Вирус Trojan.Win32.Yakes.enyg блокирует установку KIS 2013

[zyablik]

Запущенный комп. CPU 2.4, RAM 504. Однозначно заражает флэшки вирусом Trojan.Win32.Yakes.enyg (на флэшках все имеющиеся папки и файлы скрываются с неснимаемыми атрибутами скрытости — в Total Commander'е снять можно разве что; вместо них появляются нескрытые одноименные ярлыки с предисполнением вируса, т.е. если открываем файл с флэшки — размножаем вирус с успехом; хотя флэшка заражается уже при вставке в USB). Вирус с флэшек легко удаляется на других компьютерах Касперским, атрибуты восстанавливаются с помощью всё того же Total Commander'а.
Но беда в другом: на сам зараженный компьютер Касперский /KIS2013/ не устанавливается (начинается всё хорошо, но на полпути /?/ требует перезагрузки, потом всё по-новой приходится начинать). Прогнал AVZ, ADW-Cleaner, MBAM'ом. ADW и MBAM чего-то находили. Но это не тот вирус (хотя папок "Карантин" они насоздавали): и после них вирус как жил, так и живёт. Сносить систему не охота, но, кажется, придется.
Спасибо.

virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log AdwCleanerS0.txt AdwCleanerR0.txt

Изменено 2 июля, 2014 пользователем zyablik

[SLASH_id]

Хелперы вам помогут, но сначала я бы прогнал машину через KRD.

[zyablik]

Хелперы вам помогут, но сначала я бы прогнал машину через KRD.

Что такое KRD? 

Kaspersky Removal Tools еще на той неделе носил (просто с CD запускал) — почему-то, как мне сказали, ничего не нашел. Самому было некогда тогда досмотреть. Сегодня уже комп притащили на мою голову 

Изменено 2 июля, 2014 пользователем zyablik

[SLASH_id]

Kaspersky Rescue Disk

Скачать, записать на диск, загрузиться, обновить базы если надо и провести скан дисков.

[mike 1]

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin

 ExecuteAVUpdate;

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

if not IsWOW64

  then

   begin

    SearchRootkit(true, true);

    SetAVZGuardStatus(true);

   end;

 ClearQuarantine;   

 QuarantineFile('C:\Documents and Settings\Obidina\Application Data\Identities\Ggtuta.exe','');

 QuarantineFile('C:\DOCUME~1\Obidina\LOCALS~1\Temp\Adobe\Reader_sl.exe','');

 DeleteFile('C:\DOCUME~1\Obidina\LOCALS~1\Temp\Adobe\Reader_sl.exe','32');

 DeleteFile('C:\Documents and Settings\Obidina\Application Data\Identities\Ggtuta.exe','32');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorporated');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ggtuta');           

BC_ImportAll;

ExecuteSysClean;

ExecuteWizard('SCU', 2, 2, true);

BC_Activate;

RebootWindows(false);

end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните скрипт из этой темы.

 

 

Сделайте новые логи

 

[zyablik]

... Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;   
 QuarantineFile('C:\Documents and Settings\Obidina\Application Data\Identities\Ggtuta.exe','');
 QuarantineFile('C:\DOCUME~1\Obidina\LOCALS~1\Temp\Adobe\Reader_sl.exe','');
 DeleteFile('C:\DOCUME~1\Obidina\LOCALS~1\Temp\Adobe\Reader_sl.exe','32');
 DeleteFile('C:\Documents and Settings\Obidina\Application Data\Identities\Ggtuta.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorporated');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ggtuta');           
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

Wow! Спасибо! После выполнения скриптов флэшки перестали заражаться ! Я ж до сих пор тот комп к локалке не подключил: вожусь туда-сюда с одной "жертвенной" флэшкой   , леча-перелечивая ея...

Остальное — уже завтра + попытка установки Касперского — тоже .

Изменено 2 июля, 2014 пользователем zyablik

[mike 1]

Хорошо ждем новые логи

Изменено 2 июля, 2014 пользователем mike 1

[zyablik]

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните скрипт из этой темы.

 

Сделайте новые логи

В вирусную лабораторию файл-архив отправлял, но он не дошел. По их рекомендации отправил с новым паролем.

Длинный скрипт выполнил. Возникли 2 reg-файла, попытаюсь их вложить. Ну и новый логи AVZ: virusinfo_syscure.zip virusinfo_syscheck.zip. Автокарантин.zip не отправляю. Папки Quarantine при создании логов на этот раз не возникло.

P.S. Reg-и вложить не даете — тогда вот архив: 2.rar   Oops: не заметил на Рабочем Столе (на нем нет места!):Correct_wuauserv&BITS.log!

-------------------

Ну   что-ты будешь делать, а?! Опять письмо из Лаборатории (Re: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0] [KLAN-1749235438]) с аналогичным ответом:

Здравствуйте,

...Отправленный Вами файл до нас не дошел. Возможно, он был вырезан антивирусом во время доставки.   Пожалуйста, вышлите экземпляр повторно, поместив его в архив с паролем infected.

С уважением, Лаборатория Касперского...

Изменено 3 июля, 2014 пользователем zyablik

[mike 1]

Логи RSIT где? 

[zyablik]

Логи RSIT где? 

Это: hijackthis.log ?

Нет? Здесь?

Скачал. Логи RSIT: info.txt и log.txt.

Изменено 3 июля, 2014 пользователем zyablik

[mike 1]

Это лог HiJackThis. Нужны логи RSIT. Инструкция здесь http://safezone.cc/threads/kak-podgotovit-logi-randoms-system-information-tool-rsit.389/

[zyablik]

Это лог HiJackThis. Нужны логи RSIT. Инструкция здесь http://safezone.cc/threads/kak-podgotovit-logi-randoms-system-information-tool-rsit.389/

Инструкцию не успел прочитать. Но логи в предыдущем сообчении.

[mike 1]

Логи в порядке.

 

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

[zyablik]

Логи в порядке.

• Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

SecurityCheck.txt

[mike 1]

Обновляйте:

 

 

Автоматическое обновление отключено (1)

Автоматическое обновление (wuauserv) - Служба остановлена

Восстановление системы отключено

-------------AntiVirusFirewallInstall-------------

Kaspersky Internet Security 2012 v.12.0.0.374 - актуальная версия 2014.

Kaspersky Internet Security 2011 v.11.0.2.556

-------------Java---------------------------------

Java 6 Update 21 v.6.0.210 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-7u60-windows-i586.exe)^

-------------AdobeProduction----------------------

Adobe Reader X (10.0.1) - Russian v.10.0.1 Внимание! Скачать обновления

-------------Browser------------------------------

Opera 11.10 v.11.10.2092 Внимание! Скачать обновления

 

Советы и рекомендации после лечения компьютера