-
Junior Member
- Вес репутации
- 47
Подозрение на остатки Kido.
Добрый день.
Система XP SP3.
Я подхватил вирус, который подменял папки на сменных носителях ярлыками. CureIt от DrWeb нашел Kido, отправил в карантин, но после перезагрузки вирус опять появлялся на флешке. Ситуация осложнялась тем, что сайты антивирусников были заблокированы. Попутно обнаружилась такая проблема - я не мог получить пробный ключ для KAV 2011: "Невозможно подключиться к серверу", видимо из-за блокировки серверов Касперского. Также не мог подключиться к игровым серверам World of Tanks и League of Legends. Появились эти проблемы именно после того, как флешка с вирусов оказалась воткнута к этот ПК.
Скачал три патча с сайта Microsoft, которые предлагались для этого случая (KB957097, KB958644, KB958687). Отыскал утилиту KidoKiller от KasperskyLab, но она ничего не нашла, хотя после этого я смог заходить на сайт Касперского (а вот ключ получить - нет). Соединение с игровыми серверами все еще не удается установить. Вся система чем-то загружена, приложения подвисают. Повторюсь, проблема свежая, еще вчера все было замечательно, а нового ПО я не ставил.
Надеюсь на вашу помощь.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) denizka, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Junior Member
- Вес репутации
- 47
Забыл добавить: не мог обновить AVZ - невозможно подключиться ни к одному из 2 серверов.
Обнаружилось, что все приложения, хоть как-то требующие подключения к серверам (игровые, например), аська, антивирус/фаервол (для обновления) - не могут этого сделать.
Последний раз редактировалось denizka; 10.06.2011 в 19:46.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Bydlo-o\Application Data\Bbrwrx.exe','');
DeleteFile('C:\Documents and Settings\Bydlo-o\Application Data\Bbrwrx.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-21-1060284298-1425521274-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run','Bbrwrx');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Пробуйте обновить базы AVZ
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 47
Добрый вечер. Скрипт выполнил, но, насколько я успел заметить перед перезагрузкой, он жаловался, что не нашел такой файл. Фиг знает, может быть, его один из антивирусов потер.
Обнаружил, что IE7 не работал вообще, не открывал страницы. Обновил его до IE8, проблема осталась. Вчера установил Agnitum Outpost. Все так же не может обновиться. Аська и проч. программы, подключаемые к серверам - не работают.
Логи новых сканирований прилагаю.
Карантин 110610_222539_virus_4df299e316141.zip
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 47
-
Junior Member
- Вес репутации
- 47
Я тут подумал, а есть какой-нибудь ручной способ обновления для AVZ?
-
Есть - скачать базу в виде zip-архива и распаковать в подпапку Base.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 47
Бамп. Thyrex, пожалуйста, помогите.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 47
thyrex, добрый человек Hamrad подсказал мне, где найти базы (адрес знал, а вот название архива - нет .
Обновил AVZ, выполнил два стандартных скрипта. Плюс, как вы просили, несколькими сообщениями выше лог MBAM.
-
Junior Member
- Вес репутации
- 47
Ап. Посмотрите, пожалуйста, последние авз-логи и mbam чуть выше.
-
Здравствуйте!
Удалите в MBAM:
Код:
Зараженные модули в памяти:
c:\WINDOWS\system32\antiwpa.dll (PUP.Wpakill) -> No action taken.
Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Antiwpa (PUP.Wpakill) -> No action taken.
Зараженные файлы:
c:\WINDOWS\system32\antiwpa.dll (PUP.Wpakill) -> No action taken.
c:\documents and settings\Bydlo-o\local settings\application data\thinstall\Cache\Stubs\1b6899e51c59f29f555025f5f06a804e699dc5\mscorsvw.exe (Trojan.Backdoor) -> No action taken.
c:\documents and settings\Bydlo-o\local settings\application data\thinstall\Cache\Stubs\428667f1f81ecbce64e7528d4bc8daefad7149bc\csc.exe (Trojan.Backdoor) -> No action taken.
c:\documents and settings\Bydlo-o\local settings\application data\thinstall\Cache\Stubs\484c95481c866158d5f187091837f5a7d4b3864\presentationfontcache.exe (Trojan.Backdoor) -> No action taken.
c:\documents and settings\Bydlo-o\local settings\application data\thinstall\Cache\Stubs\59d2d168da74fec7ebe0dea75ce6a2cb8b8ee3\solidworkslicensing.exe (Trojan.Backdoor) -> No action taken.
c:\documents and settings\Bydlo-o\local settings\application data\thinstall\Cache\Stubs\befb93d33b8617f2591596f647fe74ed47af85\swhelpviewer.exe (Trojan.Backdoor) -> No action taken.
c:\documents and settings\Bydlo-o\local settings\application data\thinstall\Cache\Stubs\c7044ef59bad8adcc2e8baa85431ce967471855\fnplicensingservice.exe (Trojan.Backdoor) -> No action taken.
c:\documents and settings\Bydlo-o\local settings\application data\thinstall\Cache\Stubs\e31e8c9c943dc9d653d96b4582e823c6b7355c79\cvtres.exe (Trojan.Backdoor) -> No action taken.
c:\documents and settings\Bydlo-o\local settings\application data\thinstall\Cache\Stubs\eddc3ab5f935568c596fafc3bd6eaeaf74d60\sldexitapp.exe (Trojan.Backdoor) -> No action taken.
c:\documents and settings\Bydlo-o\local settings\application data\thinstall\Cache\Stubs\f3eee64f5ac3c98904dad97fcd3af91776e501\sldworks.exe (Trojan.Backdoor) -> No action taken.
d:\торрентскачки\coreldraw x3 with sp2 thinstalled\Settings\1000000b00002h\verclsid.exe (Trojan.Agent) -> No action taken.
d:\торрентскачки\coreldraw x3 with sp2 thinstalled\Settings\400000500002h\acrord32info.exe (Trojan.Agent) -> No action taken.
Сделайте повторный лог MBAM.
-