Цепная Реакция

[Weather]

Ребят, я в "эти дни" в интернет хожу:
Подключаюсь - в свою тему - закрываю подключение, пишу мессаг - подключаюсь - отправляю - отключаюсь

Логи прикрепляю, смотрите. А сам занимаюсь попытками установки антивируса...

[Weather]

Цитата:

Сообщение от V_Bond

через шары
давайте так ...

Эээ...)

А сеть у меня используется только во время соединения с интернетом. Без подключения через нее передается конечно какойто трафик, но мизерный и через временные промежутки (скорее всего для поддержания связи). Если из телефонной розетки выдернуть шнур, то она упадет
Могу ее тоже отключать на то время, что не нахожусь в интернете (если посоветуете)

[V_Bond]

выполните скрипт....

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\WINDOWS\system32\drivers\evojll.sys');
 DeleteFile('C:\WINDOWS\system32\vg109974.dll');
 DeleteFile('C:\WINDOWS\system32\vg109974.bak');     
 BC_ImportDeletedList;
 BC_DeleteSvc('evojll');
 BC_Activate;
 RebootWindows(true);
end.

повторите лог ...

[Weather]

Попытка установки Symantec Client Security:
Как и пару дней назад установка прекратилась на "запуске служб" - "убедитесь, что у вас достаточно прав для запуска системных служб". Из другого администраторского профиля установить удалось, но чувствуется, что ущербно - фаер не запустился, лайвапдейт не работает, Intelligent Updater якобы обновляет, но дата баз в программе остается той же, только что всплыло сообщение об отключении автоматической защиты.

Новые логи... (По - моему ничего не изменилось)

[V_Bond]

выполните скрипт ....

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\winachcf.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\evojll.sys');
 DeleteFile('C:\WINDOWS\system32\vg109974.dll');
 DeleteFile('C:\WINDOWS\system32\vg109974.bak');     
 BC_Importall;
 BC_DeleteSvc('evojll');
 BC_DeleteSvc('fwdrv.sys');
 ExecuteRepair(6);
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

пришлите арантин согласно приложения 3 правил ...

[Weather]

Есть!)

(Не могу понять закономерности по которой изменяется или удаляется avz.exe + в проводнике появился пункт "веб - папки", внутри пусто. Первый раз такое вижу)

[wise-wistful]

сделайте virusinfo_syscure.zip посмотрим остался или нет.

[Weather]

Остался(

[wise-wistful]

Безопасный режим загружается? попробуйте в нём выполнить скрипт, который предлагает V_Bond.

[Weather]

Безопасный режим по прежнему не загружается.
Мой случай безнадежен?

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
ExecuteRepair(10);
BC_Activate;
RebootWindows(true);
end.

и пробуйте войти в безопасный режим. Если компьютер как бы зависает с пустым экраном - попробуйте подождать подольше, возможно минут 20.

Если получится безопасный режим, просто запустите в AVZ стандартный скрипт #3, он должен прибить все файлы зловреда. Затем перезагрузитесь в обычный режим и сделайте стандартный скрипт #2. Полученные таким образом новые логи прикрепите.

[Weather]

Вы прям волшебник
В безопасный режим войти удалось относительно быстро.
Скрипт выполнил, AVZ удалял пакости, лог прикрепляю.
Но это мало что дало. Перезагрузился, при проверке тоже самое, да еще и новые тревоги, лог прикрепляю.

Установил все - таки Kaspersky Internet Security. Постоянно ругается на тотже KillAV.ne, на Heur.AntiAV (модификация) и на клавиатурный перехватчик (system32\DRIVERS\anvosdnt.sys) (лечить их не может). В нескольких файлах на "win..." Trojan.Win32.Dialer.zz (во временной директории профиля) (их вычистил).

Интересно еще и то, что из dll'ок с именами вроде "vg109974" антивирус KillAV.ne вычащает, а за остальные файлы не берется. В целом, после установки антивируса, работа системы сильно замедлена, один раз, когда писал сюда сообщение (пишу его второй раз), произошел самопроизвольный ребут, на время (несколько перезагрузок) после этого перестал грузить страницы IE (антивирус чтото сделал), хотя протокол работал нормально...

[Weather]

Логи забыл прикрепить

[akoK]

Живучий какой, прям как Дункан
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 StopService('MCIDRV_2600_6_0');
 QuarantineFile('MCIDRV_2600_6_0.sys','');
 DeleteService('MCIDRV_2600_6_0');
 DeleteFile('MCIDRV_2600_6_0.sys');
 QuarantineFile('C:\WINDOWS\system32\vg109974.dll','');
 DeleteFile('C:\WINDOWS\system32\vg109974.dll');
 BC_DeleteFile('C:\WINDOWS\system32\vg109974.dll');
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=

Добавлено через 1 минуту

Ну думаю вы в курсе.....


Повторите логи avz

[Weather]

Как обычно...

iexplore.exe не хочет грузить страницы, пробовал переустановить компонент, ноль эффекта. Поставил другой браузер

[V_Bond]

Цитата:

Сообщение от Weather

Скан Касперским: любимые файлы vg109974.dll, evojll.sys заражены Trojan.Win32.KillAV.ne. Всего 260 зараженных им объектов, которые не лечятся. По моим оценкам - все exe'шники на всех локальных дисках и несколько динамических библиотек.

вы эти файлы удалили? (я надеюсь )

[Bratez]

Давайте попробуем так:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\ch109974.dll');
 DeleteFile('C:\WINDOWS\system32\eh109974.dll');
 DeleteFile('C:\WINDOWS\system32\gj109974.dll');
 DeleteFile('C:\WINDOWS\system32\vg109974.dll');
 DeleteFile('C:\WINDOWS\system32\vg109974.bak');
 DeleteFile('C:\WINDOWS\system32\vi109974.dll');
 DeleteFile('C:\WINDOWS\system32\drivers\evojll.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

после перезагрузки новый syscheck.

[Weather]

Цитата:

Сообщение от V_Bond

вы эти файлы удалили? (я надеюсь )

Как я их только не удалял, и вручную, в реестре убивая ветку, с помощью AVZ, другими утилитами антивирусными - после перезагрузки снова появляются...(

Пробую выполнить скрипт, отпишусь.

[V_Bond]

вы антивирусу разрешили удалить ?

[Weather]

Цитата:

Сообщение от V_Bond

вы антивирусу разрешили удалить ?

Dll'ки да, а остальные exe'шники нет (не вижу смысла удалять все исполняющие файлы в системе, на некоторые можно наплевать, конечно, но от некоторых плакать хочется, как они нужны, я бы давно уже переставил систему, так троян сидит даже в инсталлах нужных мне программ, которые я бы сразу стал устанавливать на новой системе)

Помимо syscheck, сделал syscure, как видите разница есть...

И еще хочется, если можно, консультации по поводу C:\WINDOWS\system32\drivers\klif.sys (см. логи)