Перестал запускаться KIS 2010

**alex-uzer** · 06.09.2010, 21:32

После заражения непонятным вирусом, перестал запускаться KIS 2010,
Dr. Web CureIt порошёлся, в безопасном, и в обычном режиме, настройки по максимуму, нашёл 6 вирей, но каспер так и не запускается...

AVZ находит перехватчиков, но личить не хочет, помогите, 7 дней пытаюсь превести его в чувства и... ни как. При загрузке вылетает табличка "AVP.exe - Ошибка приложения. Исключение unknown software exception (0x00000fd) в приложении по адресу 0x6d662a47 "Ок", и так каждые 5-8 секунд, да при этом появляется процесс kldw.exe и тут же пропадает, если это чем то поможет, один из вирусов был virute.ce.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**thyrex** · 06.09.2010, 22:27

Выполните правила

**alex-uzer** · 08.09.2010, 02:59

Выполните правила

Все программы описанные в правилах есть в наличии, правила все соблюдены, надеюсь на вашу помощь...

**thyrex** · 08.09.2010, 11:48

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

**alex-uzer** · 08.09.2010, 14:36

Спасибо за ответ, карантин отправил, чем ещё я могу помочь?

**thyrex** · 08.09.2010, 20:03

Замените этот файл чистым с дистрибутива http://virusinfo.info/showthread.php?t=51654

**alex-uzer** · 09.09.2010, 14:28

Здравствуйте, сделал всё по инструкции, заменил файл ndis.sys, взял его с точно такой же системы-донора, загрузился с live-cd... Файлы заменены по пути:
C:\WINDOWS\system32\dllcache,
C:\WINDOWS\system32\drivers,
но всё осталось как было, касперский не запускается...

заражённый ndis.sys весил 206 кв, а оригинальный 178 кв...
да если заражённый файл нужен, он есть, я его в zip архив положил и запоролел...

**Никита Соловьев** · 09.09.2010, 14:29

Сделайте лог MBAM

**alex-uzer** · 09.09.2010, 15:41

Вот сделал логи... и сказать по правде сильно удивлён результатом теста...

**Никита Соловьев** · 09.09.2010, 19:18

Сообщение от alex-uzer

да если заражённый файл нужен, он есть, я его в zip архив положил и запоролел

У нас уже есть Ваш файл.
NDIS.sys - Virus.Win32.Protector.f

Удалите в МВАМ:

Код:

Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{8e8e8f8a-8fcc-88ce-bcb8-b8fd8e88888a} (Malware.Packer.Gen) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit32.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDORSYS (Malware.Trace) -> No action taken.

Зараженные параметры в реестре:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\init (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\win (Trojan.Agent) -> No action taken.
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows\win (Malware.Trace) -> No action taken.
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows\init (Malware.Trace) -> No action taken.

Сделайте новый лог

**alex-uzer** · 10.09.2010, 16:04

выкладываю логи после MBАM (пофиксил), но каспер не запускается

**Никита Соловьев** · 10.09.2010, 16:33

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):

Код:

begin
 BC_QrFile('C:\WINDOWS\system32\comsats.sys');
 BC_QrFile('C:\WINDOWS\system32\service.sys');
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Карантин пришлите по правилам

**alex-uzer** · 10.09.2010, 17:57

прошу прощения, по ссылке карантин был отправлен не тот файл... в виду этого, делаю повторную отправку, нужного файла...

Добавлено через 20 минут

отправил Вам, запрошенный файл (оформлен по правилам), ещё раз извините, за допущенные мной ошибки...

**alex-uzer** · 13.09.2010, 16:39

Уважаемые администраторы форума, я ценю ваше желание помочь, и спасибо вам за вовремя оказанную помощь, но я всё таки переустановил ОС, надеюсь, что не отнял у вас много времени, и что в этой винде нет подобных дыр... ВЫ ЛУЧШИЕ

**CyberHelper** · 14.09.2010, 16:39

Статистика проведенного лечения:

Получено карантинов: 3
Обработано файлов: 7
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\drivers\\ndis.sys - Virus.Win32.Protector.f ( DrWEB: BackDoor.Bulknet.417, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.K virus, AVAST4: Win32:Cutwail-AP [Rtk] )