Вирус не дает установить Касперского

[Philn]

Доброго времени суток, поймал вирус, который не дает установить Касперского и другие антивирусы (не дает обновиться через инет), блокирует доступ на Вконтакте и основные почтовые браузеры, при этом открывает окна в оформлении схожие с оформлением сайтов и предлагает выслать СМС с кодом...

 

Плюс к этому не открываются некоторые сайты, которые отлично открываются с незараженного компьютера

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

info.txt

[icotonev]

Здравствуйте..!

 

• Отключите временно:

Антивирус/Файерволл

 

• Скрипт AVZ.

Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('c:\temp\rarsfx0\9493773.exe');
TerminateProcessByName('c:\temp\8723990\9493773.exe');
StopService('mkdrv');
QuarantineFile('c:\temp\rarsfx0\9493773.exe','');
QuarantineFile('c:\temp\8723990\9493773.exe','');
QuarantineFile('C:\TEMP\8723990\memmng.dll','');
QuarantineFile('C:\TEMP\8723990\prremote.dll','');
QuarantineFile('C:\TEMP\8723990\fssync.dll','');
QuarantineFile('C:\TEMP\8723990\Ushata.dll','');
QuarantineFile('C:\TEMP\8723990\CLLDR.DLL','');
QuarantineFile('C:\TEMP\8723990\prloader.dll','');
QuarantineFile('C:\TEMP\8723990\pxstub.ppl','');
QuarantineFile('C:\TEMP\8723990\params.ppl','');
QuarantineFile('C:\TEMP\8723990\propmap.ppl','');
QuarantineFile('C:\TEMP\8723990\nfio.ppl','');
QuarantineFile('C:\TEMP\8723990\fsdrvplg.ppl','');
QuarantineFile('C:\TEMP\8723990\filemap.ppl','');
QuarantineFile('C:\TEMP\8723990\mkavio.ppl','');
QuarantineFile('C:\TEMP\8723990\tm.ppl','');
QuarantineFile('C:\TEMP\8723990\bl.ppl','');
QuarantineFile('C:\TEMP\8723990\wmihlpr.ppl','');
QuarantineFile('C:\TEMP\8723990\regmap.ppl','');
QuarantineFile('C:\TEMP\8723990\thpimpl.ppl','');
QuarantineFile('C:\TEMP\8723990\ndetect.ppl','');
QuarantineFile('C:\TEMP\8723990\crpthlpr.ppl','');
QuarantineFile('C:\TEMP\8723990\dtreg.ppl','');
QuarantineFile('C:\TEMP\8723990\sfdb.ppl','');
QuarantineFile('C:\TEMP\8723990\schedule.ppl','');
QuarantineFile('C:\TEMP\8723990\timer.ppl','');
QuarantineFile('C:\TEMP\8723990\report.ppl','');
QuarantineFile('C:\TEMP\8723990\reportdb.ppl','');
QuarantineFile('C:\TEMP\8723990\icheck3.ppl','');
QuarantineFile('C:\TEMP\8723990\avs.ppl','');
QuarantineFile('C:\TEMP\8723990\avlib.ppl','');
QuarantineFile('C:\TEMP\8723990\avspm.ppl','');
QuarantineFile('C:\TEMP\8723990\dmap.ppl','');
QuarantineFile('C:\TEMP\8723990\qb.ppl','');
QuarantineFile('C:\TEMP\8723990\procmon.ppl','');
QuarantineFile('C:\TEMP\8723990\hashmd5.ppl','');
QuarantineFile('C:\TEMP\8723990\klsrlsvc.ppl','');
QuarantineFile('C:\TEMP\8723990\Bases\klavemu.kdl','');
QuarantineFile('C:\TEMP\8723990\Bases\kjim.kdl','');
QuarantineFile('C:\TEMP\8723990\Bases\mark.kdl','');
QuarantineFile('C:\TEMP\8723990\Bases\qscan.kdl','');
QuarantineFile('C:\TEMP\8723990\avpgui.ppl','');
QuarantineFile('C:\TEMP\8723990\basegui.ppl','');
QuarantineFile('C:\TEMP\8723990\winreg.ppl','');
QuarantineFile('C:\TEMP\8723990\Bases\kavsys.kdl','');
QuarantineFile('C:\TEMP\8723990\wdiskio.ppl','');
QuarantineFile('C:\TEMP\8723990\avzkrnl.dll','');
QuarantineFile('C:\TEMP\8723990\uniarc.ppl','');
QuarantineFile('C:\TEMP\8723990\minizip.ppl','');
QuarantineFile('C:\TEMP\8723990\mdb.ppl','');
QuarantineFile('C:\TEMP\8723990\msoe.ppl','');
QuarantineFile('C:\TEMP\8723990\mailmsg.ppl','');
QuarantineFile('c:\windows\nopor.sys','');
QuarantineFile('C:\TEMP\_uninst_85039680.bat','');
QuarantineFile('C:\Windows\system32\DRIVERS\9493773drv.sys','');
DeleteFile('C:\Windows\system32\DRIVERS\9493773drv.sys');
DeleteFile('c:\temp\rarsfx0\9493773.exe');
DeleteFile('c:\temp\8723990\9493773.exe');
DeleteFile('C:\TEMP\8723990\memmng.dll');
DeleteFile('C:\TEMP\8723990\prremote.dll');
DeleteFile('C:\TEMP\8723990\fssync.dll');
DeleteFile('C:\TEMP\8723990\Ushata.dll');
DeleteFile('C:\TEMP\8723990\CLLDR.DLL');
DeleteFile('C:\TEMP\8723990\prloader.dll');
DeleteFile('C:\TEMP\8723990\pxstub.ppl');
DeleteFile('C:\TEMP\8723990\params.ppl');
DeleteFile('C:\TEMP\8723990\propmap.ppl');
DeleteFile('C:\TEMP\8723990\nfio.ppl');
DeleteFile('C:\TEMP\8723990\fsdrvplg.ppl');
DeleteFile('C:\TEMP\8723990\filemap.ppl');
DeleteFile('C:\TEMP\8723990\mkavio.ppl');
DeleteFile('C:\TEMP\8723990\tm.ppl');
DeleteFile('C:\TEMP\8723990\bl.ppl');
DeleteFile('C:\TEMP\8723990\wmihlpr.ppl');
DeleteFile('C:\TEMP\8723990\regmap.ppl');
DeleteFile('C:\TEMP\8723990\thpimpl.ppl');
DeleteFile('C:\TEMP\8723990\ndetect.ppl');
DeleteFile('C:\TEMP\8723990\crpthlpr.ppl');
DeleteFile('C:\TEMP\8723990\dtreg.ppl');
DeleteFile('C:\TEMP\8723990\sfdb.ppl');
DeleteFile('C:\TEMP\8723990\schedule.ppl');
DeleteFile('C:\TEMP\8723990\timer.ppl');
DeleteFile('C:\TEMP\8723990\report.ppl');
DeleteFile('C:\TEMP\8723990\reportdb.ppl');
DeleteFile('C:\TEMP\8723990\icheck3.ppl');
DeleteFile('C:\TEMP\8723990\avs.ppl');
DeleteFile('C:\TEMP\8723990\avlib.ppl');
DeleteFile('C:\TEMP\8723990\avspm.ppl');
DeleteFile('C:\TEMP\8723990\dmap.ppl');
DeleteFile('C:\TEMP\8723990\qb.ppl');
DeleteFile('C:\TEMP\8723990\procmon.ppl');
DeleteFile('C:\TEMP\8723990\hashmd5.ppl');
DeleteFile('C:\TEMP\8723990\klsrlsvc.ppl');
DeleteFile('C:\TEMP\8723990\Bases\klavemu.kdl');
DeleteFile('C:\TEMP\8723990\Bases\kjim.kdl');
DeleteFile('C:\TEMP\8723990\Bases\mark.kdl');
DeleteFile('C:\TEMP\8723990\Bases\qscan.kdl');
DeleteFile('C:\TEMP\8723990\avpgui.ppl');
DeleteFile('C:\TEMP\8723990\basegui.ppl');
DeleteFile('C:\TEMP\8723990\winreg.ppl');
DeleteFile('C:\TEMP\8723990\Bases\kavsys.kdl');
DeleteFile('C:\TEMP\8723990\wdiskio.ppl');
DeleteFile('C:\TEMP\8723990\avzkrnl.dll');
DeleteFile('C:\TEMP\8723990\uniarc.ppl');
DeleteFile('C:\TEMP\8723990\minizip.ppl');
DeleteFile('C:\TEMP\8723990\mdb.ppl');
DeleteFile('C:\TEMP\8723990\msoe.ppl');
DeleteFile('C:\TEMP\8723990\mailmsg.ppl');
DeleteFile('c:\windows\nopor.sys');
DeleteFile('C:\TEMP\_uninst_85039680.bat');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
DeleteService('mkdrv');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Отправьте на проверку Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

