Поиски вируса: всплывающее окно с информацией о мониторе

[Tibatim]

Я удивлён что за вирус у меня появился на системе Win7 X64 и как с ним бороться? Понял, что компу требуется помощь специалиста.

 

Всплывающее окно (2 на 7 см примерно) просто мешает работать загораживая собой. Удивительно что информацию о мониторе пишет, по-моему, правильную. Действительно, такая модель, серийник правда не сверял.

Всплывающее чуть прозрачное серое окно, очевидно вируса, располагается по центру экрана, исчезает/появляется, информация о мониторе (заканчивается четвёртой строчкой - когда сделан MANUFACTURED: 2005-43) чередуется c настройками с бегающим выделением по настройкам. Но не всегда выскакивают настройки, и само окно не всегда, как будто следует периодам времени когда атаковать.

 

Я пока что сделал следующее. 1. Прогнал Internet Security 2012 on-line. Окно пропало, но через несколько часов опять появилось, т.е. мешает работать, располагаясь поверх всех окон.

2. Отключил восстановление системы.

3. Скачал AVZ, т.е. буду завтра выполнять правила http://forum.kasperskyclub.ru/index.php?showtopic=1698

 

Правильны ли мои действия? Возможно, существует другой алгоритм действий против всплывающих окон, и существуют обсуждения на подобную тему?

[Roman_Five]

Правильны ли мои действия?

почти. можно было и сегодня.

завтра выполнять правила http://forum.kasperskyclub.ru/index.php?showtopic=1698

[Tibatim]

почти. можно было и сегодня.

Вот вкладываю в сообщение файлы логов

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[Tibatim]

Думаю, вирус какой-то злостный т.к.:

1) нельзя даже точно сказать к какой категории он принадлежит, "ограничивающий работу ОС";

2) не исчезает при выполнении скриптов упомянутых правил;

3) вытаскивает верное инфо монитора и кладёт поверх всех окон;

4) сам себе включается и отключается периодически.

[Roman_Five]

Tibatim,

у Вас в данный момент установлен KIS 2012, ESET NOD и Kaspersky Virus Removal Tool.

деинсталлируйте Kaspersky Virus Removal Tool с помощью утилиты из данной статьи в безопасном режиме, а также обязательно либо KIS 2012 либо ESET NOD (необходимо оставить только один).

если деинсталляция не происходит - напишите.

 

Вы используете на компьютере какие-либо устройства от Apple?

если да - переустановите программу bonjour (установится при инсталляции такого ПО, как iTunes или Photoshop)

если нет - деинсталлируйте её (если через установка/удаление программ не получается - воспользуйтесь рекомендацией)

при этом выборе скачайте утилиту http://cexx.org/LSPFix.exe (но не запускайте!)

ЕСЛИ после удаления bonjour service пропал internet:

Раскрывающийся текст:

Открываем lsp-fix, ставим галочку напротив «I know what i`m doing…». В нижней части окна видим список из нескольких файлов. Выделяем mdnsnsp.dll и перемещаем его в правую сторону – для этого нажимаем кнопку «>>». После нажимаем «Finish>>», перезагружаемся.

или

выполните скрипт в AVZ:

begin 
AutoFixSPI;
RebootWindows(false);
end.

 

 

нажмите на клавиатуре Win+R

msconfig

автозагрузка

временно снимите галочки напротив таких пунктов:

SwitchBoard
AdobeCS5ServiceManager
AdobeCS5.5ServiceManager
BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}
DiskControl

примените изменения. перезагрузите компьютер.

что с всплывающим окошком?

 

Очистите временные файлы

Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner:

• скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

• если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

• нажмите No, если вы хотите оставить ваши сохраненные пароли

• если вы используете Opera, нажмите Opera - Select All - Empty Selected

нажмите No, если вы хотите оставить ваши сохраненные пароли.

 

Сделайте новые логи по правилам!

+

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы.

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

[Tibatim]

Roman_Five

Спасибо за внимание.

