всплывают окна gomyron.com и др. и вдобавок KIS перестал обновляться, идет левый трафик

[Renaissance]

Доброе время суток! Последние несколько дней в компе завелась какая-то зараза: всплывают окна gomyron.com, sanitardiska.com и другие. Лицензионный Kaspersky Internet Security блокирует всплывающие окна, но источника проблемы не находит. Более того, он перестал скачивать обновления антивирусных баз. Когда я запускаю "Обновить", то в событиях отражается следующее "7/31/2008 10:45:23 PM Попытка процесса с PID 1132 получения доступа к процессу Kaspersky Internet Security с PID 1096 заблокирована. Это результат срабатывания механизма самозащиты"
Отослал запрос в службу поддрежки KIS, но они с этим больно долго разбираются.

Интересно Ваше мнение по данной проблеме.

[V_Bond]

выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('D:\kn6jhgc.cmd','');
 QuarantineFile('D:\autorun.inf','');
 QuarantineFile('C:\kn6jhgc.cmd','');
 QuarantineFile('C:\autorun.inf','');
 QuarantineFile('C:\WINDOWS\system32\comui.dll','');
 QuarantineFile('C:\WINDOWS\system32\comsvc.dll','');
 QuarantineFile('C:\WINDOWS\system32\comctl3.dll','');
 QuarantineFile('C:\WINDOWS\system32\cmuti.dll','');
 QuarantineFile('C:\WINDOWS\system32\cmpbk3.dll','');
 QuarantineFile('C:\WINDOWS\system32\cd.dll','');
 QuarantineFile('C:\WINDOWS\system32\capico.dll','');
 QuarantineFile('C:\WINDOWS\system32\camoc.dll','');
 QuarantineFile('C:\WINDOWS\system32\bidisp.dll','');
 QuarantineFile('C:\WINDOWS\system32\avwa.dll','');
 QuarantineFile('C:\WINDOWS\system32\atkctr.dll','');
 QuarantineFile('C:\WINDOWS\system32\atioglxo.dll','');
 QuarantineFile('C:\WINDOWS\system32\atioglx.dll','');
 QuarantineFile('c:\windows\system32\comsvc.dll','');
 DelBHO('{C307C39A-58B7-45C7-8004-A8DF95C3E88F}');
 QuarantineFile('C:\WINDOWS\system32\ckvo.exe','');
 QuarantineFile('C:\WINDOWS\system32\ckvo0.dll','');
 DeleteFile('C:\WINDOWS\system32\ckvo0.dll');
 DeleteFile('C:\WINDOWS\system32\ckvo.exe');
 DeleteFile('C:\WINDOWS\system32\comsvc.dll');
 DeleteFile('c:\windows\system32\comsvc.dll');
 DeleteFile('C:\WINDOWS\system32\atioglx.dll');
 DeleteFile('C:\WINDOWS\system32\atioglxo.dll');
 DeleteFile('C:\WINDOWS\system32\atkctr.dll');
 DeleteFile('C:\WINDOWS\system32\avwa.dll');
 DeleteFile('C:\WINDOWS\system32\bidisp.dll');
 DeleteFile('C:\WINDOWS\system32\camoc.dll');
 DeleteFile('C:\WINDOWS\system32\capico.dll');
 DeleteFile('C:\WINDOWS\system32\cd.dll');
 DeleteFile('C:\WINDOWS\system32\cmpbk3.dll');
 DeleteFile('C:\WINDOWS\system32\cmuti.dll');
 DeleteFile('C:\WINDOWS\system32\comctl3.dll');
 DeleteFile('C:\WINDOWS\system32\comui.dll');
 DeleteFile('C:\autorun.inf');
 DeleteFile('C:\kn6jhgc.cmd');
 DeleteFile('D:\autorun.inf');
 DeleteFile('D:\kn6jhgc.cmd');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
повторите логи ...

[Renaissance]

Карантин выслал. Антиварус так и не обновляется, но pop-up окна больше не всплывают.

