFile('C:\TEMP\8723990\dmap.ppl',''); QuarantineFile('C:\TEMP\8723990\qb.ppl',''); QuarantineFile('C:\TEMP\8723990\procmon.ppl',''); QuarantineFile('C:\TEMP\8723990\hashmd5.ppl',''); QuarantineFile('C:\TEMP\8723990\klsrlsvc.ppl',''); QuarantineFile('C:\TEMP\8723990\Bases\klavemu.kdl',''); QuarantineFile('C:\TEMP\8723990\Bases\kjim.kdl',''); QuarantineFile('C:\TEMP\8723990\Bases\mark.kdl',''); QuarantineFile('C:\TEMP\8723990\Bases\qscan.kdl',''); QuarantineFile('C:\TEMP\8723990\avpgui.ppl',''); QuarantineFile('C:\TEMP\8723990\basegui.ppl',''); QuarantineFile('C:\TEMP\8723990\winreg.ppl',''); QuarantineFile('C:\TEMP\8723990\Bases\kavsys.kdl',''); QuarantineFile('C:\TEMP\8723990\wdiskio.ppl',''); QuarantineFile('C:\TEMP\8723990\avzkrnl.dll',''); QuarantineFile('C:\TEMP\8723990\uniarc.ppl',''); QuarantineFile('C:\TEMP\8723990\minizip.ppl',''); QuarantineFile('C:\TEMP\8723990\mdb.ppl',''); QuarantineFile('C:\TEMP\8723990\msoe.ppl',''); QuarantineFile('C:\TEMP\8723990\mailmsg.ppl',''); QuarantineFile('c:\windows\nopor.sys',''); QuarantineFile('C:\TEMP\_uninst_85039680.bat',''); QuarantineFile('C:\Windows\system32\DRIVERS\9493773drv.sys',''); DeleteFile('C:\Windows\system32\DRIVERS\9493773drv.sys'); DeleteFile('c:\temp\rarsfx0\9493773.exe'); DeleteFile('c:\temp\8723990\9493773.exe'); DeleteFile('C:\TEMP\8723990\memmng.dll'); DeleteFile('C:\TEMP\8723990\prremote.dll'); DeleteFile('C:\TEMP\8723990\fssync.dll'); DeleteFile('C:\TEMP\8723990\Ushata.dll'); DeleteFile('C:\TEMP\8723990\CLLDR.DLL'); DeleteFile('C:\TEMP\8723990\prloader.dll'); DeleteFile('C:\TEMP\8723990\pxstub.ppl'); DeleteFile('C:\TEMP\8723990\params.ppl'); DeleteFile('C:\TEMP\8723990\propmap.ppl'); DeleteFile('C:\TEMP\8723990\nfio.ppl'); DeleteFile('C:\TEMP\8723990\fsdrvplg.ppl'); DeleteFile('C:\TEMP\8723990\filemap.ppl'); DeleteFile('C:\TEMP\8723990\mkavio.ppl'); DeleteFile('C:\TEMP\8723990\tm.ppl'); DeleteFile('C:\TEMP\8723990\bl.ppl'); DeleteFile('C:\TEMP\8723990\wmihlpr.ppl'); DeleteFile('C:\TEMP\8723990\regmap.ppl'); DeleteFile('C:\TEMP\8723990\thpimpl.ppl'); DeleteFile('C:\TEMP\8723990\ndetect.ppl'); DeleteFile('C:\TEMP\8723990\crpthlpr.ppl'); DeleteFile('C:\TEMP\8723990\dtreg.ppl'); DeleteFile('C:\TEMP\8723990\sfdb.ppl'); DeleteFile('C:\TEMP\8723990\schedule.ppl'); DeleteFile('C:\TEMP\8723990\timer.ppl'); DeleteFile('C:\TEMP\8723990\report.ppl'); DeleteFile('C:\TEMP\8723990\reportdb.ppl'); DeleteFile('C:\TEMP\8723990\icheck3.ppl'); DeleteFile('C:\TEMP\8723990\avs.ppl'); DeleteFile('C:\TEMP\8723990\avlib.ppl'); DeleteFile('C:\TEMP\8723990\avspm.ppl'); DeleteFile('C:\TEMP\8723990\dmap.ppl'); DeleteFile('C:\TEMP\8723990\qb.ppl'); DeleteFile('C:\TEMP\8723990\procmon.ppl'); DeleteFile('C:\TEMP\8723990\hashmd5.ppl'); DeleteFile('C:\TEMP\8723990\klsrlsvc.ppl'); DeleteFile('C:\TEMP\8723990\Bases\klavemu.kdl'); DeleteFile('C:\TEMP\8723990\Bases\kjim.kdl'); DeleteFile('C:\TEMP\8723990\Bases\mark.kdl'); DeleteFile('C:\TEMP\8723990\Bases\qscan.kdl'); DeleteFile('C:\TEMP\8723990\avpgui.ppl'); DeleteFile('C:\TEMP\8723990\basegui.ppl'); DeleteFile('C:\TEMP\8723990\winreg.ppl'); DeleteFile('C:\TEMP\8723990\Bases\kavsys.kdl'); DeleteFile('C:\TEMP\8723990\wdiskio.ppl'); DeleteFile('C:\TEMP\8723990\avzkrnl.dll'); DeleteFile('C:\TEMP\8723990\uniarc.ppl'); DeleteFile('C:\TEMP\8723990\minizip.ppl'); DeleteFile('C:\TEMP\8723990\mdb.ppl'); DeleteFile('C:\TEMP\8723990\msoe.ppl'); DeleteFile('C:\TEMP\8723990\mailmsg.ppl'); DeleteFile('c:\windows\nopor.sys'); DeleteFile('C:\TEMP\_uninst_85039680.bat'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); DeleteService('mkdrv'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После всех процедур выполните скрипт begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Пожалуйста, подготовить новые логи с АВЗ и RSIT...!
Philn Опубликовано 10 октября, 2011 Автор Опубликовано 10 октября, 2011 В процессе выполнения скрипта AVZ выскакивает синий экран, что-то про Dump physical memory и проблемы с nopor.sys. Перезагружается только через ресет.
Roman_Five Опубликовано 10 октября, 2011 Опубликовано 10 октября, 2011 Philn, скачайте OSAM установите. запустите. дождитесь окончания сканирования. в разделе Drivers найдите объект MKDRV правый клик по нему - Turn run OFF внизу справа нажмите Apply вверху слева нажмите Save Log перезагрузите компьютер. полученный лог osam.html прикрепите к новому сообщению.
Philn Опубликовано 10 октября, 2011 Автор Опубликовано 10 октября, 2011 Вроде все правильно сделал osam.html
Roman_Five Опубликовано 10 октября, 2011 Опубликовано 10 октября, 2011 Philn, удалите остатки Kaspersky Virus Removal Tool с помощью утилиты из данной статьи в безопасном режиме. Очистите временные файлы Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner: • скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. • если вы используете Firefox, нажмите Firefox - Select All - Empty Selected • нажмите No, если вы хотите оставить ваши сохраненные пароли • если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли. сделайте новые логи AVZ также не забудьте про рекомендацию icotonev'a Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Philn Опубликовано 10 октября, 2011 Автор Опубликовано 10 октября, 2011 Спасибо, после очистки через ATF антивирусы стали запускаться, MBAM удалил вирус, все заработало
Roman_Five Опубликовано 10 октября, 2011 Опубликовано 10 октября, 2011 Philn, это хорошо. но нужны логи, чтобы знать наверняка, что всё удалилось. 2 лога AVZ + лог MBAM + 2 лога RSIT
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти