eKAV "antivirus"

Здраствуйте.
Каким то образом неожиданно подцепил вечером, 6 числа эту дрянь.
Все стандартно - всплывающее и не убирающиеся окошко с "антивирусом", просьба отослать смс с текстом на номер 4460.

он заблокировал мне все защитные программы, в интернет с браузера пускал, но при попытке попасть на сайт со словами "вирус, антивирус", на сайты антивирусных компаний - браузер моментально вылетал и возникало окошко.

Я зашел сюда через программу для сайта вконтакте, он её за браузер не считает и не блокирует.

прочитал что мне нужно делать - в первую очередь я скачал Kaspersky rescue disk, записал на диск его.
Базы были от 5 января там.

Сделал полную проверку с этого диска, он нашел какие то трояны и грохнул их, но как оказалось это не то. Обновить его с его работающего режима я не имел возможности, тк там нет интернета.

После этого я перешел к скачке Kaspersky Virus Removal Tool, при нажатии на Скачать программа для контакта вылетала и вылазило старое окошко вируса.

Вчера я скачал последний Kaspersky Virus Removal Tool с другого компьютера, закинул на флешку, вставил ее в свой комп, скопировал на жесткий диск, попытался запустить и ничего...
Установить его мне не давал вирус, переименовка в game.pif тоже не дала результата - двойной шелчок по значку программы и больше ничего.

После этого я скачал DrWeb Life CD, сделал сканирование(7 часовое) и текстовом(безопасном) режиме ( графический почему то не запускался)

Он тоже ничего не выявил.

Я пытался вычислить и грохнуть процесс, запущенный вирусом, но диспетчер задач был заблокирован.

Подборка кода(на этом сайте варианты расчета кода смотрел), что я должен получить в ответ на смс не сработала, все неверно.

Подборщик на сайте Касперского в ответ на введенный мною номер и текст, что надо отослать, выдал мне код, но и он не подошел.

Восстановление системы у меня отключено было.

Я частично решил проблему, поставив в Биосе дату 5 января.
Назойливый баннер исчез, антивирусные сайты разблокировались.
В данный момент пишу с Оперы.
но система там и осталась частично заблокированна, диспетчер задач не работал, антивирус и другие программы не запускались.

я скачал и запустил AVZ, обновил его базы, сделал проверку системы.

Скачал Dr Web CureIT, в появившимся окне нажал на пуск.

и все это с датой 5 января, поскольку при возвращении к сегодняшней дате, ни одна из этих программ не запускалась, при моём заходе в папку с AVZ, компьютер уходил сразу в перезагрузку.

AVZ при проверке разблокировал мне диспетчер задач, теперь он работает.

Я сделал логи проверки ( при работе системы 5 января, при нормальной дате это все не запускается даже)

Скачал HijackThis, но при запуске выдает что приложению не удалось запуститься, тк MSVBVM60.DLL не был найден.
В скаченном архиве, где он переименован тоже самое.

не знаю что с ним делать, от него логов нет.

у меня есть вероятный выход из ситуации - вернуть обычную дату в биосе, отсоеденить жесткие диски,подсоеденить к чистому компьютеру и выполнить с него полную проверку и лечение.

Или можно как то иначе?
Помогите решить проблему с надоедливым вирусом, логи AVZ:

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\help\cpanel.chq:W9DCWqJ:$DATA','');
QuarantineFile('C:\WINDOWS\Help\cpanel.chq:W9DCWqJ','');
DeleteFile('C:\WINDOWS\Help\cpanel.chq:W9DCWqJ');
DeleteFile('c:\windows\help\cpanel.chq:W9DCWqJ:$DATA');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(17);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.

Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=66532[/url]).

Отключите восстановление системы.

Сделайте новые логи + [URL="http://virusinfo.info/showthread.php?t=40118"]лог gmer[/URL].

Все выполнил, выкладываю логи
Лог программы gmer занимает 1.14мб, странно, для текстового файла это невероятно много.
Заархивировал его, стал 26,9 кб, выкладываю в виде архива winrar

Сохраните текст ниже как cleanup.bat в ту же папку, где находится pj38jyii.exe (gmer)
[CODE]pj38jyii.exe -del service qxawsemb
pj38jyii.exe -del file "C:\WINDOWS\system32\uibudqew.dll"
pj38jyii.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\qxawsemb"
pj38jyii.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\qxawsemb"
pj38jyii.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\qxawsemb"
pj38jyii.exe -reboot[/CODE]И запустите cleanup.bat.
Компьютер перезагрузится!

