KIS 2009 не может удалить Heur.Trojan.Generic

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Изменено 24 марта, 2009 пользователем MedvedevUnited

24 марта, 2009

проверте на virustotal.com

C:\WINDOWS\system32\ihpqkd.dll
C:\WINDOWS\system32\kvmkmz.dll
C:\WINDOWS\system32\ulmbkg.dll

Да и грохните пока троянчика

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
TerminateProcessByName('rxxixy.dll');
DeleteFile('rxxixy.dll');
BC_DeleteFile('rxxixy.dll');
BC_QrSvc('rxxixy.dll');
BC_DeleteSvc('rxxixy.dll');
ExecuteSysClean;
RebootWindows(true);
end.

потом

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Карантин отправить на newvirus@kaspersky.com

Изменено 24 марта, 2009 пользователем User

24 марта, 2009

проверте на virustotal.com

C:\WINDOWS\system32\ihpqkd.dll
C:\WINDOWS\system32\kvmkmz.dll
C:\WINDOWS\system32\ulmbkg.dll

Антивирус Версия Обновление Результат

a-squared 4.0.0.101 2009.03.23 Trojan.Win32.Monderb!IK

AhnLab-V3 5.0.0.2 2009.03.23 -

AntiVir 7.9.0.120 2009.03.23 TR/Vundo.Gen

Authentium 5.1.2.4 2009.03.23 -

Avast 4.8.1335.0 2009.03.23 -

AVG 8.5.0.283 2009.03.23 Generic13.IQX

BitDefender 7.2 2009.03.23 Trojan.Vundo.GKB

CAT-QuickHeal 10.00 2009.03.23 -

ClamAV 0.94.1 2009.03.23 -

Comodo 1080 2009.03.22 -

DrWeb 4.44.0.09170 2009.03.23 Trojan.Juan.86

eSafe 7.0.17.0 2009.03.23 Suspicious File

eTrust-Vet 31.6.6412 2009.03.23 -

F-Prot 4.4.4.56 2009.03.23 -

F-Secure 8.0.14470.0 2009.03.23 -

Fortinet 3.117.0.0 2009.03.23 W32/Vundo.W!tr

GData 19 2009.03.23 Trojan.Vundo.GKB

Ikarus T3.1.1.48.0 2009.03.23 Trojan.Win32.Monderb

K7AntiVirus 7.10.678 2009.03.21 Trojan.Win32.Malware.3

Kaspersky 7.0.0.125 2009.03.23 -

McAfee 5561 2009.03.22 Vundo.gen.w

McAfee+Artemis 5561 2009.03.22 Vundo.gen.w

McAfee-GW-Edition 6.7.6 2009.03.23 Trojan.Vundo.Gen

Microsoft 1.4502 2009.03.23 Trojan:Win32/Vundo.gen!BB

NOD32 3953 2009.03.21 -

Norman 6.00.06 2009.03.20 -

nProtect 2009.1.8.0 2009.03.23 -

Panda 10.0.0.10 2009.03.22 Trj/CI.A

PCTools 4.4.2.0 2009.03.23 -

Prevx1 V2 2009.03.23 High Risk Fraudulent Security Program

Rising 21.22.02.00 2009.03.23 Trojan.Win32.Nodef.gjs

Sophos 4.39.0 2009.03.23 Troj/Virtum-Gen

Sunbelt 3.2.1858.2 2009.03.22 Virtumonde

Symantec 1.4.4.12 2009.03.23 Trojan Horse

TheHacker 6.3.3.4.287 2009.03.23 -

TrendMicro 8.700.0.1004 2009.03.23 PAK_Generic.001

VBA32 3.12.10.1 2009.03.23 -

ViRobot 2009.3.23.1660 2009.03.23 -

VirusBuster 4.6.5.0 2009.03.22 Trojan.Vundo.Gen!Pac.27

Изменено 24 марта, 2009 пользователем Muaddib

24 марта, 2009

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Startup.cpl','');
DelBHO('{83D1E6A7-4759-4DBD-8BFF-377A59FAFD29}');
DelBHO('{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}');
QuarantineFile('C:\WINDOWS\system32\drivers\restore.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
QuarantineFile('C:\WINDOWS\System32\ulmbkg.dll','');
QuarantineFile('C:\WINDOWS\System32\rxxixy.dll','');
QuarantineFile('C:\WINDOWS\system32\mlJAsQjJ.dll','');
QuarantineFile('C:\WINDOWS\System32\llduhy.dll','');
QuarantineFile('C:\WINDOWS\System32\jdfgzw.dll','');
QuarantineFile('C:\WINDOWS\System32\ihpqkd.dll','');
QuarantineFile('C:\WINDOWS\System32\gldajw.dll','');
QuarantineFile('C:\WINDOWS\system32\ddcYpMGX.dll','');
DeleteFile('C:\WINDOWS\system32\ddcYpMGX.dll');
DeleteFile('C:\WINDOWS\System32\gldajw.dll');
DeleteFile('C:\WINDOWS\System32\ihpqkd.dll');
DeleteFile('C:\WINDOWS\System32\jdfgzw.dll');
DeleteFile('C:\WINDOWS\System32\llduhy.dll');
DeleteFile('C:\WINDOWS\system32\mlJAsQjJ.dll');
DeleteFile('C:\WINDOWS\System32\rxxixy.dll');
DeleteFile('C:\WINDOWS\System32\ulmbkg.dll');
DeleteFile('C:\WINDOWS\system32\drivers\restore.sys');
BC_ImportDeletedList;
BC_DeleteSvc('restore');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес В теле письма укажите ссылку на тему.

