eKAV "antivirus"

[EMZ1T]

Здраствуйте.
Каким то образом неожиданно подцепил вечером, 6 числа эту дрянь.
Все стандартно - всплывающее и не убирающиеся окошко с "антивирусом", просьба отослать смс с текстом на номер 4460.

он заблокировал мне все защитные программы, в интернет с браузера пускал, но при попытке попасть на сайт со словами "вирус, антивирус", на сайты антивирусных компаний - браузер моментально вылетал и возникало окошко.

Я зашел сюда через программу для сайта вконтакте, он её за браузер не считает и не блокирует.

прочитал что мне нужно делать - в первую очередь я скачал Kaspersky rescue disk, записал на диск его.
Базы были от 5 января там.

Сделал полную проверку с этого диска, он нашел какие то трояны и грохнул их, но как оказалось это не то. Обновить его с его работающего режима я не имел возможности, тк там нет интернета.

После этого я перешел к скачке Kaspersky Virus Removal Tool, при нажатии на Скачать программа для контакта вылетала и вылазило старое окошко вируса.

Вчера я скачал последний Kaspersky Virus Removal Tool с другого компьютера, закинул на флешку, вставил ее в свой комп, скопировал на жесткий диск, попытался запустить и ничего...
Установить его мне не давал вирус, переименовка в game.pif тоже не дала результата - двойной шелчок по значку программы и больше ничего.

После этого я скачал DrWeb Life CD, сделал сканирование(7 часовое) и текстовом(безопасном) режиме ( графический почему то не запускался)

Он тоже ничего не выявил.

Я пытался вычислить и грохнуть процесс, запущенный вирусом, но диспетчер задач был заблокирован.

Подборка кода(на этом сайте варианты расчета кода смотрел), что я должен получить в ответ на смс не сработала, все неверно.

Подборщик на сайте Касперского в ответ на введенный мною номер и текст, что надо отослать, выдал мне код, но и он не подошел.

Восстановление системы у меня отключено было.

Я частично решил проблему, поставив в Биосе дату 5 января.
Назойливый баннер исчез, антивирусные сайты разблокировались.
В данный момент пишу с Оперы.
но система там и осталась частично заблокированна, диспетчер задач не работал, антивирус и другие программы не запускались.

я скачал и запустил AVZ, обновил его базы, сделал проверку системы.

Скачал Dr Web CureIT, в появившимся окне нажал на пуск.

и все это с датой 5 января, поскольку при возвращении к сегодняшней дате, ни одна из этих программ не запускалась, при моём заходе в папку с AVZ, компьютер уходил сразу в перезагрузку.

AVZ при проверке разблокировал мне диспетчер задач, теперь он работает.

Я сделал логи проверки ( при работе системы 5 января, при нормальной дате это все не запускается даже)

Скачал HijackThis, но при запуске выдает что приложению не удалось запуститься, тк MSVBVM60.DLL не был найден.
В скаченном архиве, где он переименован тоже самое.

не знаю что с ним делать, от него логов нет.

у меня есть вероятный выход из ситуации - вернуть обычную дату в биосе, отсоеденить жесткие диски,подсоеденить к чистому компьютеру и выполнить с него полную проверку и лечение.

Или можно как то иначе?
Помогите решить проблему с надоедливым вирусом, логи AVZ:

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\help\cpanel.chq:W9DCWqJ:$DATA','');
 QuarantineFile('C:\WINDOWS\Help\cpanel.chq:W9DCWqJ','');
 DeleteFile('C:\WINDOWS\Help\cpanel.chq:W9DCWqJ');
 DeleteFile('c:\windows\help\cpanel.chq:W9DCWqJ:$DATA');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(17);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=66532).

Отключите восстановление системы.

Сделайте новые логи + лог gmer.

[EMZ1T]

Все выполнил, выкладываю логи
Лог программы gmer занимает 1.14мб, странно, для текстового файла это невероятно много.
Заархивировал его, стал 26,9 кб, выкладываю в виде архива winrar

[thyrex]

Сохраните текст ниже как cleanup.bat в ту же папку, где находится pj38jyii.exe (gmer)

Код:

pj38jyii.exe -del service qxawsemb
pj38jyii.exe -del file "C:\WINDOWS\system32\uibudqew.dll"
pj38jyii.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\qxawsemb"
pj38jyii.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\qxawsemb"
pj38jyii.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\qxawsemb"
pj38jyii.exe -reboot

И запустите cleanup.bat.
Компьютер перезагрузится!

Сделать новый лог gmer.

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\020.tmp','');
 DeleteService('rnwctkuy');
 DeleteFile('C:\WINDOWS\system32\020.tmp');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'C:\WINDOWS\Help\cpanel.chq:W9DCWqJ', ''), ',,', ','));
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

>> Заблокированы настройки системы System Restore

Исправьте через AVZ - Файл - Мастер поиска и устранения проблем - Все проблемы - отметить указанное - Исправить

Новый лог virusinfo_syscheck.zip также сделайте

[EMZ1T]

все выполнил

после выполнения скрипта в AVZ пришлось перезагружать самому, тк после окончания выполнения работы программа выдала мне какое то сообщение.