[V_Bond]

пофиксите ...

Код:

O20 - Winlogon Notify: sysfldr - C:\WINDOWS\
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\

что в логах делае симантек ?

[Renaissance]

1. Логи пофиксил.
2. Воспользовался утилитой удаления продуктов компании Symantec - Norton Removal Tool для удаления следов продуктов данной компании.
Антивирус так и не обновляется, в событиях пишет "8/1/2008 1:06:53 PM Попытка процесса с PID 604 получения доступа к процессу Kaspersky Internet Security с PID 740 заблокирована. Это результат срабатывания механизма самозащиты." при попытке обновить.

[V_Bond]

откройте Диспетчера задач ...пункт меню Вид- меню Выбрать столбцы - включите опцию Индентификация процесса (PID) ...
затем при следующем сообщении антивируса посмотрите какому процессу принадлежит PID пытающийся получить доступ ...

[Renaissance]

SynTPEnh.exe

[V_Bond]

выполните скрипт ....

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile(':\Program Files\Synaptics\SynTP\SynTPEnh.exe','');
 BC_ImportQuarantineList;
 BC_Activate;
 RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ....

[Renaissance]

Отправил карантин.

[V_Bond]

в карантине пусто .... попробуйте прислать согласно приложения 2 правил ...

[Renaissance]

Получился опять пустой архив. Высылаю просто
SynTPEnh.exe в заорхивираванном виде

[V_Bond]

SynTPEnh.exe -утилита от тачпада Synaptics ... ничего плохого похоже.... что она с касперским не поделила (?) ... попробуйте деинсталировать ...

[Renaissance]

Огромное спасибо за помощь. Деинсталлировал данный драйвер и установил заново. Все заработало:)

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 23
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\kn6jhgc.cmd - Trojan.Win32.Vaklik.cmb (DrWEB: Trojan.Nsanti.Packed)
  2. c:\\windows\\system32\\atioglx.dll - Rootkit.Win32.Podnuha.agn
  3. c:\\windows\\system32\\atioglxo.dll - Rootkit.Win32.Podnuha.ago (DrWEB: Trojan.DownLoad.5075)
  4. c:\\windows\\system32\\atkctr.dll - Rootkit.Win32.Podnuha.ago (DrWEB: Trojan.DownLoad.5075)
  5. c:\\windows\\system32\\avwa.dll - Rootkit.Win32.Podnuha.agn
  6. c:\\windows\\system32\\bidisp.dll - Rootkit.Win32.Podnuha.agn
  7. c:\\windows\\system32\\camoc.dll - Rootkit.Win32.Podnuha.ago (DrWEB: Trojan.DownLoad.5075)
  8. c:\\windows\\system32\\capico.dll - Rootkit.Win32.Podnuha.ago (DrWEB: Trojan.DownLoad.5075)
  9. c:\\windows\\system32\\cd.dll - Rootkit.Win32.Podnuha.ago (DrWEB: Trojan.DownLoad.5075)
  10. c:\\windows\\system32\\ckvo0.dll - Worm.Win32.AutoRun.lku (DrWEB: Trojan.Nsanti.Packed)
  11. c:\\windows\\system32\\cmpbk3.dll - Rootkit.Win32.Podnuha.ago (DrWEB: Trojan.DownLoad.5075)
  12. c:\\windows\\system32\\cmuti.dll - Rootkit.Win32.Podnuha.ago (DrWEB: Trojan.DownLoad.5075)
  13. c:\\windows\\system32\\comctl3.dll - Rootkit.Win32.Podnuha.ago (DrWEB: Trojan.DownLoad.5075)
  14. c:\\windows\\system32\\comsvc.dll - Rootkit.Win32.Podnuha.agn
  15. c:\\windows\\system32\\comui.dll - Rootkit.Win32.Podnuha.agn
  16. d:\\kn6jhgc.cmd - Trojan.Win32.Vaklik.cmb (DrWEB: Trojan.Nsanti.Packed)