win32.killav

На ПК установлен касперский. Он увидел win32.killav.nk, предложил особое лечение, вроде как все почистил, но после перезагрузки, вновь выскакивает вирус. В безопасный режим не пускает, настройка автозапуска сразу сворачивается. При проверке винтчестера на другом компе касперским ничего не нашлось.

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\avz4\avz.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\olmj.sys','');
DeleteService('MCIDRV_2600_6_0');
QuarantineFile('C:\WINDOWS\system32\АHTОMSYS19.exe','');
TerminateProcessByName('c:\windows\system32\deter177\svсhоst.exe');
QuarantineFile('c:\windows\system32\deter177\svсhоst.exe','');
TerminateProcessByName('c:\windows\system32\deter177\smss.exe');
QuarantineFile('c:\windows\system32\deter177\smss.exe','');
TerminateProcessByName('c:\windows\system32\deter177\lsass.exe');
QuarantineFile('c:\windows\system32\deter177\lsass.exe','');
DeleteFile('c:\windows\system32\deter177\lsass.exe');
DeleteFile('c:\windows\system32\deter177\smss.exe');
DeleteFile('c:\windows\system32\deter177\svсhоst.exe');
DeleteFile('C:\WINDOWS\system32\АHTОMSYS19.exe');
DeleteFile('C:\WINDOWS\system32\drivers\olmj.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(8);
ExecuteRepair(16);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Карантин отправил, сейчас повторю логи. После перезагрузки касперский все равно ругался.

Логи сделал.

Выполните скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\АHTОMSYS19.exe','');
TerminateProcessByName('c:\windows\system32\deter177\svсhоst.exe');
QuarantineFile('c:\windows\system32\deter177\svсhоst.exe','');
TerminateProcessByName('c:\windows\system32\deter177\smss.exe');
QuarantineFile('c:\windows\system32\deter177\smss.exe','');
QuarantineFile('C:\WINDOWS\system32\DETER177\lsass.exe','');
QuarantineFile('C:\WINDOWS\system32\hv956253.dll','');
DeleteFile('C:\WINDOWS\system32\hv956253.dll');
DeleteFile('c:\windows\system32\deter177\smss.exe');
DeleteFile('c:\windows\system32\deter177\svсhоst.exe');
DeleteFile('C:\WINDOWS\system32\DETER177\lsass.exe');
DeleteFile('C:\WINDOWS\system32\АHTОMSYS19.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(8);
ExecuteRepair(16);
RebootWindows(true);
end.[/CODE]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Карантин отправил, логи сделал.

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] [COLOR="Red"]и будьте внимательны[/COLOR]: где [U][CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe[/U] написан БОЛЬШИМИ БУКВАМИ - не трогайте, это правильный файл.
[CODE]F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\АHTОMSYS19.exe
O4 - HKLM\..\Run: [сtfmоn.exe] C:\WINDOWS\system32\сtfmon.exe
O4 - HKLM\..\Run: [lsass] C:\WINDOWS\system32\DETER177\lsass.exe
O4 - HKCU\..\Run: [сtfmоn.exe] C:\WINDOWS\system32\сtfmon.exe
[/CODE]