 

Пожалуйста, подготовить новые логи с АВЗ и RSIT...!

[Philn]

В процессе выполнения скрипта AVZ выскакивает синий экран, что-то про Dump physical memory и проблемы с nopor.sys. Перезагружается только через ресет.

[Roman_Five]

Philn,

 

скачайте OSAM

установите. запустите. дождитесь окончания сканирования.

в разделе Drivers найдите объект MKDRV

правый клик по нему - Turn run OFF

внизу справа нажмите Apply

вверху слева нажмите Save Log

перезагрузите компьютер.

полученный лог osam.html прикрепите к новому сообщению.

[Philn]

Вроде все правильно сделал

osam.html

[Roman_Five]

Philn,

удалите остатки Kaspersky Virus Removal Tool с помощью утилиты из данной статьи в безопасном режиме.

 

Очистите временные файлы

Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner:

• скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

• если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

• нажмите No, если вы хотите оставить ваши сохраненные пароли

• если вы используете Opera, нажмите Opera - Select All - Empty Selected

нажмите No, если вы хотите оставить ваши сохраненные пароли.

 

сделайте новые логи AVZ

 

также не забудьте про рекомендацию icotonev'a

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[Philn]

Спасибо, после очистки через ATF антивирусы стали запускаться, MBAM удалил вирус, все заработало

[Roman_Five]

Philn,

это хорошо.

но нужны логи, чтобы знать наверняка, что всё удалилось.

 

2 лога AVZ + лог MBAM + 2 лога RSIT