Цепная Реакция

сейчас активного заражения не видно ...
[QUOTE=Weather;169679]Dll'ки да, а остальные exe'шники нет (не вижу смысла удалять все исполняющие файлы в системе, на некоторые можно наплевать, конечно, но от некоторых плакать хочется, как они нужны, я бы давно уже переставил систему, так троян сидит даже в инсталлах нужных мне программ, которые я бы сразу стал устанавливать на новой системе)
[/QUOTE]
действительно хочется плакать .... смысл лечиться когда 200-300 зловредов на борту .... пришлите один из "нужных файлов" .... если он детектится как троян то там лечить нечего - это зловред от рождения ....
klif.sys - драйвер от avptool ...

[QUOTE=V_Bond;169691]сейчас активного заражения не видно ...[/QUOTE]
В syscure мне видно :huh:
Не понимаю...

А по поводу "нужных файлов" - я собираю установочники используемых программ, так сказать на всякий пожарный и почти все они exe (теперь понимаю свою ошибку, лучше бы зарарил).

Закачиваю неустановочник, но по Касперскому зараженный файл. Пароль "virus".

видимо что-то не то .... (все же файловый вирус)
[code]
AhnLab-V3 2008.1.10.10 2008.01.09 -
AntiVir 7.6.0.46 2008.01.09 -
Authentium 4.93.8 2008.01.09 [B]W32/Sality.AE[/B]
Avast 4.7.1098.0 2008.01.08 -
AVG 7.5.0.516 2008.01.09 -
BitDefender 7.2 2008.01.09 [B]Win32.Kashu.A[/B]
CAT-QuickHeal 9.00 2008.01.09 -
ClamAV 0.91.2 2008.01.09 -
DrWeb 4.44.0.09170 2008.01.09 [B]modification of Win32.Kuku[/B]
eSafe 7.0.15.0 2008.01.08 -
eTrust-Vet 31.3.5444 2008.01.09 -
Ewido 4.0 2008.01.09 -
FileAdvisor 1 2008.01.09 -
Fortinet 3.14.0.0 2008.01.09 -
F-Prot 4.4.2.54 2008.01.09 [B]W32/Sality.AE[/B]
F-Secure 6.70.13030.0 2008.01.09 -
Ikarus T3.1.1.20 2008.01.09 -
Kaspersky 7.0.0.125 2008.01.09 [COLOR="Red"]Trojan.Win32.KillAV.ne[/COLOR]
McAfee 5203 2008.01.09 -
Microsoft 1.3109 2008.01.09 -
NOD32v2 2778 2008.01.09 -
Norman 5.80.02 2008.01.09 -
Panda 9.0.0.4 2008.01.09 -
Prevx1 V2 2008.01.09 [B]Heuristic: Suspicious Self Modifying File[/B]
Rising 20.26.21.00 2008.01.09 -
Sophos 4.24.0 2008.01.09 -
Sunbelt 2.2.907.0 2008.01.09 [B]VIPRE.Suspicious[/B]
Symantec 10 2008.01.09 -
TheHacker 6.2.9.184 2008.01.08 -
VBA32 3.12.2.5 2008.01.09 [B]suspected of Virus.Win32.Sality.[/B]4
VirusBuster 4.3.26:9 2008.01.09 -
Webwasher-Gateway 6.6.2 2008.01.09 [B]Worm.Win32.Malware.gen (suspicious)[/B]
[/code]

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

сейчас будем смотреть лечит ли его доктор ...

Что же делать?
Может есть какое - то лекарство?

Хотя бы найти откуда ноги растут...

пока Dr. Web его тоже не лечит ... остается только одно ... подождать некоторое время ... думаю не более суток ... пока научится лечить и запустить полную проверку Cureit (предварительно записав его на Сd) ...

Ясно... Просто вирус то не новый, в базы Касперского например еще в ноябре, по - моему, добавлен был...

Будем ждать...

это новая модификация ....

А по поводу Heur.AntiAV может что - либо посоветуете?

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[QUOTE=V_Bond;169737]это новая модификация ....[/QUOTE]

Здорово... Я первооткрыватель, пусть и в таком грязном деле... :cool:

Если нет желания ждать обновления дрвеб можно попробовать
[URL="http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/"]AVPTool[/URL]
Касперский этот вирус уже знает
[QUOTE]Kaspersky 7.0.0.125 2008.01.09 Trojan.Win32.KillAV.ne[/QUOTE]

[size="1"][color="#666686"][B][I]Добавлено через 19 минут[/I][/B][/color][/size]

Рекомендация отменяется :) т.к. скорее всего поступит предложение от программы "удаляй его н..." подождем когда лечить начнут (завтра наверное)

Эт я и сам знаю, что отменяется, уже писал об этом несколько постов назад...

DrWeb добавил процедуру лечения. Обновляйте базы и лечите компьютер.

Файл содержит троянскую программу. Лечение невозможно: запись не поддерживается

Троянская программа: Trojan.Win32.KillAV.ne

Файл: c:\program files\internet explorer\iexplore.exe

Итог: ни одного вылеченного файла(

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Прошу прощения, перепутал Вашу подпись с рекомендацией и обновил Касперского. Исправляюсь, качаю CureIt!

[size="1"][color="#666686"][B][I]Добавлено через 8 часов 39 минут[/I][/B][/color][/size]

Фух, вроде все...
Буду внимательно следить за поведением системы...
Надеюсь проблема в прошлом. Даже Symantec поставился, не ожидал. Может и сейф мод заработает... :)

Огромные благодарности всем, кто принимал участие!

сделайте новый комплект логов ...

[quote=V_Bond;170491]сделайте новый комплект логов ...[/quote]
Вот...

в логах чисто ... осталось закрыть лишнее из этого списка ...
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

Вот к сожалению до сих пор не знаю, что с этим делать, что надо, а что нет из служб. Компьютер - домашний. Сеть есть.

выполните скрипт ...
[code]
begin
SetServiceStart('RDSessMgr', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
[/code]

Выполнил, целиком полагаясь на Вас... Без понятия, что мне это даст. Буду считать, что стало меньше дырок для всякой гадости...

И еще вопросик: от чего зависит количество запущенных svchost.exe
У меня их 7 по прежнему, раньше вроде было меньше...

это нормально ....зависит от запущенных сервисов (служб), за которые отвечает svchost.exe ... их может быть более 20 ...

Обратил внимание, что из моего профиля не детектится юзер, соответственно нельзя завершить сеанс - сменить юзера. Это последствие скриптов или что?