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\deter177\smss.exe');
TerminateProcessByName('c:\windows\system32\deter177\svсhоst.exe');
QuarantineFile('c:\windows\system32\аhtоmsys19.exe','');
QuarantineFile('C:\WINDOWS\system32\DETER177\svсhоst.exe','');
QuarantineFile('C:\WINDOWS\system32\DETER177\smss.exe','');
QuarantineFile('C:\WINDOWS\system32\DETER177\lsass.exe','');
QuarantineFile('Explorer.exe C:\WINDOWS\system32\АHTОMSYS19.exe','');
QuarantineFile('C:\WINDOWS\system32\hv956253.dll','');
QuarantineFile('C:\WINDOWS\system32\nn297181.dll','');
QuarantineFile('C:\WINDOWS\system32\сtfmon.exe','');
DeleteFile('C:\WINDOWS\system32\сtfmon.exe');
DeleteFile('C:\WINDOWS\system32\hv956253.dll');
DeleteFile('C:\WINDOWS\system32\nn297181.dll');
DeleteFile('Explorer.exe C:\WINDOWS\system32\АHTОMSYS19.exe');
DeleteFile('C:\WINDOWS\system32\DETER177\lsass.exe');
DeleteFile('C:\WINDOWS\system32\DETER177\smss.exe');
DeleteFile('C:\WINDOWS\system32\DETER177\svсhоst.exe');
DeleteFile('c:\windows\system32\аhtоmsys19.exe');
DeleteFileMask('C:\WINDOWS\system32\DETER177','*.*',true);
DeleteFileMask('%temp%','*.*',true);
DeleteDirectory('C:\WINDOWS\system32\DETER177');
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(True);
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:

- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).

Простите за задержку, не было доступа в выходные к ПК. Карантин отправил, логи прилогаю. После выполнения скрипта, касперский находил много вирусов, а также появилось новое устройство в диспетчере устройств, которое просит установить драйвер.

Неизвестное устройство удалите в [B]Диспетчере устройств[/B]

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('MCIDRV_2600_6_0');
DeleteFile('MCIDRV_2600_6_0.sys');
ExecuteSysClean;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Сделайте новые логи

Все сделал.

В логах ничего подозрительного. Жалобы есть?

- Прочитайте [URL="http://virusinfo.info/showthread.php?t=30339"]Как не стать завсегдатаем раздела Помогите?[/URL]
[QUOTE]Platform: Windows XP SP2 (WinNT 5.01.2600)[/QUOTE]
- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить [B][COLOR="Red"]все защитные приложения[/COLOR][/B] (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
[QUOTE]MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)[/QUOTE]
- Установите IE 8
- Обновите OpenOffice

Ок, учту все. Пока вроде проблем нет. Спасибо большое!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]48[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\deter177\lsass.exe - [B]Trojan.Win32.KillAV.nk[/B] ( DrWEB: Win32.Sector.4, BitDefender: Win32.Kashu.A, NOD32: Win32/Sality.NAS virus, AVAST4: Win32:JunkPoly [Cryp] )[*] c:\windows\system32\deter177\smss.exe - [B]Trojan.Win32.KillAV.nk[/B] ( DrWEB: Win32.Sector.4, BitDefender: Win32.Kashu.A, NOD32: Win32/Sality.NAS virus, AVAST4: Win32:JunkPoly [Cryp] )[*] c:\windows\system32\deter177\svсhоst.exe - [B]Trojan.Win32.KillAV.nk[/B] ( DrWEB: Win32.Sector.4, BitDefender: Win32.Kashu.A, NOD32: Win32/Sality.NAS virus, AVAST4: Win32:JunkPoly [Cryp] )[*] c:\windows\system32\hv956253.dll - [B]Trojan.Win32.KillAV.nk[/B] ( DrWEB: Win32.Sector.4, BitDefender: Trojan.Crypt.HO, NOD32: Win32/Sality.AB virus, AVAST4: Win32:KillAV-ET [Trj] )[*] c:\windows\system32\nn297181.dll - [B]Trojan.Win32.KillAV.nk[/B] ( DrWEB: Win32.Sector.4, BitDefender: Trojan.Crypt.HO, NOD32: Win32/Sality.AB virus, AVAST4: Win32:KillAV-ET [Trj] )[*] c:\windows\system32\аhtоmsys19.exe - [B]Trojan.Win32.KillAV.nk[/B] ( DrWEB: Win32.Sector.4, BitDefender: Win32.Kashu.A, NOD32: Win32/Sality.NAS virus, AVAST4: Win32:JunkPoly [Cryp] )[/LIST][/LIST]