Показано с 1 по 16 из 16.

Очередной eKav Antivirus K206514200:4460 (заявка № 66120)

  1. #1
    Junior Member Репутация
    Регистрация
    01.11.2009
    Сообщений
    8
    Вес репутации
    53

    Thumbs down Очередной eKav Antivirus K206514200:4460

    Система почти полностью заблокирована, ничего не запускается даже в безопасном режиме, пытался запускать AVZ как полиморфные из одного файла, так и менять ЕХЕшник на .pif с другим именем, все равно при открытии окошка программы Виндовс тут же уходит на завершение работы, остальные антивирусы не запускаются вовсе, Hijack запускается делает логи (после чего компьютер в спешке самоперезагружается), логи из безопасного режима прилагаю.

    Подключал жесткий диск к другому системному блоку, сканировал KIS2010 с обновлением баз от 11 утра сегодня, ничего не нашел.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Пофиксите в HijackThis:
    Код:
    R3 - Default URLSearchHook is missing
    O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Program Files\ICQToolbar\toolbaru.dll (file missing)
    O2 - BHO: vjwjsquP - {C4A9BDD1-CD85-4398-A370-C2C53E1C70EA} - C:\Documents and Settings\All Users\Application Data\vjwjsqu.dll (file missing)
    O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
    O20 - Winlogon Notify: crypt - C:\WINDOWS\
    O20 - Winlogon Notify: rssync - C:\WINDOWS\
    O20 - Winlogon Notify: xztyozp - C:\WINDOWS\
    Но это просто "уборка мусора". Зловреда в этом логе не видно.

    Попробуйте сделать лог gmer.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    01.11.2009
    Сообщений
    8
    Вес репутации
    53
    Смог запустил gmer только переименова ЕХЕшник и поставил расширение pif

    Просканил систему, в конце написало что он нашел руткит, лог прилагаю.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Да, gmer показал то, что нужно.
    Подождите немного, подумаем как с этим поступить...
    I am not young enough to know everything...

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Сделайте так. Зайдите в Гмер на закладку Files и зайдите в папку C:\WINDOWS\Cursors
    там найдите выделенный красным файл C:\WINDOWS\Cursors\sizenwse.ani:RZyZ96m3 и скопируйте его куда-нибудь, чтобы прислать нам (прислать его надо будет предварительно добавив в карантин AVZ, и прислать, как написано в правилах).
    затем сохраните текст ниже как start.bat в ту же папку, где находится gmer
    и запустите start.bat
    Код:
    perdik.pif -del file "C:\WINDOWS\Cursors\sizenwse.ani:RZyZ96m3"
    perdik.pif -reboot
    Если имя файла Гмера меняли, то надо его и батнике поменять.
    Компьютер перезагрузится. Попробуйте запустить AVZ, если запустится, то добавьте скопированный файл в карантин и пришлите по правилам. Потом сделайте логи AVZ.
    Последний раз редактировалось Bratez; 07.01.2010 в 07:08.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  7. #6
    Junior Member Репутация
    Регистрация
    01.11.2009
    Сообщений
    8
    Вес репутации
    53
    батник не смог запустить, cmd было блокировано тоже, подключил жесткий диск к другому системному блоку, запустил с него скрипт на gmer-а, подключил обратно, запустил, пока следов вируса особо не видно, логи прилагаю.

    Зловреда из карантина отправил.

  8. #7
    Junior Member Репутация
    Регистрация
    01.11.2009
    Сообщений
    8
    Вес репутации
    53
    С отсутствием проблем это я погорячился, в панели управления много чего не работает, например управление учетными записями и установка и удаление программ, так же не загружается ESET хотя присутствует в автозагрузке и до заражения загружался.

  9. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Отчет GSI (ссылка в подписи) сделайте
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    Так, раз AVZ запускается - попробуйте выполнить такой скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelCLSID('C4A9BDD1-CD85-4398-A370-C2C53E1C70EA');
     QuarantineFile('C:\Documents and Settings\All Users\Application Data\vjwjsqu.dll','');
     QuarantineFile('C:\WINDOWS\Cursors\sizenwse.ani:RZyZ96m3','');
     DeleteFile('C:\Documents and Settings\All Users\Application Data\vjwjsqu.dll');
     DeleteFile('C:\WINDOWS\Cursors\sizenwse.ani:RZyZ96m3');
     RegKeyStrParamWrite('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(StringReplace(RegKeyStrParamRead('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'C:\WINDOWS\Cursors\sizenwse.ani:RZyZ96m3', ''), ',,', ','));
     BC_ImportAll;
    ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    Система перезагрузится.
    После перезагрузки - пришлите карантин и сделайте новые логи.

  11. #10
    Junior Member Репутация
    Регистрация
    01.11.2009
    Сообщений
    8
    Вес репутации
    53
    Скрипт запустил, архив с карантином отправил, ничего не изменилось в системе, логи прилагаю.

    2thyrex,
    я сделал лог, но не совсем понял что с ним сделать, на том компьютере, на котором случилась проблема сейчас не стоит ПО от Касперского, оно стоит на другой машинке где нет проблем, поэтому что писать на Хелпдеске я не понял, или Вам прицепить это здесь?

