iLite Net Accelerator

Добрый день. 6 дней назад подхватил данную веселуху

что делал

1 стёр всё из локалсеттингс темп (бесполезно)
2. загружался с касперский RescueDisk с обновлёнными базами всё пролечил (бесполезно)
3. При всплывшем бвннере с вымогательством не запускается вобще ничего, кроме акробата.
4. если подождать таймер три часа окно с баннером пропадает и можно запустить AVZ с изменённым именем, но после запуска он появляется с какойто белибердой вместо текста. по аналогии на другом компе тыкнул по вкладкам, пытался его запустить но вылазит билеберда красного цвета и AVZ не запускется. вот такие пироги.

5. лечил касперским через сеть с другой машины (ничего не находит)


PS не пинайте ногами , тут уже 150 тем про эту дрянь уменя уже голова кругом что делать, а это произошло на ноуте с очень важной инфой

заранее спасибо за помощь

[size="1"][color="#666686"][B][I]Добавлено через 46 минут[/I][/B][/color][/size]

щас запустился с дрвеб лайв сиди запускается потом исчезает окошко зелёное и вылазит куча ошибок и потом комп виснет :( ошибка восновном buffer I/o Error

[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]

запустил в Safe Mode вроде пошла проверка

прошёлся Drwebom бесполезно.. вся таже фигня.. выручайте

удалось в Safe Mode сделать лог хайджеком. после этого машина в ребут сразу.

При запуске переименованного АВЗ в Safe Mode меняется разрешение экрана и вылазит баннер с вымогательством. avptool setup не запускается

блин я может запрос оформил не правильно ? а то 3 день тишина никто ничего не пишет

Пофиксить в HijackThis
[code]
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O20 - AppInit_DLLs: C:\WINDOWS\system32\qxvclw.dll
[/code]
ПК перезагрузите.

Попробуйте сделать логи avz.

щас счётчик закончится попробую

пофиксил, при загрузке опять таже фигня. опять сделал лог хайджегом, после этого комп сам сразу в ребут

вот лог новый

мне этот ноут в понедельник кровь из носу рабочий нужен :(

В порядке бреда: свежий CureIt. Там добавляли лечение новых Винлоков.

он даже переименованный не запускается .. попробую запустить когда счётчик закончится

[CODE]O4 - HKLM\..\Run: [Zshutdown] c:\sysprep\patch\sysprep.cmd[/CODE] -- попробуй фиксануть

интересная штука. в каждом новом логе в строке O20 появляется новая DLL которую найти нигде на диске не могу

вот чо каспер написал посли переноса флэхи для заливки лога из заразного ноута 20.12.2009 14:21:57 Обнаружено: Trojan-Downloader.Win32.Piker.yi F:\RECYCLER\qpd.dll

ч ета ещо за херь ? ну и новый лог собственно после пофиксивания ничо не изменилось

Попробуйте найти и удалить файл [B]C:\WINDOWS\system32\bkqxq.dll[/B].

нет такого файла :(

Попробуйте [URL="http://ifolder.ru/13623748"]эту версию AVZ[/URL].

полиморфный скачал жду пока счётчик закончится иначе не запускается

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

вопрос - а реально AVP Tools через сеть с чистой машины пролечить ноут заразный ?

[QUOTE='africa;540022']а реально AVP Tools через сеть с чистой машины пролечить ноут заразный ? [/QUOTE]
Ну вы же сами пишете:
[I]лечил касперским через сеть с другой машины (ничего не находит)[/I]
Реально конечно. С той вашей попытки уже 2 дня прошло, может он уже добавлен в базы, так что попробовать стОит. Если есть антивирус Касперского, то АВП тул качать нет смысла, базы те же самые. Обновите антивирус и проверяйте.

щас воткну

проверка ничего не дала. после окончания счётчика на баннере удалось запустить полиморфный AVZ с изменённым именем и расширением но машина сразу ушла в ребут. это пипец чо делать то..

