Подвисает/мерцает uTorrent, NOD32 v4 не может создать временный файл при обновлении

[makar1979]

Несколько дней назад начались проблемы с обновлениями NOD32 (v4) - "не удается создать временный файл" при обновлении, и обновления не происходит. Также сильно изменилось поведения uTorrent - он подвисает, особенно при попытке что-то выделить или нажать на кнопку на интерфейсе, скорость взлетает до невозможной на моем соединение (если верить встроенному индикатору), затем падает до плинтуса, еще заметил мерцание окна, как будто окно программы на закрывается на неуловимое мгновенье, затем снова восстанавливается. Firefox (пользуюсь в основном им) стал часто выбрасывать на рекламу и прочий мусор.

Скачал Dr. Web CureIt, прогнал в диски C, D в безопасном режими. Нашлись какие-то вирусы и были удалены.

Однако поведение nod_а и uTorrent-a не изменилось. Полностью их снес и поставил вновь (причем uTorrent в обновленной последней версии).
Нод все равно не хочет обновляться. uTorrent пока ведет себя лучше, но надо еще понаблюдать.

Следуя правилам вашего форума подготовил логи avz и HiJackIt. Огромная просьба разобраться в чем тут беда.

[Info_bot]

Уважаемый(ая) makar1979, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Techno]

- Выполните в АВЗ:

Код:

begin
 StopService('mkdrv');
 SetServiceStart('mkdrv', 4);
 QuarantineFile('C:\Windows\kfjio.sys','');
 QuarantineFile('c:\program files\common files\corel\standby\standby.exe','');
 QuarantineFile('d:\winstep\nexus.exe','');
 DeleteFile('C:\Windows\kfjio.sys');
 DeleteService('mkdrv');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Повторите логи.

[makar1979]

При выполнении первого скрипта, мгновенно вылетел синий экран с сообщением типа driver unloaded without cancelling pending operations. После принудительной перезагрузки запустил винду "в нормальном режиме". В итоге папка Quarantine AVZ - пуста. Но и файла C:\Windows\kfjio.sys тоже больше не видно. Я, конечно, выполнил и второй скрипт, но архив соответственно тоже пуст - размер 22 байта. Нод по прежнему не может создать временный файл. Что касается uTorrent-а, вчера (до выполнения скриптов) понаблюдал за его поведением: вроде бы все в норме было, но сегодня опять скорость подпрыгивает выше крыши и программа виснет.

В общем, нужно ли присылать пустой карантин?

Стандартные логи avz и hijackthis сделаю, конечно, но хочу узнать, надо ли удалить старые логи из \avz\logs или новые логи упадут туда под новыми именами?

[Bratez]

Пустой карантин не нужен.
Логи просто делайте новые, они в папке \avz\logs перезапишутся.

[makar1979]

Даю свежие логи.

Сейчас обнаружил, что не запускается Chameleon Clock - Это типа органайзера, напоминалки, синхр.времени и т.п. Пользую очень давно - проблем раньше не было. Ошибка такая:
Exception EAccessViolation in module ChamClock.exe at 00001C00. Access violation at address 00402E6C. Read of address C35B5E5B.

[makar1979]

Удалил Chameleon Clock. но некоторые файлы не удаляются (alarm.lst и alarm.lst.bak): error 0x800703e6: invalid access to memory location. Как их добить?
Что там с логами? Почему-то не вижу файла C:\Windows\kfjio.sys хотя в логах он фигурирует. Свойство показывать скрытые и системные файлы включено.

Добавлено через 1 минуту

Изолировал подозрительный драйвер вручную с помощью avz. Отправляю запрошенный карантин.

[Bratez]

Выполните скрипт в AVZ в безопасном режиме:

Код:

begin
 QuarantineFile('C:\Windows\kfjio.sys','');
 DeleteFile('C:\Windows\kfjio.sys');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил, если будет не пуст
(загружать тут: http://virusinfo.info/upload_virus.php?tid=113668).
Сделайте новый лог virusinfo_syscheck (только п.2 раздела Диагностика).

[makar1979]

Сделал. Файл удалился, судя по логу, но карантин почему-то пуст.

Ура! Нод обновился! И торрент больше не виснет. Даже вышеупомянутые файлы от Chameleon Clock сразу удалились.
Nod сказал, что это был Win32/Rootkit.Kryptik.GN trojan
Первый раз такую гадость цепляю. Это старый вирус или что-то из недавнего?

Подшиваю запрошенный лог.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\kfjio.sys - Rootkit.Win32.Qhost.hz ( DrWEB: Trojan.Hosts.5268, BitDefender: Backdoor.Generic.700267, AVAST4: Win32:QHost-CEK [Rtk] )