Не запускается KIS7.0.325

[FONT=Times New Roman][SIZE=3]Суть дела заключается в следующем. Компьютер нашего главного бухгалтера подключен к локальной сети и постоянно находится в интернете. Подключен через ADSL. Пользователем был временно отключен KIS7.0.325, поскольку он препятствовал отправке на банковский сайт электронных форм платежных поручений. Предположительно в период временного отключения KIS7.0.325 в компьютер проникли вирусы. Возможно это прошло при открытии каких-либо интернет-страниц по предложенным ссылкам. [/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Возникшие проблемы:[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]1. не запускается KIS7.0.325 и другие антивирусные программы (AVZ, CureIt, HiJackThis);[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]2. не работает защищенный режим WINDOWS. При попытке закгрузки в Safe Mode наблюдаем черный экран с мигающим курсором;[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]3. не отображаются скрытые файлы и папки;[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]4. в трее появился красный кружок с крестом и периодически всплывает сообщение "Your computer is infected";[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Нами были предприняты следующие действия:[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]1. отключено восстановление системы;[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]2. восстановлен режим Safe Mode;[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]3. восстановлено отображение скрытых файлов и папок;[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]4. запущены переименованные версии CureIt, HiJackThis (переименован в 345.com), AVZ (переименован в 567.com). Соответствующие логи вложены.[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]CureIt обнаружил:[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Trojan.Click.5043 , TrojanProxy.1739 , Tool.ASEye.2[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]После перезагрузки проблемы не исчезли и эти вирусы опять восстанавливаются.[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Будем весьма Вам признательны за помощь в разрешении этой проблемы.[/SIZE][/FONT]

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\WIN-XP\Local Settings\Temporary Internet Files\Content.IE5\PN3N1DSE\Install[1].exe','');
QuarantineFile('C:\Documents and Settings\WIN-XP\Local Settings\Temp\uninst.exe','');
QuarantineFile('C:\WINDOWS\system32\winivstr.exe','');
QuarantineFile('c:\windows\system32\univrs32.dat','');
QuarantineFile('C:\WINDOWS\system32\cru629.dat','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
QuarantineFile('C:\WINDOWS\system32\univrs32.dat','');
QuarantineFile('c:\windows\system32\braviax.exe','');
DeleteFile('c:\windows\system32\braviax.exe');
DeleteFile('C:\WINDOWS\system32\univrs32.dat');
DeleteFile('C:\WINDOWS\system32\cru629.dat');
DeleteFile('c:\windows\system32\univrs32.dat');
DeleteFile('C:\Documents and Settings\WIN-XP\Local Settings\Temp\uninst.exe');
DeleteFile('C:\Documents and Settings\WIN-XP\Local Settings\Temporary Internet Files\Content.IE5\PN3N1DSE\Install[1].exe');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)

Благодарим Вас за оперативное реагирование на нашу проблему. Скрипт загрузили в AVZ, выполнили его, но увы, все осталось по-прежнему. В списке загруженных процессов снова появился файл BRAVIAX.EXE
Никак эта "липучка" не хочет от нас отстать.

Делайте новые логи...

Приносим извинения за задержку с высылкой логов.
Выражаем признательность за помощь.

Пофиксите
[CODE]O20 - AppInit_DLLs: cru629.dat[/CODE]
Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
TerminateProcessByName('c:\windows\system32\braviax.exe');
QuarantineFile('C:\WINDOWS\system32\winivstr.exe','');
QuarantineFile('C:\WINDOWS\system32\cru629.dat','');
QuarantineFile('C:\WINDOWS\system32\univrs32.dat','');
QuarantineFile('c:\windows\system32\braviax.exe','');
DeleteFile('c:\windows\system32\braviax.exe');
DeleteFile('C:\WINDOWS\system32\univrs32.dat');
DeleteFile('C:\WINDOWS\system32\cru629.dat');
DeleteFile('C:\WINDOWS\system32\winivstr.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Закачайте карантин по правилам, повторите логи.

Благодарим за оперативное реагирование на нашу проблему. Скрипт выполнили. Новые логи прилагаем. 678.com - это переименованный CureIt

Вы фиксили? Скрипт прогоняли? Карантин закачали?
У меня такое чувство, что все осталось, как было :(
Системное восстановление у Вас отключено? Если нет - отключите.
Антивирус отключен? Если нет - отключите.
Почистите систему (см. ссылку Очистка ПК в моей подписи).
Повторите Фикс и Скрипт из моего предыдущего сообщения и сделайте новые логи.