Сделать новый лог gmer.

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\020.tmp','');
DeleteService('rnwctkuy');
DeleteFile('C:\WINDOWS\system32\020.tmp');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(StringReplace(RegKeyStrParamRead('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'C:\WINDOWS\Help\cpanel.chq:W9DCWqJ', ''), ',,', ','));
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

[QUOTE] >> Заблокированы настройки системы System Restore[/QUOTE]Исправьте через [B]AVZ - Файл - Мастер поиска и устранения проблем - Все проблемы -[/B] отметить указанное - [B]Исправить[/B]

Новый лог virusinfo_syscheck.zip также сделайте

все выполнил

после выполнения скрипта в AVZ пришлось перезагружать самому, тк после окончания выполнения работы программа выдала мне какое то сообщение.

Скрипт для gmer почему не выполнили?

Сохраните текст ниже как cleanup.bat в ту же папку, где находится pj38jyii.exe (gmer)

это?

выполнил, возникло системное окошко, где то на секунду возникло синее окно и компьютер перезагрузился.

или лог не до конца собран?

еще раз сделал, лог собираю

вот новый лог

На моем компьютере настало 8 число(прошло 3 дня с моменты смены даты на 5), зашел на сайт, меня выкинуло с браузера, сразу понял что "пришло время" вируса, хотя окно не появилось

Зашел в папку с AVZ - перезагрузка.
снова вернул дату на 5 число, чтобы система могла нормально функционировать.
обновил базы AVZ, решил проблемы ( включил реестр например), сделал проверку.

но 8 числа блокировка системы вернется.

еще мне в лс пришло вот такое письмо:

клиент зацепил седня этот вирус, после нескольких вводов кодов окно исчезло, но ниодна прога не запускалась, AVZ удаляла с флешки и комп уходил в ребут
Решение:
1. из под ERD
[url]http://torrents.ru/forum/viewtopic.php?t=367816[/url]
с помощью AVZ нашел 3 трояна, удалил
2. очистил папки Temp у всех юзеров в C:\Documents and Settings
3. в реестре очистил значение параметра AppInit_DLLs
в ветке HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
4. ребут, все программы запускаются, переустановка антивируса, установка Spybot S&D

ваше мнение - совет действенный?
я уже читал про AppInit_DLLs в HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, поэтому этот параметр я очистил. и через AVZ папку Temp
больше ничего из этого совета пока не предпринимал

Выполните скрипт в AVZ:

[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('rnwctkuy');
QuarantineFile('C:\WINDOWS\system32\020.tmp','');
DeleteFile('C:\WINDOWS\system32\020.tmp');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('rnwctkuy');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Повторите лог virusinfo_syscheck.zip и gmer.

от 5 января скачал демонстрационную версию Dr.Web 5.0, обновил базы, перешел через биос на сегодняшнюю дату, 12 января.

антивирус работал, вирус его не блокировал, выполнил быструю проверку, ничего не нашел он.

на этот сайт зайти не удалось - вылет браузера и появилось окно.
Все тоже самое, только вирус теперь именует себя Internet Security
Сейчас снова вернулся(дата 6 января) - антивирус недоумевает по поводу расхождения даты на компьютере и даты обновления баз, пишет что ключ еще не вступил в действие.

диспетчер задач, реестр, system restore вновь оказались заблокированны, вновь исправил эти проблемы через AVZ.
значение параметра AppInit_DLLs в HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion снова вернулось на старое, пока что не трогаю его, жду ваших указаний.