 

Попробовал в защищённом режиме удалить Virus removal Tool, но деинсталирующая утилита его не увидела, а предложила удалить KIS 2912, его и удалил. В Програмах и компонентах, нигде сейчас пока не могу найти Kaspersky Virus Removal Tool чтобы его удалить.

Вы используете на компьютере какие-либо устройства от Apple?

Программу bonjour нигде не вижу, хотя Photoshop CS5 установлен.

iTunes похоже также нет сейчас установленного. Но QuickTime я устанавливал. Такой плеер часто пригождается при проигрывании формата mov, если не ошибаюсь. Родной медиаплеер проигрывает сейчас mov значит QuickTime от Apple оставить?

Далее, в AVZ скрипты, как вы мне пишете, всё таки выполнить? Надо ли воспользоваться LSPFix.exe - утилитой? Продолжать ли искать Virus removal Tool?

А в отношении bonjour - нет её и нет?

Немного уточнил на промежуточном этапе чтобы не запутаться.

[Roman_Five]

QuickTime от Apple оставить?

да.

А в отношении bonjour - нет её и нет?

есть, но криво установлена.

предложила удалить KIS 2912, его и удалил

т.е сейчас у Вас защитное ПО - от ESET

Попробовал в защищённом режиме удалить Virus removal Tool, но деинсталирующая утилита его не увидела

можно было выбрать "Все продукты ЛК" - но пока воздержитесь. после новых логов я скажу - надо или нет.

Далее, в AVZ скрипты, как вы мне пишете, всё таки выполнить?

если не используете айфон или айпад - то ДА.

Надо ли воспользоваться LSPFix.exe - утилитой?

ТОЛЬКО если пропадёт нет.

 

жду новых логов

 

...

временно снимите галочки напротив таких пунктов:

...

что с окном?

[Roman_Five]

окошко похоже на это?

[Tibatim]

Roman_Five

 

окошко похоже на это?

Да, похоже. Справа ещё в котором мелькают настройки как если бы перебирать но не выбирать.

 

временно снимите галочки напротив таких пунктов:

Сначала окна остались. Мелькали в них позиции с большей скоростью. Не пропало ни центральное окно, ни боковое окно. В нём то и мелькали с большой скоростью закладки. Монитор на нажатия кнопок ручных настроек не реагирует.

По мере выполнения последующих процедур окна пропали, но уже такое раньше было, так что не уверен когда они появятся снова.

Мог поторопиться - на выходных будет мало времени, но затем снова сделаю логи.

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

info.txt

mbam_log_2011_10_13__20_05_30_.txt

Изменено 13 октября, 2011 пользователем Tibatim

[Roman_Five]

проверьте на virustotal.com следующий файл:

e:\films_frdownloads\patch.exe

ссылку на результат проверки приложите

 

Удалите в MBAM ТОЛЬКО следующие объекты:

Зараженные файлы:
d:\system volume information\_restore{b9361e2d-556e-4bd3-8bc2-e6630c92fd59}\RP150\A0045840.exe (Trojan.Downloader) -> No action taken.
e:\system volume information\_restore{3c54f329-f8a9-49bd-bff4-9ac4eaf624d7}\RP64\A0013077.exe (Trojan.Agent.CK) -> No action taken.
e:\system volume information\_restore{3c54f329-f8a9-49bd-bff4-9ac4eaf624d7}\RP64\A0013079.exe (Trojan.Agent.CK) -> No action taken.
e:\system volume information\_restore{3c54f329-f8a9-49bd-bff4-9ac4eaf624d7}\RP64\A0013083.exe (Trojan.Agent.CK) -> No action taken.

крэки - на Ваше усмотрение.

 

 

 

 

 

Да, похоже.

похоже на глюк кнопок монитора. обращайтесь в сервисный центр.

 

можно было выбрать "Все продукты ЛК" - но пока воздержитесь. после новых логов я скажу - надо или нет.

надо. драйвер KVRT на месте. может конфликтовать с ESET Smart Security

когда воспользуетесь утилитой - сделайте ещё раз логи AVZ