Троян подключил чужой удаленный сеанс

[COLOR=#222222][FONT=Verdana]Добрый день.
Прошу оказать содействие в удалении вируса.

В системе стоит KAS 2012 - Crystal 2.0 с последними базами.

Запустил на полное сканирование на макс. настройках, оно еще не было завершено полностью был найден вирус -
название было нечто вроде svhost.
Касперский предложил удалить с перезагрузкой компьютера, я нажал - да.

После перезагрузки:
- Касперкий не запустился (процесс висел, но к приложению нельзя было получить доступ)
- пропала команда в контекстном меню - проверить на вирусы / запустить в песочнице
- перестали запускаться .exe и .com файлы
- системный реестр не запускается
- при попытке прописть в него информацию через .reg файлы выдается ошибка:
"Не удалось импортировать (имя reg файла). Не все данные были записаны в реестр.
Некоторые разделы были заняты системой или другими процессами".
- Reg Orginizer позволяет импортировать файлы в реестр, но результат откатывается обратно после перезагрузки
- при попытке скачать с сайтов доктор веба и касперского останавливается закачка, либо вообще не запускается.
- Важно - появилось чужое сетевое подключение со скоростью 8,1 мб /с (тип - шлюз интернета).
В свойствах враждебного шлюз пишет: "Это подключение позволит подключаться к интернету через общее подключение на другом компьютере"
- через чужое подключение с момента запуска windows идет бешеный трафик, пожирающий половину моей скорости в инете
- В разделе мой компьютер - управление - службы и приложения - службы - заработала служба Диспетчер подключений удаленного доступа (раньше была отключена, попытки остановить ни к чему не приводят - зависает на половине процесса. При этом у меня в политиках была отключена (и до сих пор отключена) сама возможность удаленного подключения
- чужое подключение, а теперь и свое не получается удалить через правую кнопку мыши - соответствующие опции не работают


Что было проделано:
-выяснил, что даже если не запускается .exe файл, рботают bat фацлы, я просто меняю расширение с .exe на .bat
Так я запустил качалки, винрар, и касперского. Касперскому пришлось переименовать расширение через безопасный режим - в обычном не позволял механизм самозащиты.
- выяснитлось, что настройки проверки по ребованию / полной проверки касперского изменились с максимальных на пониженные
- касперский при сканировании нашел 3 вируса - Butirat, Game Over.exe и третий (эвристик)
- удалось скачать Dr Web Cure IT
- просканировал систему, были найдены инструмены Java для создания вирусов в какой-то папке Sun и еще много вирусов, которых зевнул касперский
- теперь Cure it больше не запускается - выдает ошибку
- касперский Remooval tool также не запускается - выдает ошибку о невозможности открыть exe файл

Первый раз поймал такого серьезного зверя.[/FONT][/COLOR]

Уважаемый(ая) [B]kleimor[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[b]kleimor[/b], Здравствуйте!

1. Выполните скрипт в AVZ (Файл - Выполнить скрипт)

[CODE]begin
ExecuteRepair(1);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.[/CODE]

ПК перезагрузится.

2. Если файлы exe все также не будут запускаться, то Скачайте и запустите файл --> [url]http://rghost.ru/40085985[/url]

3. Подготовьте лог [URL="http://virusinfo.info/showthread.php?t=115256"]RSIT[/URL]

Здравствуйте.
Спасибо за оперативный ответ.

1)После выполнения указанного выше скрипта пропала возможность скаать какой-либо файл с инета, при попытке скачать через левую кнопку мыши или сохранить объект как теперь просто открывается рабочий стол.
Как можно вернуть нормальную закачку?

exe файлы по прежнему не заработали

2) скачал указанный Вами файл fix-exe.reg качалкой. при попытке запустить - выскакивает ошибка:

"не удается импортировать "С:\\fix-exe.reg". Ошибка при доступе к реестру.

В прошлый раз (до выполнения скрипта) выскакивала ошибка, что реестр занят процессом

3) по-прежнему подключен чужой шлюз в сетевых подключениях

4) видимо, RSIT сработал не совсем корректно, в той же папке, где и он, лежал Hijakthis, но exe не запускаются, а Hijakthis с расширением bat он просто не увидел

- [URL="http://virusinfo.info/showthread.php?t=58309"]Сделайте лог ComboFix[/URL].

При попытке установки Комбофикса выскакивает ошибка приложения

"Инструкция по адресу "0х01851225" обратилась к памяти по адресу "0х01851225". Память не может быть "read".

"ОК" - завершение приложения
"отмена" - отладка приложения

При выборе "Отмена" отладчик не запускается

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Самое обидное в ситуации - касперский Кристалл даже не пикнул, когда захватили полный контроль над системой.
Должна была сработать функция контроля приложений - она была выставлена автоматически помещать ВСЕ новые exe файлы в тип "Сильные ограничения". Вирус просто не мог бы запуститься, не должен был ничего суметь прописать в системный реестр.
Сказать, что я разочарован в этом антивире - ничего не сказать.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

К слову сказать, после вирусной атаки эта функция перестала работать вообще

[b]kleimor[/b],

1. Сделайте проверку диска на ошибки + сделайте дефрагментацию.

2. [URL="http://virusinfo.info/showthread.php?t=121767"]Сделайте полный образ автозапуска uVS[/URL]

приложил также в формате рар

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

попробовал проверить диски на наличие ощшибок.
Диск, на котором установлена ОС, не проверяется - ошибка "не удалось выполнить операцию"
Другой диск проверился без проблем.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

еще такой вопрос - если в комментариях ко всем системным файлам в отчете uVS написано "нет подписи у известного файла" - это признак, что ОС нелицензионная или что вирус теперь переписал все экзешники в системе?

[b]kleimor[/b],

1. Вы работаете с учетной записи администратора? Загрузитесь в безопасном режиме с сделайте новый образ, только запускайте start.exe от имени администратора!

2. Файл может быть как поврежден так и заражен. В данном случае первое!

лог программы из безопасного режима.

В логе - у ВСЕХ системных файлов не удается прочитать цифровую подпись - выходит, 100 % операционки уже повреждено?

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

еще прошу в приоритетном порядке - подскажите, как удалить этот удаленный сеанс - хакер постоянно качает что-то с моего компа. Напрягает, честно

никто ничем не может помочь?

+1.

Сменить пароли у учетных записей можете?

rundll32.exe не запустился, даже когда переименовал его в .bat
как из командной строки получить доступ к окну "учетные данные"?
На вирус тотал сработал 1 детект из сорока - антивирус TheHacker распознали файл как Trojan/PSW.LdPinch.andx

Система работает как-то странно. Снова стал запускаться касперский автоматически (раньше не запускался по автозапуску). Снова работает драйвер графического оформления висты. Раньше значки exe не распознавались, теперь снова стали подгружаться их картинки.
Но реестр по-прежнему не дает себя изменять.
Да, и иногда чужой шлюз при включении системы остается отключенным. Несколько раз я видел, ка кон сам включается.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

готов уже переставить систему..похоже, на этот раз зло победило

Могу дать только один совет: обратиться на форум Каспеского. Если у Вас его пробили, то пусть Вам оттуда и помогают.