[size="1"][color="#666686"][B][I]Добавлено через 33 минуты[/I][/B][/color][/size]

само прикольно что если сунуть флэшку в заразный ноут и потом в чистую машину то вирусня находится на флешке. а через сеть ничо не найдено. как так может быть ?

свежий лог

format c:// не предлагать

[size="1"][color="#666686"][B][I]Добавлено через 1 час 51 минуту[/I][/B][/color][/size]

маленькая победа ! загрузился под рескю сиди и в менеджере файлов нашол всётаки эту бидлиотеку и прибил её в темпе и в систем 32 . сейчас загрузился в нормальном режиме запускается AVZ обновил базы сканирую. не работает диспетчер задач и каспер не запускается

[size="1"][color="#666686"][B][I]Добавлено через 47 секунд[/I][/B][/color][/size]

в систем 32 кстати библиотек с таким размером штук 40. все бить не стал

ждем логи.

вот логи жду советов

ау !!

[size="1"][color="#666686"][B][I]Добавлено через 1 час 31 минуту[/I][/B][/color][/size]

вести с полей. пока жду ответов по логам прошёлся КуреИт он вынес 240 :blink: заражённых библиотек . локация систем 32 и виндовс темп. после этого после перезагрузки также не запускается каспер и диспетчер процессов .. пишет заблокированно администртором

может мне ещо прислать чонить надо ? маленько же судя по всему осталось, я просто сёдня на этом ноуте поработать хочу

[size="1"][color="#666686"][B][I]Добавлено через 1 час 6 минут[/I][/B][/color][/size]

ну гляньте ктонить уже логи мои

Пофиксите в HiJack
[CODE]O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1[/CODE]

AVZ тоже не запускается? ПОлиморфный попробуйте

авз запускается я же лог приложил. но он ничо не нашол
прилагаю протокол исследования после пофиксивания (как и ожидалось регедит заработал каспер по прежнему не запускается и диспетчер тоже)

пробовал в службах насильно каспера запустить пишет не могу смотрите журнал событий .. в нём чота найти ничо не могу

[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]

ну скажите уже кто нить чонить !!!

[size="1"][color="#666686"][B][I]Добавлено через 13 минут[/I][/B][/color][/size]

выполнил в AVZ устранение проблем теперь всё работает . на каспер (KIS) не запускается всёрано !!! как мне запустить то его ? может переустановить ?

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

восстановление системы не работает .. значит всётаки какаето дрянь висит у меня ? в процессах запущенных вроди лишнего ничо нет

[size="1"][color="#666686"][B][I]Добавлено через 1 час 38 минут[/I][/B][/color][/size]

включил восстановление осталась проблема только с каспером .. судя потому что никому не интересно походу мои мучения попробую его переустановить

[size="1"][color="#666686"][B][I]Добавлено через 11 минут[/I][/B][/color][/size]

снёс старый установка нового не запускается

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 45 минут[/I][/B][/color][/size]

пока поставил Авиру. надо както работать.. всё также жду совета почему не запускается каспер и не даёт его установить

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options -- проверь содержимое этого ключа. Нет ли там avp.exe.

нету

Такой отчет предоставьте [url]http://virusinfo.info/showthread.php?t=59446[/url]

вот ссылка [url]http://www.getsysteminfo.com/read.php?file=b354cdaab4dd3bd1491c74adba974a2c[/url]

вот лог

гляньте логи ктонить

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Что с Касперским?

закачл карантин название 091225_055004_2009-12-25_4b34285c61786.zip каспер запускается установка потом вылетает . скрипт выполнил как и ожидалось винда при запуске ругается на пропажу csrcs.exe

Удалите Avira. Сделайте новые логи

удалил и установил всётаки каспера. логи чем сделать ? AVZ ?

Логи сделайте avz.

собственно вот

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\bkqxq.dll','');
DeleteFile('C:\WINDOWS\system32\bkqxq.dll');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', 'C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

всё сделал в папке карантин в подпаке сегодняшней даты пусто. такчто могу прислать только лог АВЗ

Плохого не увидел