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    - Закройте/выгрузите все программы кроме Internet Explorer.
    Отключите
    - ПК от интернета/локальной сети.
    - Антивирус и Файрвол.
    - Выполните скрипт AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
     StopService('port135sik');
     StopService('nicsk32');
     StopService('FCI');
     StopService('fips32cup');
     QuarantineFile('C:\WINDOWS\system32\mod_logonui.exe','');
     QuarantineFile('C:\Documents and Settings\Надя\Application Data\5.exe','');
     QuarantineFile('C:\WINDOWS\system32\drivers\port135sik.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\nicsk32.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\fips32cup.sys','');
     QuarantineFile('FCI.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\FCI.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\fips32cup.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\nicsk32.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\port135sik.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\FCI.sys');
     DeleteFile('FCI.sys');
     DeleteFile('C:\Documents and Settings\Надя\Application Data\5.exe');
     DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
     DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
     BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('port135sik');
     BC_DeleteSvc('nicsk32');
     BC_DeleteSvc('FCI');
     BC_DeleteSvc('fips32cup');
     SetAVZPMStatus(true);
     ExecuteRepair(11); {разблокировка диспетчера задач}
     ExecuteRepair(17); {разблокировка редактора реестра}
     BC_Activate;
     RebootWindows(true);
    end.
    Система перезагрузится.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи согласно Правил (Диагностика)
    virusinfo_syscure.zip
    virusinfo_syscheck.zip
    hijackthis.log

    - Включите Антивирус и Файрвол
    - Подключите ПК к интернету/локальной сети
    - Загрузите карантин согласно Правил (Приложение 3).
    - Прикрепите новые логи к новому сообщению в этой ветке.

    Добавлено через 58 секунд

    или Вам прицепить это здесь
    именно
    Последний раз редактировалось gjf; 07.01.2010 в 22:56. Причина: Добавлено

  13. #12
    Junior Member Репутация
    Регистрация
    01.11.2009
    Сообщений
    8
    Вес репутации
    53
    Выгрузил все программы которые смог, выполнил скрипт, теперь при входе в систему система находит новое устройство "Нет данных" и предлагает поискать для него драйвера.

    Карантин отправил, логи после выполнения скрипта прикладываю + GSI

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для gjf
    Регистрация
    08.06.2008
    Адрес
    Where I lay my head is home
    Сообщений
    2,685
    Вес репутации
    809
    Больше ничего вредоносного в логах не видно.
    Вы можете отблагодарить хелперов, которые Вам помогли, нажав им на кнопку "Спасибо", а также и весь проект VirusInfo вот тут.
    Рекомендуется изменить все используемые пароли, поскольку теоретически зловред мог их отправить злоумышленникам. Также, рекомендуется провести полную проверку системы антивирусом.
    В обязательном порядке установите Сервис Пак 3 - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    Установите все последние обновления системы Windows и используемых программ. И вообще, постарайтесь выполнить все советы, указанные здесь - это максимально отдалит время нашей следующей с Вами встречи

  15. #14
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Удалите в реестре.
    Код:
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{98771a66-e011-4a7d-bb11-60b405cdb651}
    C:\Program Files\ESET
    
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{c173f217-5609-4a48-9095-9b714ffbe408}
    C:\Program Files\ESET
    
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{e8c0684c-62fb-4073-83fd-a9086bd0dfa8}
    C:\Program Files\ESET
    
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{44013895-cc50-4ce2-ae95-b9d1322de4a2}
    C:\Program Files\ESET
    Это разблокирует антивирус
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  16. #15
    Junior Member Репутация
    Регистрация
    01.11.2009
    Сообщений
    8
    Вес репутации
    53
    Спасибо =) Система все равно после недельной борьбы выглядит плачевно, не загружается управление пользователями, установка и удаление программ, невозможно перезагрузить или выключить компьютер, выбрасывает критическую ошибку Exlporer.exe, при попытке накатить СП3 система просто перезагрузилась =)

    Пожалуй просто переустановлю операционку сразу с СП3 и KIS2010 и буду надеятся что в следующий раз пронесет =)

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 16
    • В ходе лечения обнаружены вредоносные программы:
      1. d:\новая папка\sizenwse.ani - Trojan-Downloader.Win32.Piker.bhi ( AVAST4: Win32:Trojan-gen )


  • Уважаемый(ая) FunAlex, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. eKAV Antivirus СМС на номер 4460
      От petr0v1ch в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 08.01.2010, 01:31
    2. Видимо новый eKAV - K205414300 на 4460
      От Leonid G. Gordeew в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 07.01.2010, 09:05
    3. eKAV antivirus
      От mind_flay в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 03.01.2010, 16:34
    4. смс вирус eKav anitivirus 4460 и прочие
      От фяукен в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 03.01.2010, 14:13
    5. virus вымогатель eKav anitivirus 4460 К204114300
      От Ладомир в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 03.01.2010, 11:46

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01390 seconds with 17 queries