Я думаю, что принёс этот вирус на флешке со школы, потому что там у нас одни autorun.inf. Может быть где-то еще подхватил. Этот червь не хочет удаляться или лечиться. После удаления и перезагрузки восстанавливается. Прошу помочь.
Printable View
Я думаю, что принёс этот вирус на флешке со школы, потому что там у нас одни autorun.inf. Может быть где-то еще подхватил. Этот червь не хочет удаляться или лечиться. После удаления и перезагрузки восстанавливается. Прошу помочь.
Выполните скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\lxsass.exe','');
QuarantineFile('C:\WINDOWS\system32\03.tmp','');
DeleteService('klwvk');
DeleteFile('C:\WINDOWS\system32\03.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Пришлите карантин, как написано в правилах.
Сделайте то, что написано тут [URL="http://support.kaspersky.ru/faq/?qid=208636215"]http://support.kaspersky.ru/faq/?qid=208636215[/URL].
Повторите логи.
Скрипт выполнил. Карантин выслал. Правда боюсь там не тот файл, в карантине вроде файл от программы cheat engine для подмены пакетов. Хотя вроде по скрипту должен был закарантинить вирусные файлы червя.
Сделал так как написано в той теме на форуме касперского, кроме полной проверки компьютера на вирусы, так как очень долго с моими 200 ГБ занятого места, но уже включил проверку. И пока что не отключал автозапуск. И программа KK.exe ничего больше не нашла. Все по нулям.
[b]Отключите восстановление системы![/b]
Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O4 - HKLM\..\Policies\Explorer\Run: [lxsass] "C:\WINDOWS\system32\lxsass.exe" -at
[/code]
Перезагрузите компьютер и повторите лог HijackThis.
Восстановление можно включить обратно.
Сделайте лог Gmer [URL]http://virusinfo.info/showthread.php?t=40118[/URL]
Пофиксил. Делая этот пункт "Сделайте то, что написано тут [URL]http://support.kaspersky.ru/faq/?qid=208636215[/URL]." пришлось включить восстановление системы, так как там сказано установить пачти на винду. Когда я последний раз ставил какой-то патч, у меня все стало лагать и половина ничего не работало, я делал восстановление. Но теперь установив эти, вижу, что всё работает нормально, перед логом отключил восстановление. После включил.
Сканированеи с помощью GMER делается довольно долго, так что пока в процессе.
Наконец то Gmer закончил проверку. Вот лог.
Почистите систему от мусора [URL="http://virusinfo.info/showthread.php?t=10025"]http://virusinfo.info/showthread.php?t=10025[/URL].
Обновите базы антивируса и сделайте полную проверку.
А как же лог Gmer? Или этим занимается Aleksandra?
Просто вот эти штуки кажется надо исправлять
[QUOTE]Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] coripogd <-- ROOTKIT !!!
Reg HKLM\SYSTEM\CurrentControlSet\Services\coripogd\Parameters@ServiceDll C:\WINDOWS\system32\ucgkglr.dll
Reg HKLM\SYSTEM\ControlSet002\Services\coripogd\Parameters@ServiceDll C:\WINDOWS\system32\ucgkglr.dll[/QUOTE]
опа... мой промах :(
1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('coripogd');
QuarantineFile('C:\WINDOWS\system32\ucgkglr.dll','');
DeleteFile('C:\WINDOWS\system32\ucgkglr.dll');
RegKeyParamDel('HKLM','SYSTEM\CurrentControlSet\Services\coripogd','Description');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Services\coripogd');
DeleteFileMask('%tmp% ','*.* ',true );
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('coripogd');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/showthread.php?t=1235"]правил.[/URL]
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=43828[/url]
3. Повторите лог Gmer.
Карантин выслал, а лог Gmer этак часов через 5 наверно пришлю, а если увижу, что по времени сегодня уже успевать не буду то завтра.
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
Так...Думаю работка вируса...Когда ставлю галочку на показывать скрытые файлы и папки и жму ОК, окошко закрывается, но папки не отображаются! Захожу в свойтва и как-будто я ничего не изменял. :(
Хмм, полный лог я не делал. Когда заходишь в Gmer, он делает пятисекундное быстрое сканирование. Смотрите сами, он это выделил красным цветом.
[QUOTE]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateKey [0xB5E5C0A8] <-- ROOTKIT !!!
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateValueKey [0xB5E5C110] <-- ROOTKIT !!!
Service (*** hidden *** ) coripogd <-- ROOTKIT !!!
[/QUOTE]
Лог Gmer пока в процессе. :)
Делайте полный лог Gmer.
Аааааа, я сглупил, сейчас скан закончился, я хотел нажать save,а нажал scan, и вообще gmer с ошибкой вылетел :(. Может все таки я небуду сканировать диск D? все таки там просто фалйы с моего прошлого жёсткого диска. Ну так или иначе теперь только завтра. Главное я увидел, что опять он видит скрытый процесс
[QUOTE]Service (*** hidden *** ) coripogd <-- ROOTKIT !!![/QUOTE]
И вот тут только две, но он после скана штук 10-15 таких написал, выделил красным, как руткит.
[QUOTE]SDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateKey [0xB5E5C0A8] <-- ROOTKIT !!!
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateValueKey [0xB5E5C110] <-- ROOTKIT !!!
[/QUOTE]
На Клифа внимания не обращайте, это KAV, он всегда так.
Ура! Вот полный лог Gmer.
1. Скачайте [URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]IceSword.[/URL] Запустите, слева внизу нажмите Registry, затем найдите ветки:
[quote]HKLM\SYSTEM\CurrentControlSet\Services\coripogd[/quote]и удалите все ключи с coripogd...
Тоже самое на
[quote]HKLM\SYSTEM\ControlSet002\Services\coripogd[/quote]
2. Сделайте контрольный лог Gmer.
Как искать и удалять ключи реестра с помощью IceSword [url]http://virusinfo.info/showthread.php?t=39413[/url]
А удалять целую папку coripogd из services, или то что в самой папке coripogd удалить, а саму папку оставить?
Удалять все ключи с coripogd. Если Вы не понимаете как это делать, то пройдите по ссылке которую я дала вверху.