[thyrex]

Скрипт для gmer почему не выполнили?

[EMZ1T]

Сохраните текст ниже как cleanup.bat в ту же папку, где находится pj38jyii.exe (gmer)

это?

выполнил, возникло системное окошко, где то на секунду возникло синее окно и компьютер перезагрузился.

или лог не до конца собран?

еще раз сделал, лог собираю

вот новый лог

[EMZ1T]

На моем компьютере настало 8 число(прошло 3 дня с моменты смены даты на 5), зашел на сайт, меня выкинуло с браузера, сразу понял что "пришло время" вируса, хотя окно не появилось

Зашел в папку с AVZ - перезагрузка.
снова вернул дату на 5 число, чтобы система могла нормально функционировать.
обновил базы AVZ, решил проблемы ( включил реестр например), сделал проверку.

но 8 числа блокировка системы вернется.

еще мне в лс пришло вот такое письмо:

клиент зацепил седня этот вирус, после нескольких вводов кодов окно исчезло, но ниодна прога не запускалась, AVZ удаляла с флешки и комп уходил в ребут
Решение:
1. из под ERD
http://torrents.ru/forum/viewtopic.php?t=367816
с помощью AVZ нашел 3 трояна, удалил
2. очистил папки Temp у всех юзеров в C:\Documents and Settings
3. в реестре очистил значение параметра AppInit_DLLs
в ветке HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
4. ребут, все программы запускаются, переустановка антивируса, установка Spybot S&D

ваше мнение - совет действенный?
я уже читал про AppInit_DLLs в HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, поэтому этот параметр я очистил. и через AVZ папку Temp
больше ничего из этого совета пока не предпринимал

[миднайт]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('rnwctkuy');
 QuarantineFile('C:\WINDOWS\system32\020.tmp','');
 DeleteFile('C:\WINDOWS\system32\020.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
 BC_DeleteSvc('rnwctkuy'); 
BC_Activate;
RebootWindows(true);
end.

Повторите лог virusinfo_syscheck.zip и gmer.

[EMZ1T]

от 5 января скачал демонстрационную версию Dr.Web 5.0, обновил базы, перешел через биос на сегодняшнюю дату, 12 января.

антивирус работал, вирус его не блокировал, выполнил быструю проверку, ничего не нашел он.

на этот сайт зайти не удалось - вылет браузера и появилось окно.
Все тоже самое, только вирус теперь именует себя Internet Security
Сейчас снова вернулся(дата 6 января) - антивирус недоумевает по поводу расхождения даты на компьютере и даты обновления баз, пишет что ключ еще не вступил в действие.

диспетчер задач, реестр, system restore вновь оказались заблокированны, вновь исправил эти проблемы через AVZ.
значение параметра AppInit_DLLs в HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion снова вернулось на старое, пока что не трогаю его, жду ваших указаний.

в данный момент выполняю полную проверку Доктором Вебом

P.S. пока печатал, вы уже ответили

[EMZ1T]

вот, выполнил

[миднайт]

В AVZ выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\atapi.sys','');
 QuarantineFile('c:\windows\m3jpeg.ini:W9DCWqJ:$DATA','');
 QuarantineFile('C:\WINDOWS\m3jpeg.ini:W9DCWqJ','');
 DeleteFile('C:\WINDOWS\m3jpeg.ini:W9DCWqJ');
 DeleteFile('c:\windows\m3jpeg.ini:W9DCWqJ:$DATA');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyStrParamWrite('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(StringReplace(RegKeyStrParamRead('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'C:\WINDOWS\m3jpeg.ini:W9DCWqJ', ''), ',,', ','));
ExecuteRepair(6);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteWizard('TSW',2,2,true);
SetAVZPMStatus(True);
RebootWindows(true);
end.

После перезагрузки

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи.

[EMZ1T]

Сделал, отослал, логи AVZ выполнил, прикрепил
лог gmer нужен?

[миднайт]

Похоже что убили
Сделайте контрольный лог gmer на всякий случай.

[EMZ1T]

вот лог

посмотрю что будет 8 числа, когда вирус должен заработать

[EMZ1T]

По моей дате наступило 10 число - при заходе сюда выкинуло из браузера, при заходе в AVZ перезагрузка.

значит вирус еще не добит до конца.

окно не всплывало.
поставил 7 января сейчас

[Bratez]

В последних логах было чисто.
Попробуйте поставить дату более позднюю, например март месяц, перезагрузиться и так сделать логи.

[EMZ1T]

Ставил 16 марта, при заходе в Оперу вылезло "Internet Security"
более поздняя дата не помогает.

При возвращении к 7 числу системе вновь потребовалась разблокировка через AVZ

Добавлено через 48 минут

с 7 января скачал генератор паролей, 16 января вызвал окошко, подошел второй пароль - 5538247733 ( номер 4460, код к205814400), комп перезагрузился, все сразу заработало.

но думаю следы от вируса остались, надо дочищать

выкладывать логи с уже нормальной датой и работой системы?

[pig]

Да, делайте.

[EMZ1T]

логи AVZ