Подозрение на остатки Kido.

[denizka]

Добрый день.

Система XP SP3.

Я подхватил вирус, который подменял папки на сменных носителях ярлыками. CureIt от DrWeb нашел Kido, отправил в карантин, но после перезагрузки вирус опять появлялся на флешке. Ситуация осложнялась тем, что сайты антивирусников были заблокированы. Попутно обнаружилась такая проблема - я не мог получить пробный ключ для KAV 2011: "Невозможно подключиться к серверу", видимо из-за блокировки серверов Касперского. Также не мог подключиться к игровым серверам World of Tanks и League of Legends. Появились эти проблемы именно после того, как флешка с вирусов оказалась воткнута к этот ПК.

Скачал три патча с сайта Microsoft, которые предлагались для этого случая (KB957097, KB958644, KB958687). Отыскал утилиту KidoKiller от KasperskyLab, но она ничего не нашла, хотя после этого я смог заходить на сайт Касперского (а вот ключ получить - нет). Соединение с игровыми серверами все еще не удается установить. Вся система чем-то загружена, приложения подвисают. Повторюсь, проблема свежая, еще вчера все было замечательно, а нового ПО я не ставил.

Надеюсь на вашу помощь.

[Info_bot]

Уважаемый(ая) denizka, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[denizka]

Забыл добавить: не мог обновить AVZ - невозможно подключиться ни к одному из 2 серверов.
Обнаружилось, что все приложения, хоть как-то требующие подключения к серверам (игровые, например), аська, антивирус/фаервол (для обновления) - не могут этого сделать.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Bydlo-o\Application Data\Bbrwrx.exe','');
 DeleteFile('C:\Documents and Settings\Bydlo-o\Application Data\Bbrwrx.exe');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-1060284298-1425521274-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run','Bbrwrx');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Пробуйте обновить базы AVZ

Сделайте новые логи

[denizka]

Добрый вечер. Скрипт выполнил, но, насколько я успел заметить перед перезагрузкой, он жаловался, что не нашел такой файл. Фиг знает, может быть, его один из антивирусов потер.

Обнаружил, что IE7 не работал вообще, не открывал страницы. Обновил его до IE8, проблема осталась. Вчера установил Agnitum Outpost. Все так же не может обновиться. Аська и проч. программы, подключаемые к серверам - не работают.

Логи новых сканирований прилагаю.
Карантин 110610_222539_virus_4df299e316141.zip

[thyrex]

Сделайте лог полного сканирования МВАМ

[denizka]

Добрый день, готово.

[denizka]

Я тут подумал, а есть какой-нибудь ручной способ обновления для AVZ?

[Bratez]

Есть - скачать базу в виде zip-архива и распаковать в подпапку Base.

[denizka]

Бамп. Thyrex, пожалуйста, помогите.

[thyrex]

Сообщение №9 выполнили?

[denizka]

thyrex, добрый человек Hamrad подсказал мне, где найти базы (адрес знал, а вот название архива - нет .
Обновил AVZ, выполнил два стандартных скрипта. Плюс, как вы просили, несколькими сообщениями выше лог MBAM.

[denizka]

Ап. Посмотрите, пожалуйста, последние авз-логи и mbam чуть выше.

[Acidorum]

Здравствуйте!
Удалите в MBAM:

Код:

Зараженные модули в памяти:
c:\WINDOWS\system32\antiwpa.dll (PUP.Wpakill) -> No action taken.

Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Antiwpa (PUP.Wpakill) -> No action taken.

Зараженные файлы:
c:\WINDOWS\system32\antiwpa.dll (PUP.Wpakill) -> No action taken.
c:\documents and settings\Bydlo-o\local settings\application data\thinstall\Cache\Stubs\1b6899e51c59f29f555025f5f06a804e699dc5\mscorsvw.exe (Trojan.Backdoor) -> No action taken.
c:\documents and settings\Bydlo-o\local settings\application data\thinstall\Cache\Stubs\428667f1f81ecbce64e7528d4bc8daefad7149bc\csc.exe (Trojan.Backdoor) -> No action taken.
c:\documents and settings\Bydlo-o\local settings\application data\thinstall\Cache\Stubs\484c95481c866158d5f187091837f5a7d4b3864\presentationfontcache.exe (Trojan.Backdoor) -> No action taken.
c:\documents and settings\Bydlo-o\local settings\application data\thinstall\Cache\Stubs\59d2d168da74fec7ebe0dea75ce6a2cb8b8ee3\solidworkslicensing.exe (Trojan.Backdoor) -> No action taken.
c:\documents and settings\Bydlo-o\local settings\application data\thinstall\Cache\Stubs\befb93d33b8617f2591596f647fe74ed47af85\swhelpviewer.exe (Trojan.Backdoor) -> No action taken.
c:\documents and settings\Bydlo-o\local settings\application data\thinstall\Cache\Stubs\c7044ef59bad8adcc2e8baa85431ce967471855\fnplicensingservice.exe (Trojan.Backdoor) -> No action taken.
c:\documents and settings\Bydlo-o\local settings\application data\thinstall\Cache\Stubs\e31e8c9c943dc9d653d96b4582e823c6b7355c79\cvtres.exe (Trojan.Backdoor) -> No action taken.
c:\documents and settings\Bydlo-o\local settings\application data\thinstall\Cache\Stubs\eddc3ab5f935568c596fafc3bd6eaeaf74d60\sldexitapp.exe (Trojan.Backdoor) -> No action taken.
c:\documents and settings\Bydlo-o\local settings\application data\thinstall\Cache\Stubs\f3eee64f5ac3c98904dad97fcd3af91776e501\sldworks.exe (Trojan.Backdoor) -> No action taken.
d:\торрентскачки\coreldraw x3 with sp2 thinstalled\Settings\1000000b00002h\verclsid.exe (Trojan.Agent) -> No action taken.
d:\торрентскачки\coreldraw x3 with sp2 thinstalled\Settings\400000500002h\acrord32info.exe (Trojan.Agent) -> No action taken.

Сделайте повторный лог MBAM.