Вирусы окружили!

**DeLad** · 23.09.2008, 00:37

Помогите, вирусы окружили со всех сторон!
Началось всё с того, что касперский отключился и не хотел больше включаться.
Сейчас ситуация такая - диспетчер задач заблокирован, реестр заблокирован, антивирусы никакие не ставятся и не запускаются, да и не только они, но
и остальные программы, также невозможно настроить проводник на видимость скрытых файлов. Даже выйти на веб-страницу касперского почему-то не могу...
Переустанавливал систему 4 раза за 2 дня, каждый раз при этом форматируя диск, но только локальный, поэтому ясно, что они грузятся с других дисков,
но те я не могу форматнуть, боюсь сердце не выдержет :Р
Так вот, после очередной переустановки, как только первый раз запускается система, у неё уже присутствуют все эти характеристики...
Безопасный режим, кстати, тоже не доступен, сразу перезагрузка и всё(
С помощью програмки "Advanced Process Termination" нашел вчера некоторые процессы, удалил их и умудрился установить
и даже запустить касперского! Он нашел 16 троянов и 17 червей в одной папке "System Volume Information" на диске D, остальное (С,F,E) оказалось чистым.
Я на радостях снова переустановил систему, и... опять таже херня...
Поудалял все Систем Волюмы на всех 4-х локальных дисках - безрезультатно.
с помощью той же "Advanced Process Termination" вижу, что постоянно появляются 2 лишних процесса, удаляю их - появляются 2 других и т.д.
Только что пытался включить AVZ, так он отключился и удалился... аж страшно)
К сожалению, прислать получается только один файл

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**V_Bond** · 23.09.2008, 00:47

этим авз попробуйте сделать логи

**DeLad** · 23.09.2008, 01:01

страница никак не открывается (

**Rene-gad** · 23.09.2008, 10:28

pingpong.pif - переименованный спец. AVZ http://rapidshare.com/files/116949749/pingpong.pif.html
Сделайте логи в нем, базы обновлять не нужно.

**DeLad** · 23.09.2008, 22:49

Да, всё получилось, вот логи.
Правда первые 2 раза при выполнении скрипта лечения/карантина во время проверки одной и той же папки на одном из локальных дисков появлялось сообщение об ошибке и скрипт прерывался. Удалил эту папку - всё прошло гладко)

**Rene-gad** · 24.09.2008, 10:36

Для начала нужно пролечиться, как написано тут: http://virusinfo.info/showthread.php?t=15927

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\drivers\kfpemn.sys','');
 QuarantineFile('C:\DOCUME~1\ФЕНИКС\LOCALS~1\Temp\wrpyqp.exe','');
 QuarantineFile('c:\docume~1\ФЕНИКС\locals~1\temp\wrpyqp.exe','');
 QuarantineFile('C:\DOCUME~1\ФЕНИКС\LOCALS~1\Temp\winlmfqdw.exe','');
 QuarantineFile('c:\docume~1\ФЕНИКС\locals~1\temp\winlmfqdw.exe','');
 DeleteService('abp470n5');
 DeleteFile('C:\WINDOWS\system32\drivers\kfpemn.sys');
 DeleteFile('c:\docume~1\ФЕНИКС\locals~1\temp\wrpyqp.exe');
 DeleteFile('C:\DOCUME~1\ФЕНИКС\LOCALS~1\Temp\wrpyqp.exe');
 DeleteFile('c:\docume~1\ФЕНИКС\locals~1\temp\winlmfqdw.exe');
 DeleteFile('C:\DOCUME~1\ФЕНИКС\LOCALS~1\Temp\winlmfqdw.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('abp470n5');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 правил).
- Прикрепите логи к новому сообщению.

**DeLad** · 24.09.2008, 17:18

Я, конечно, попробую, но опять же тут http://virusinfo.info/showthread.php?t=15927 написано сначала в безопасном режиме нужно проверить, а он у меня не работает

**Rene-gad** · 24.09.2008, 17:25

- Выполните скрипт

Код:

begin
executerepair(10);
RebootWindows(true);
end.

