Тоже Trojan-PSW.Win32.Kates.c

[Ubrahim]

День добрый, спасибо за вашу работу.
Проблема следующая. Подцепил троян, Касперский активно ругается на C:\WINDOWS\gdxokav.ixv. Пытается его лечить, но у него не выходит. В процессе лечения комп перезагружается, и все повторяется снова - кричит, пытается лечить, перезагружается. Разница только в том, что после перезагрузки первоначальный файл обрастает компанией (gdxokav.ixv, gdxokav.ixvx и т.д.)
В безопасном режиме антивирус эти трояны удаляет - однако при включении нормального режима все повтрояется снова в режиме замкнутого круга((
Прошу совета, что делать с этой радостью. Спасибо заранее.

[light59]

В AVZ -> файл-> Выполнить скрипт

Код:

begin
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\portd2k.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\iqvw32.sys','');
BC_ImportQuarantineList;
ExecuteSysClean;
BC_Activate;
 SetAVZPMStatus(True);
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке http://virusinfo.info/upload_virus.php?tid=46000
Повторите логи.

[Ubrahim]

К сожалению, не проходит. Прога выдает следующее:
"1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка в работе антируткита [Failed to set data for 'DisplayName'], шаг [14]"
и на этом финалируется.
Лог прилагаю

[light59]

Скрипт подредактировал. Выполняйте.

[Ubrahim]

Новые логи пересылаю. "Карантинный архив" отправляю тоже - под именем virus 2. Сорри, первый вариант был моей ошибкой.

[V_Bond]

выполните скрипт

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\WINDOWS\gdxokav.ixv');
 DeleteFile('C:\WINDOWS\gdxokav.gdxokav.ixvx');     
 BC_ImportDeletedList;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

что с проблемой ?

[Ubrahim]

К сожалению, троян не оригинален. Вновь спотыкаюсь на этапе
"1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка в работе антируткита [Failed to set data for 'DisplayName'], шаг [14]"
- и на этом финал.
Лог прилагаю

[V_Bond]

стандартный скрипт 2 делайте ...

[Ubrahim]

Вот.

[V_Bond]

C:\DOCUME~1\7B5C~1\LOCALS~1\Temp\bwgo0000ae41.exe -пришлите согласно приложения 2 правил ...
пофиксите

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe

[Ubrahim]

Пофиксил.
С карантином, прошу прощения, образуется некоторая фигня. Задачу поставил - прога написала "Процесс добавления файлов запущен; Процесс добавления файлов завершен". Однако ни в соотвествующем разделе прогы, ни в папке "Quarantine" ничего нового не проявилось. На всякий случай присылаю то, что есть.

Добавлено через 1 минуту

Вот и система не хочет принимать файл, пишет ошибку - мол, "файл уже был загружен".

[Ubrahim]

вот на всяк случай дубль логов.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 8
• В ходе лечения вредоносные программы в карантинах не обнаружены