-
Junior Member
- Вес репутации
- 60
win32.killav
На ПК установлен касперский. Он увидел win32.killav.nk, предложил особое лечение, вроде как все почистил, но после перезагрузки, вновь выскакивает вирус. В безопасный режим не пускает, настройка автозапуска сразу сворачивается. При проверке винтчестера на другом компе касперским ничего не нашлось.
Последний раз редактировалось bo4karev; 30.03.2010 в 17:01.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\avz4\avz.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\olmj.sys','');
DeleteService('MCIDRV_2600_6_0');
QuarantineFile('C:\WINDOWS\system32\АHTОMSYS19.exe','');
TerminateProcessByName('c:\windows\system32\deter177\svсhоst.exe');
QuarantineFile('c:\windows\system32\deter177\svсhоst.exe','');
TerminateProcessByName('c:\windows\system32\deter177\smss.exe');
QuarantineFile('c:\windows\system32\deter177\smss.exe','');
TerminateProcessByName('c:\windows\system32\deter177\lsass.exe');
QuarantineFile('c:\windows\system32\deter177\lsass.exe','');
DeleteFile('c:\windows\system32\deter177\lsass.exe');
DeleteFile('c:\windows\system32\deter177\smss.exe');
DeleteFile('c:\windows\system32\deter177\svсhоst.exe');
DeleteFile('C:\WINDOWS\system32\АHTОMSYS19.exe');
DeleteFile('C:\WINDOWS\system32\drivers\olmj.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(8);
ExecuteRepair(16);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 60
Карантин отправил, сейчас повторю логи. После перезагрузки касперский все равно ругался.
-
Junior Member
- Вес репутации
- 60
Последний раз редактировалось bo4karev; 30.03.2010 в 17:01.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\АHTОMSYS19.exe','');
TerminateProcessByName('c:\windows\system32\deter177\svсhоst.exe');
QuarantineFile('c:\windows\system32\deter177\svсhоst.exe','');
TerminateProcessByName('c:\windows\system32\deter177\smss.exe');
QuarantineFile('c:\windows\system32\deter177\smss.exe','');
QuarantineFile('C:\WINDOWS\system32\DETER177\lsass.exe','');
QuarantineFile('C:\WINDOWS\system32\hv956253.dll','');
DeleteFile('C:\WINDOWS\system32\hv956253.dll');
DeleteFile('c:\windows\system32\deter177\smss.exe');
DeleteFile('c:\windows\system32\deter177\svсhоst.exe');
DeleteFile('C:\WINDOWS\system32\DETER177\lsass.exe');
DeleteFile('C:\WINDOWS\system32\АHTОMSYS19.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(8);
ExecuteRepair(16);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 60
Карантин отправил, логи сделал.
Последний раз редактировалось bo4karev; 30.03.2010 в 17:01.
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите и будьте внимательны: где [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe написан БОЛЬШИМИ БУКВАМИ - не трогайте, это правильный файл.
Код:
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\АHTОMSYS19.exe
O4 - HKLM\..\Run: [сtfmоn.exe] C:\WINDOWS\system32\сtfmon.exe
O4 - HKLM\..\Run: [lsass] C:\WINDOWS\system32\DETER177\lsass.exe
O4 - HKCU\..\Run: [сtfmоn.exe] C:\WINDOWS\system32\сtfmon.exe
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\deter177\smss.exe');
TerminateProcessByName('c:\windows\system32\deter177\svсhоst.exe');
QuarantineFile('c:\windows\system32\аhtоmsys19.exe','');
QuarantineFile('C:\WINDOWS\system32\DETER177\svсhоst.exe','');
QuarantineFile('C:\WINDOWS\system32\DETER177\smss.exe','');
QuarantineFile('C:\WINDOWS\system32\DETER177\lsass.exe','');
QuarantineFile('Explorer.exe C:\WINDOWS\system32\АHTОMSYS19.exe','');
QuarantineFile('C:\WINDOWS\system32\hv956253.dll','');
QuarantineFile('C:\WINDOWS\system32\nn297181.dll','');
QuarantineFile('C:\WINDOWS\system32\сtfmon.exe','');
DeleteFile('C:\WINDOWS\system32\сtfmon.exe');
DeleteFile('C:\WINDOWS\system32\hv956253.dll');
DeleteFile('C:\WINDOWS\system32\nn297181.dll');
DeleteFile('Explorer.exe C:\WINDOWS\system32\АHTОMSYS19.exe');
DeleteFile('C:\WINDOWS\system32\DETER177\lsass.exe');
DeleteFile('C:\WINDOWS\system32\DETER177\smss.exe');
DeleteFile('C:\WINDOWS\system32\DETER177\svсhоst.exe');
DeleteFile('c:\windows\system32\аhtоmsys19.exe');
DeleteFileMask('C:\WINDOWS\system32\DETER177','*.*',true);
DeleteFileMask('%temp%','*.*',true);
DeleteDirectory('C:\WINDOWS\system32\DETER177');
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(True);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
-
-
Junior Member
- Вес репутации
- 60
Простите за задержку, не было доступа в выходные к ПК. Карантин отправил, логи прилогаю. После выполнения скрипта, касперский находил много вирусов, а также появилось новое устройство в диспетчере устройств, которое просит установить драйвер.
Последний раз редактировалось bo4karev; 30.03.2010 в 17:01.
-
Неизвестное устройство удалите в Диспетчере устройств
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('MCIDRV_2600_6_0');
DeleteFile('MCIDRV_2600_6_0.sys');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 60
Последний раз редактировалось bo4karev; 30.03.2010 в 17:02.
-
В логах ничего подозрительного. Жалобы есть?
- Прочитайте Как не стать завсегдатаем раздела Помогите?
Platform: Windows XP SP2 (WinNT 5.01.2600)
- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
- Установите IE 8
- Обновите OpenOffice
-
-
Junior Member
- Вес репутации
- 60
Ок, учту все. Пока вроде проблем нет. Спасибо большое!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 48
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\deter177\lsass.exe - Trojan.Win32.KillAV.nk ( DrWEB: Win32.Sector.4, BitDefender: Win32.Kashu.A, NOD32: Win32/Sality.NAS virus, AVAST4: Win32:JunkPoly [Cryp] )
- c:\windows\system32\deter177\smss.exe - Trojan.Win32.KillAV.nk ( DrWEB: Win32.Sector.4, BitDefender: Win32.Kashu.A, NOD32: Win32/Sality.NAS virus, AVAST4: Win32:JunkPoly [Cryp] )
- c:\windows\system32\deter177\svсhоst.exe - Trojan.Win32.KillAV.nk ( DrWEB: Win32.Sector.4, BitDefender: Win32.Kashu.A, NOD32: Win32/Sality.NAS virus, AVAST4: Win32:JunkPoly [Cryp] )
- c:\windows\system32\hv956253.dll - Trojan.Win32.KillAV.nk ( DrWEB: Win32.Sector.4, BitDefender: Trojan.Crypt.HO, NOD32: Win32/Sality.AB virus, AVAST4: Win32:KillAV-ET [Trj] )
- c:\windows\system32\nn297181.dll - Trojan.Win32.KillAV.nk ( DrWEB: Win32.Sector.4, BitDefender: Trojan.Crypt.HO, NOD32: Win32/Sality.AB virus, AVAST4: Win32:KillAV-ET [Trj] )
- c:\windows\system32\аhtоmsys19.exe - Trojan.Win32.KillAV.nk ( DrWEB: Win32.Sector.4, BitDefender: Win32.Kashu.A, NOD32: Win32/Sality.NAS virus, AVAST4: Win32:JunkPoly [Cryp] )
-