Проблемы с вирусами (заявка №10423)
Пользователь обратился [URL=http://virusinfo.info/911test]в сервис 911[/URL], указав на следующие проблемы в работе его компьютера:
1) Вирус не удаляется моей антивирусной программой (Trojan.Buzus, вирус в папке C://winlogonss/winlogons/desKtOp и MS.exe, а также MS.exe и autorun.inf на флешке, от которой судя по всему и пошло заражение. До настоязего времени иногда при загрузке ОС выдавал ошибку Explorer.exe и еще один раз выдал ошибку amvo.exe)
2) Не устанавливаются программы защиты (после установки KAV 2007 - заблокирована добрая половина компонентов защиты, после попытки установки KIS 2010 - все компоненты защиты заблокированы также. Оба устанавливались в режиме обычной загрузки, в безопасный режим не всегда заходит а если и заходит - то компьютер неожиданно выключается выключается через несколько минут при попытке установки)
3) Проблемы с Windows: не загружается, перезагружается/виснет, BSOD, не работает безопасный режим.(Режимы загрузки не всегда включаются с первого раза, то есть после загрузочного экрана идет просто черный экран и не происходит никаких действий, через несколько попыток - включается. Иногда бывают неожиданные завершения работы. При попытке выйти из системы и зайти за другого пользователя пишет что система заблокирована и требует пароль администратора).
Для очистки от вирусов пользовался Dr.Web CureIt (вылечил много троянов, но больше ничего не находил) и Kaspersky Virus Removal Tool. Нашел пару троянов, но опять же - система осталась заражена. На диске C (основной) находится папка System Volume Information (проводник Windows ее не видит, только Total Commander, но отказывается удалять - пишет что у меня нет прав администратора и просит пароль. Восстановление системы отключил но непомогает. Пробовал удалить ее загружаясь с LiveCD - удалил но она опять восстановилась)
Дата обращения: 09.03.2010 20:37:52
Номер заявки: [URL=http://virusinfo.info/911test/?action=case_show_directions&case_id=10423]10423[/URL]
not-a-virus:Monitor.Win32.Ardamax.cm,not-a-virus:Monitor.Win32.Ardamax.dq
[B]10.03.2010 16:30:28[/B] на зараженном компьютере были обнаружены следующие вредоносные файлы:
[LIST=1][*] [B]C:\WINDOWS\system32\ntkrnlpa.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 2165248 байт[*] дата файла: 29.01.2009 23:19:02[*] версия: "5.1.2600.5512 (xpsp.080413-2111)"[*] копирайты: "© Корпорация Майкрософт. Все права защищены."[/LIST][*] [B]C:\WINDOWS\system32\28463\KNLP.exe[/B] - [URL=http://www.securelist.com/ru/find?words=not-a-virus:Monitor.Win32.Ardamax.cm]not-a-virus:Monitor.Win32.Ardamax.cm[/URL]
[LIST][*] размер: 538624 байт[*] дата файла: 17.09.2009 18:56:00[*] детект других антивирусов: DrWEB 5.0: Зловред Program.Ardamax.193; BitDefender: Зловред Application.Keylogger.Ardamax.AC[/LIST][*] [B]C:\WINDOWS\system32\28463\KNLP.006[/B] - [URL=http://www.securelist.com/ru/find?words=not-a-virus:Monitor.Win32.Ardamax.dq]not-a-virus:Monitor.Win32.Ardamax.dq[/URL]
[LIST][*] размер: 8192 байт[*] дата файла: 17.09.2009 18:56:00[*] детект других антивирусов: DrWEB 5.0: Зловред Program.Ardamax; BitDefender: Зловред Application.Keylogger.Ardamax.Gen; Avast4: Зловред Win32:Ardamax-HD [Trj][/LIST][*] [B]C:\Program Files\Cracked Steam\steamup.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 96768 байт[*] дата файла: 13.06.2009 20:08:28[/LIST][*] [B]c:\program files\godlike developers\ram saver pro\ramsaverpro.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 197664 байт[*] дата файла: 11.11.2008 21:22:32[/LIST][*] [B]c:\windows\explorer.exe[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 2187264 байт[*] дата файла: 29.01.2009 23:14:42[*] версия: "6.00.2900.5512 (xpsp.080413-2105)"[*] копирайты: "© Корпорация Майкрософт. Все права защищены."[/LIST][/LIST]
