Я думаю, что принёс этот вирус на флешке со школы, потому что там у нас одни autorun.inf. Может быть где-то еще подхватил. Этот червь не хочет удаляться или лечиться. После удаления и перезагрузки восстанавливается. Прошу помочь.
Я думаю, что принёс этот вирус на флешке со школы, потому что там у нас одни autorun.inf. Может быть где-то еще подхватил. Этот червь не хочет удаляться или лечиться. После удаления и перезагрузки восстанавливается. Прошу помочь.
Выполните скрипт в AVZ
Пришлите карантин, как написано в правилах.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\lxsass.exe',''); QuarantineFile('C:\WINDOWS\system32\03.tmp',''); DeleteService('klwvk'); DeleteFile('C:\WINDOWS\system32\03.tmp'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделайте то, что написано тут http://support.kaspersky.ru/faq/?qid=208636215.
Повторите логи.
Скрипт выполнил. Карантин выслал. Правда боюсь там не тот файл, в карантине вроде файл от программы cheat engine для подмены пакетов. Хотя вроде по скрипту должен был закарантинить вирусные файлы червя.
Сделал так как написано в той теме на форуме касперского, кроме полной проверки компьютера на вирусы, так как очень долго с моими 200 ГБ занятого места, но уже включил проверку. И пока что не отключал автозапуск. И программа KK.exe ничего больше не нашла. Все по нулям.
Отключите восстановление системы!
Пофиксите в HijackThis:
Перезагрузите компьютер и повторите лог HijackThis.Код:R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - (no file) F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe O4 - HKLM\..\Policies\Explorer\Run: [lxsass] "C:\WINDOWS\system32\lxsass.exe" -at
Восстановление можно включить обратно.
I am not young enough to know everything...
Сделайте лог Gmer http://virusinfo.info/showthread.php?t=40118
Сердце решает кого любить... Судьба решает с кем быть...
Пофиксил. Делая этот пункт "Сделайте то, что написано тут http://support.kaspersky.ru/faq/?qid=208636215." пришлось включить восстановление системы, так как там сказано установить пачти на винду. Когда я последний раз ставил какой-то патч, у меня все стало лагать и половина ничего не работало, я делал восстановление. Но теперь установив эти, вижу, что всё работает нормально, перед логом отключил восстановление. После включил.
Сканированеи с помощью GMER делается довольно долго, так что пока в процессе.
Наконец то Gmer закончил проверку. Вот лог.
Почистите систему от мусора http://virusinfo.info/showthread.php?t=10025.
Обновите базы антивируса и сделайте полную проверку.
А как же лог Gmer? Или этим занимается Aleksandra?
Просто вот эти штуки кажется надо исправлять
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] coripogd <-- ROOTKIT !!!
Reg HKLM\SYSTEM\CurrentControlSet\Services\coripogd\Pa rameters@ServiceDll C:\WINDOWS\system32\ucgkglr.dll
Reg HKLM\SYSTEM\ControlSet002\Services\coripogd\Parame ters@ServiceDll C:\WINDOWS\system32\ucgkglr.dll
опа... мой промах
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
После выполнения скрипта компьютер перезагрузится!Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('coripogd'); QuarantineFile('C:\WINDOWS\system32\ucgkglr.dll',''); DeleteFile('C:\WINDOWS\system32\ucgkglr.dll'); RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\coripogd','Description'); RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\coripogd'); DeleteFileMask('%tmp% ','*.* ',true ); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('coripogd'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=43828
3. Повторите лог Gmer.
Сердце решает кого любить... Судьба решает с кем быть...
Карантин выслал, а лог Gmer этак часов через 5 наверно пришлю, а если увижу, что по времени сегодня уже успевать не буду то завтра.
Добавлено через 5 минут
Так...Думаю работка вируса...Когда ставлю галочку на показывать скрытые файлы и папки и жму ОК, окошко закрывается, но папки не отображаются! Захожу в свойтва и как-будто я ничего не изменял.
Последний раз редактировалось mo3rnuts; 15.04.2009 в 20:44. Причина: Добавлено
Хмм, полный лог я не делал. Когда заходишь в Gmer, он делает пятисекундное быстрое сканирование. Смотрите сами, он это выделил красным цветом.
Лог Gmer пока в процессе.SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateKey [0xB5E5C0A8] <-- ROOTKIT !!!
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateValueKey [0xB5E5C110] <-- ROOTKIT !!!
Service (*** hidden *** ) coripogd <-- ROOTKIT !!!
Делайте полный лог Gmer.
Сердце решает кого любить... Судьба решает с кем быть...
Аааааа, я сглупил, сейчас скан закончился, я хотел нажать save,а нажал scan, и вообще gmer с ошибкой вылетел . Может все таки я небуду сканировать диск D? все таки там просто фалйы с моего прошлого жёсткого диска. Ну так или иначе теперь только завтра. Главное я увидел, что опять он видит скрытый процесс
И вот тут только две, но он после скана штук 10-15 таких написал, выделил красным, как руткит.Service (*** hidden *** ) coripogd <-- ROOTKIT !!!
SDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateKey [0xB5E5C0A8] <-- ROOTKIT !!!
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateValueKey [0xB5E5C110] <-- ROOTKIT !!!
На Клифа внимания не обращайте, это KAV, он всегда так.
Ура! Вот полный лог Gmer.
1. Скачайте IceSword. Запустите, слева внизу нажмите Registry, затем найдите ветки:
и удалите все ключи с coripogd...HKLM\SYSTEM\CurrentControlSet\Services\coripogd
Тоже самое на
2. Сделайте контрольный лог Gmer.HKLM\SYSTEM\ControlSet002\Services\coripogd
Как искать и удалять ключи реестра с помощью IceSword http://virusinfo.info/showthread.php?t=39413
Сердце решает кого любить... Судьба решает с кем быть...
А удалять целую папку coripogd из services, или то что в самой папке coripogd удалить, а саму папку оставить?
Удалять все ключи с coripogd. Если Вы не понимаете как это делать, то пройдите по ссылке которую я дала вверху.
Сердце решает кого любить... Судьба решает с кем быть...
Уважаемый(ая) mo3rnuts, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.