Kryptik.ZS мешает работе

Откуда-то взялась такая вот гадость - при входе в систему НОД 4.0 ругается и не хочет удалять.AVZ на машине стартует только с пустой папкой Base, с косяками в интерфейсе. Стандартные скрипты, понятно, что не выполняет. Полиморфный AVZ логи собрал - прилагаю. Gmer стартует, находит руткит, показывает название сервиса, несколько файлов, все с "kbiwkm" в начале имени. Приложу лог Gmer, если будет надо. По логу Gmer пробовала удалять обнаруженное (интересно же самой попробовать разобраться), аналогично решению подобных проблем здесь, но не помогло. После перезагрузки сервис появляется вновь, а файлы появляются с новыми именами :-(
Проблема осложняется еще и тем, что компьютер удаленный и на месте там нет никого вменяемого, чтобы из безопасного режима поработать... Доступ в интернет заблокирован там.

ЗЫ. То, что расположено в c:\SP и C:\SV3 - наш софт

Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-2768809370-2301974590-273998007-6208\hdav.exe','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\nxkagakj.sys','');
QuarantineFile('\\?\globalroot\systemroot\system32\kbiwkmuvamdbxv.dll','');
DeleteFile('\\?\globalroot\systemroot\system32\kbiwkmuvamdbxv.dll');
DeleteFile('C:\RECYCLER\S-1-5-21-2768809370-2301974590-273998007-6208\hdav.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите карантин через ссылку [b][color=red]Прислать запрошенный карантин [/color][/b] вверху темы, как написано в приложении 3 Правил.
Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.

Карантин выслан, лог по п.2 прикрепляю

Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('\systemroot\system32\drivers\kbiwkmviqkospi.sys','');
DeleteFile('\systemroot\system32\drivers\kbiwkmviqkospi.sys');
DeleteFile('\\?\globalroot\systemroot\system32\kbiwkmuvamdbxv.dll');
BC_DeleteSvc('kbiwkm');
DeleteFile('C:\RECYCLER\S-1-5-21-2768809370-2301974590-273998007-6208\hdav.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите карантин через ссылку [b][color=red]Прислать запрошенный карантин [/color][/b] вверху темы, как написано в приложении 3 Правил.
Обновите базы AVZ.
Сделайте новые логи в обычном AVZ и приложите к этой теме.

Карантин закачен. Обычный AVZ все также не запускается правильно.

Сделайте новый лог по пункту 2 Диагностики в полиморфном AVZ и приложите к этой теме.

Готово

[QUOTE='Veryovka;468355']Обычный AVZ все также не запускается правильно. [/QUOTE]Вы из архива avz все файлы распаковали?
Проведите процедуру, описанную в первом сообщении тут: [url]http://virusinfo.info/showthread.php?t=3519[/url]

Вот то-то и оно, что с обычным AVZ проблема. Тот, что был там, не удаляется - ругается на "недостаточно квот для выполения операции" при попытке удаления любого файла из папки Base. Был залит новый. При его распаковке в другую папку, когда распаковывается Base - тоже самое, "недостаточно квот...". Если его распаковать неполностью, без Base, он стартует, но без текстов в интерфейсе, и с пустым списком стандартных скриптов. Если же пускать старый, он тоже стартует, но выдает полсотни Access violation и падает в итоге...

Гмер все равно продолжает говорить, что руткит, и показывает тот самый процесс, что мы пробовали уже удалять...

Запустите AVZ. Выполните скрипт через меню Файл:
[code]
begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\rgadta.sys','');
DeleteService('rk_remover');
QuarantineFile('C:\WINDOWS\system32\Drivers\SSPORT.sys','');
end.
[/code]
Пришлите карантин через ссылку [b][color=red]Прислать запрошенный карантин [/color][/b] вверху темы.

прикрепила

Проглядел еще одного трояна, хорошо он замаскировался.
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
DeleteService('rgadta');
DeleteService('SSPORT');
BC_DeleteSvc('rgadta');
BC_DeleteSvc('SSPORT');
DeleteFile('C:\WINDOWS\system32\Drivers\SSPORT.sys');
DeleteFile('C:\WINDOWS\system32\rgadta.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Попробуйте сделать новые логи (оба) в обычном AVZ, если не получится, то скрипт №2 в полиморфном.

Воооть. Заработал обычный AVZ.

После перезагрузки машина пытается ставить какое-то устройство, предлагая найти на него драйвер.

Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\kbiwkmegixgwrr');
DeleteService('kbiwkmegixgwrr');
BC_DeleteSvc('kbiwkmegixgwrr');
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.

Проведите через обычный AVZ процедуру, описанную в первом сообщении тут: [url]http://virusinfo.info/showthread.php?t=3519[/url]

Прикладываю. Насколько мне хватает знаний, все почистилось.

Скрипт сбора тоже сделала. Туда, правда, кое-что из нашего рабочего софта попало, что закрыть локальным пользователем нельзя.

Чисто.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\kbiwkmviqkospi.sys - [B]Trojan.Win32.TDSS.angk[/B] ( AVAST4: Win32:Alureon-CM [Rtk] )[*] c:\windows\system32\drivers\ssport.sys - [B]Rootkit.Win32.Agent.pnr[/B] ( DrWEB: Trojan.PWS.GoldSpy.2793, BitDefender: Rootkit.25030, AVAST4: Win32:Haxdoor-KI [Rtk] )[*] c:\windows\system32\rgadta.sys - [B]Rootkit.Win32.Agent.pnr[/B] ( DrWEB: Trojan.PWS.GoldSpy.2793, BitDefender: Rootkit.25030, AVAST4: Win32:Haxdoor-KI [Rtk] )[*] \\?\globalroot\systemroot\system32\kbiwkmuvamdbxv.dll - [B]Packed.Win32.TDSS.z[/B] ( DrWEB: BackDoor.Tdss.based.1, BitDefender: Trojan.Generic.2438994, NOD32: Win32/Olmarik.MF trojan, AVAST4: Win32:Alureon-DA [Rtk] )[/LIST][/LIST]