После перезагрузки попробуйте загрузиться в безопасном режиме.

**DeLad** · 25.09.2008, 23:36

Проверил и пролечил всё с помощью Cureit в безопасном режиме, было найдено и вылечено 370 зараженных файлов, но в обычном режиме программка не работает(
Сделал всё как вы сказали, вот новые логи

**V_Bond** · 26.09.2008, 00:04

выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('abp470n5');
 QuarantineFile('C:\WINDOWS\system32\drivers\kfpemn.sys','');
 TerminateProcessByName('c:\docume~1\ФЕНИКС\locals~1\temp\hmkq.exe');
 QuarantineFile('c:\docume~1\ФЕНИКС\locals~1\temp\hmkq.exe','');
 TerminateProcessByName('c:\docume~1\ФЕНИКС\locals~1\temp\ddky.exe');
 QuarantineFile('c:\docume~1\ФЕНИКС\locals~1\temp\ddky.exe','');
 DeleteFile('c:\docume~1\ФЕНИКС\locals~1\temp\ddky.exe');
 DeleteFile('c:\docume~1\ФЕНИКС\locals~1\temp\hmkq.exe');
 DeleteFile('C:\DOCUME~1\ФЕНИКС\LOCALS~1\Temp\ddky.exe');
 DeleteFile('C:\DOCUME~1\ФЕНИКС\LOCALS~1\Temp\hmkq.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\kfpemn.sys');
 DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportDeletedList;
BC_DeleteSvc('abp470n5');
ExecuteSysClean;
ExecuteRepair(11);
ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 2 правил
повторите логи

**DeLad** · 26.09.2008, 00:48

Всё сделал, но... не совсем понял что значит "согласно приложения 2 правил" )

**V_Bond** · 26.09.2008, 00:52

прочитапть правила не пробовали ?

скачайте C:\WINDOWS\system32\drivers\kfpemn.sys - force delete
выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\drivers\kfpemn.sys');
 DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportDeletedList;
BC_DeleteSvc('abp470n5');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

**DeLad** · 26.09.2008, 11:46

Сообщение от V_Bond

прочитапть правила не пробовали ?

[/code]

Конечно же читал, просто сглупил))

По поводу файла kfpemn.sys

такого у меня на компе нет вообще... и по ссылке тоже не удается скачать

**Гриша** · 26.09.2008, 11:54

Качайте отсюда http://mail.ustc.edu.cn/~jfpan/downl...Sword122en.zip

**DeLad** · 26.09.2008, 12:06

Скачал, а что с этим делать то?

**Гриша** · 26.09.2008, 12:24

меню,File,появится аналог проводника,найти:

Код:

C:\WINDOWS\system32\drivers\kfpemn.sys

правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.

Затем скрипт http://virusinfo.info/showpost.php?p...0&postcount=12

**DeLad** · 26.09.2008, 12:42

Нет, нету такого файла нигде

**Гриша** · 26.09.2008, 12:43

Тогда просто скрипт и повторить логи...

**DeLad** · 26.09.2008, 13:25

Вот новые логи

**Rene-gad** · 26.09.2008, 13:38

выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('abp470n5');
 QuarantineFile('C:\WINDOWS\system32\drivers\kfpemn.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\kfpemn.sys');
BC_ImportAll;
BC_DeleteSvc('abp470n5');
SetAVZPMStatus(True);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Скачайте полную версию АВЗ, повторите логи по п.2 и 3 Диагностики.

Вирусы окружили! (заявка № 30700)

Опции темы

Вирусы окружили!

Похожие темы

Вирусы-картинки и вирусы-музыка?

Непонятные вирусы. Вирусы попадают на Flash-носитель. [not-a-virus:Monitor.Win32.KGBSpy.bg ]

Вирусы полечил, вирусы остались

Вирусы... снова вирусы

Ваши права в разделе