2.Пофиксить в HijackThis следующие строчки

R3 - URLSearchHook: (no name) - - (no file)

Повторите логи.

Изменено 24 марта, 2009 пользователем wise-wistful

24 марта, 2009

логи

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

24 марта, 2009

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\kvmkmz.dll','');
DeleteFile('C:\WINDOWS\System32\kvmkmz.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

2.Пофиксить в HijackThis следующие строчки

O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\mlJAsQjJ.dll (file missing)
O2 - BHO: (no name) - {83D1E6A7-4759-4DBD-8BFF-377A59FAFD29} - C:\WINDOWS\system32\ddcYpMGX.dll (file missing) 
O20 - Winlogon Notify: mlJAsQjJ - mlJAsQjJ.dll (file missing)

Повторите логи.

Изменено 24 марта, 2009 пользователем wise-wistful

24 марта, 2009

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

24 марта, 2009

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\kvmkmz.dll','');
DeleteFile('C:\WINDOWS\System32\kvmkmz.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

2.Пофиксить в HijackThis следующие строчки
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\mlJAsQjJ.dll (file missing)
O2 - BHO: (no name) - {83D1E6A7-4759-4DBD-8BFF-377A59FAFD29} - C:\WINDOWS\system32\ddcYpMGX.dll (file missing) 
O20 - Winlogon Notify: mlJAsQjJ - mlJAsQjJ.dll (file missing)
Повторите логи.

mbam_log_2009_03_24__20_09_54_.txt

24 марта, 2009

Пуск-выполнить regedit нажмите OK. Найдите HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, выбирете параметр AppInit_DLLs и удалите от-туда l2walker.dll,kvmkmz.dll ihpqkd.dll,rxxixy.dll ulmbkg.dll, gldajw.dll llduhy.dll jdfgzw.dll оставьте только параметры связанные с касперским c:\progra~1\kasper~1\kasper~2\mzvkbd3.dll,c:\progra~1\kasper~1\kasper~2\adialhk.dll,c:\progra~1\kasper~1\kasper~2\kloehk.dll после этого сделайте стандартный скрипт 2 в АВЗ и лог HJT.

24 марта, 2009

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

+ повторный лог после перезагрузки!

Пуск-выполнить regedit нажмите OK. Найдите HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, выбирете параметр AppInit_DLLs и удалите от-туда l2walker.dll,kvmkmz.dll ihpqkd.dll,rxxixy.dll ulmbkg.dll, gldajw.dll llduhy.dll jdfgzw.dll оставьте только параметры связанные с касперским c:\progra~1\kasper~1\kasper~2\mzvkbd3.dll,c:\progra~1\kasper~1\kasper~2\adialhk.dll,c:\progra~1\kasper~1\kasper~2\kloehk.dll после этого сделайте стандартный скрипт 2 в АВЗ и лог HJT.

regedit не хочет запускаться

"Приложение небыло запущенно,поскольку оно некорректно настроенно.Повторная установка приложения может реить данную пробелму"

mbam_log_2009_03_24__20_23_07_.txt

Изменено 24 марта, 2009 пользователем Muaddib

24 марта, 2009

в AVZ =>Восстановление Системы=> выбрать 6 и 17 пунткты => выполнить отмеченные операций

24 марта, 2009

Проснулся МБАМ

Посмотрите есть эти файлы?

C:\WINDOWS\system32\etnkxuap.dll
C:\WINDOWS\system32\tvwilvae.dll

C:\WINDOWS\system32\nyytdwwf.dll

C:\WINDOWS\system32\hvquuwec.dll

C:\WINDOWS\system32\qvrdnnui.dll

C:\Program Files\VnrPack\trgts.gz

C:\WINDOWS\system32\afisicx.exe

C:\WINDOWS\system32\comsa32.sys

C:\WINDOWS\system32\3.tmp

25 марта, 2009

в AVZ =>Восстановление Системы=> выбрать 6 и 17 пунткты => выполнить отмеченные операций

не помогло

Проснулся МБАМ
Посмотрите есть эти файлы?

нету этих фалов

26 марта, 2009

regedit не хочет запускаться

Выложите принт скрин, какая ошибка выскакивает.

6 апреля, 2009

Помогите плиз все опять вернулось опять тот же вирус!