Проверили еще раз. Восстановление системы было отключено ранее.
Выполнили рекомендации по очистке компьютера. Фиксили. Новый скрипт тоже выполнили. Высылаем новые логи и карантин.
Обратили внимание на одну особенность - в диспетчере задач braviax.exe иногда выводится маленькими буквами, а иногда большими. Имеет ли это какое-нибудь значение?
При сканировании программой AVZ иногда выводится сообщение Access Violation at address ... При это появляется множество окон с этим сообщением.
Перезагрузка иногда занимает длительное время, 1-2мин. При этом на эране остается только экранная заставка и больше ничего, а потом происходит перезапуск. А иногда перезагрузка выполняется нормально, быстро.
Можно ли исключить из сканирования диск D для ускорения процесса?
P.S. на рабочем столе имеется файл delself.bat

Уважаемые helperы, Вы о нас не забыли? Проблема так пока и не решена, хотя произошли некоторые изменения. Сегодня иногда стал исчезать красный круг с крестом. При этом BRAVIAX.EXE все еще присутствует в списке задач. Причем иногда BRAVIAX.EXE присутствует, а красный круг отсутствует. Иногда наоборот. Иногда оба они присутствуют. Свежие логи прилагаем в прошлом нашем сообщении. К сожалению, очень оперативно отвечать не всегда можем, поскольку компьютер используется бухгалтерией для работы (разумеется, без выхода в интернет).

Не хочет он по хорошему уходить:(будем по-плохому:)

[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]Скачать[/URL]-это IceSword.

Перед запуском переименуйте его например в football.pif,запустите,меню,File,появится аналог проводника,найти:

[CODE]С:\windows\system32\braviax.exe
C:\WINDOWS\system32\univrs32.dat
C:\WINDOWS\system32\cru629.dat[/CODE]

правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
TerminateProcessByName('c:\windows\system32\braviax.exe');
DeleteFile('c:\windows\system32\braviax.exe');
DeleteFile('C:\WINDOWS\system32\univrs32.dat');
DeleteFile('C:\WINDOWS\system32\cru629.dat');
DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Повторите логи.

Здравствуйте, уважаемый Гриша

Выполняем все в точности как Вы пишете. В IceSword выбираем меню File , далее выбираем указанные файлы, в правом поле отмечаем синим цветом три указанных файла, кликаем правой кнопкой мыши, затем "Force Delete" и выбираем "да" на предложение о перезагрузке. Из списка выделенные файлы исчезают, однако перезагрузки не происходит. После принудительной перезагрузки они вновь восстанавливаются. Что же делать?

Выражаем Вам признательность. Есть позитивные тенденции. После выполнения рекомендаций запустился KIS и нашел еще один файл cru625 в папке C/WINDOWS32/
Прикрепляем последние логи. Что нужно будет сделать дальше?

После того как сделали Force Delete и потвердили вопрос о перезагрузке,ее как таковой не будет,следом нужно выполнять скрипт.

Совершенно верно. Все так и сделали. Самые свежие логи в нашем предыдущем сообщении. Каковы должны быть наши дальнейшие действия.

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]

[CODE]O20 - AppInit_DLLs: cru629.dat[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\cru629.dat');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

Повторите логи с п.10 правил

Выполнили скрипт. В HiJack отсутсвовала указанная Вами строка, поэтому фиксить было нечего. Возможно, когда запустился KIS, он удалил все остатки вирусов. Последние логи прикрепляем.
Можем ли мы теперь без опасений работать в интернете?

Beep.sys -пришлите согласно приложения 2 правил ...

AVZ не находит beep.sys
Видимо он был удален предыдущими скриптами. Зато случайно нашли в папке C:/WINDOWS/ файл braviax.exe
Может быть удалить его вручную?
Антивирусное ПО работает нормально. Можно ли выходить в интерент и обновлять KIS?

[QUOTE=NICK_WWF;239075]случайно нашли в папке C:/WINDOWS/ файл braviax.exe Может быть удалить его вручную? [/QUOTE]
поместите его в карантин и пришлите по правилам, потом можете его [I]фтопку[/I] ;)
[QUOTE=NICK_WWF;239075]Можно ли выходить в интерент и обновлять KIS?[/QUOTE]Системное восстановление отключите и очистите ПК от мусора (см. ссылку в моей подписи. Если будете использовать ClearProg - выберите Удалить все (Remove All).
Обновите КИС и сделайте полную проверку системы.