в данный момент выполняю полную проверку Доктором Вебом

P.S. пока печатал, вы уже ответили

вот, выполнил

В AVZ выполните скрипт:

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\atapi.sys','');
QuarantineFile('c:\windows\m3jpeg.ini:W9DCWqJ:$DATA','');
QuarantineFile('C:\WINDOWS\m3jpeg.ini:W9DCWqJ','');
DeleteFile('C:\WINDOWS\m3jpeg.ini:W9DCWqJ');
DeleteFile('c:\windows\m3jpeg.ini:W9DCWqJ:$DATA');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyStrParamWrite('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', StringReplace(StringReplace(RegKeyStrParamRead('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs'), 'C:\WINDOWS\m3jpeg.ini:W9DCWqJ', ''), ',,', ','));
ExecuteRepair(6);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteWizard('TSW',2,2,true);
SetAVZPMStatus(True);
RebootWindows(true);
end.
[/code]

После перезагрузки

[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]

Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи.

Сделал, отослал, логи AVZ выполнил, прикрепил
лог gmer нужен?

Похоже что убили :)
Сделайте контрольный лог gmer на всякий случай.

вот лог

посмотрю что будет 8 числа, когда вирус должен заработать

По моей дате наступило 10 число - при заходе сюда выкинуло из браузера, при заходе в AVZ перезагрузка.

значит вирус еще не добит до конца.:furious3:

окно не всплывало.
поставил 7 января сейчас

В последних логах было чисто.
Попробуйте поставить дату более позднюю, например март месяц, перезагрузиться и так сделать логи.

Ставил 16 марта, при заходе в Оперу вылезло "Internet Security"
более поздняя дата не помогает.

При возвращении к 7 числу системе вновь потребовалась разблокировка через AVZ

[size="1"][color="#666686"][B][I]Добавлено через 48 минут[/I][/B][/color][/size]

с 7 января скачал генератор паролей, 16 января вызвал окошко, подошел второй пароль - 5538247733 ( номер 4460, код к205814400), комп перезагрузился, все сразу заработало.

но думаю следы от вируса остались, надо дочищать

выкладывать логи с уже нормальной датой и работой системы?

Да, делайте.

логи AVZ

От eKav ничего в логе не видно.
В AVZ выполните скрипт:

[code]
begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\Documents and Settings\Admin\Application Data\AD ON Multimedia\eBay Shortcuts\eBayShortcuts.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\atapi.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]

После перезагрузки

[code]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/code]

Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы

отослал

Файлы чистые.

Комичная ситуация получается.

не менялся с клавиатуры язык, перезагрузил комп, захожу в Оперу, вылетает ЭТО...

Internet security обнаружил зараженное по, бла-бла-бла
номер остался тот же- 4460, текст изменился всего на 1 цифру - К205815400.
теперь мне даются целые сутки (отсчет с 24 часов идет) на отправку им смс.
сразу поменял в биосе дату, захожу и Internet Security обнаружил зараженное по, бла-бла-бла
то есть на более ранней дате( ставил 19 и 21 и 30 декабря ставил ) вирус так же работает, что сильно затруднило положение. ( может быть он продолжает работать на ранних датах от того, что я не проводил чистку с Лайв СД, как тогда?)
AVZ, генератор паролей, вконтакт, этот сайт - естественно заблокированны, в том числе и на более ранних датах.

решил пообщаться с владельцем номера 4460- A1 агрегатор, звоню в тех поддержку, чтобы получить от них номер для ввода - никто не берет трубку.

зашел на сайт, подробно описал в письме проблему и отослал, должны прислать номер на емейл, жду

После разблокировки системы снова придеться чистить после него, чистить здесь

Суть проста:
Надо сделать лог Gmer или GetSystenInfo
Скорее всего, там зверье увидим.

альтер. вариант: HijackThis -- Config -- Misc Tool -- Open ADS Spy --делаем лог.
Файлы.что попали, удаляем.
Далее логи AVZ в нормальном режиме.

зверье уже было наказано, зашел на главную страницу этого сайта, увидел новость про новую фичу от др.Веба, зашел, пароль 544625144 подошел, все разблокировал

выполняю сканирование AVZ и сделаю логи

вот логи после разблокировки системы

логи сказали что нибудь?

В логе Гмера плохого не увидел.
Выполнить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Исправить в AVZ:
[QUOTE]9. Мастер поиска и устранения проблем
>> Модифицирован ключ запуска проводника[/QUOTE]
Повторить логи.

вот AVZ логи
логи Gmer'a нужны?

Похоже что чисто. Проблема решена?

да, пока что ничего не беспокоит

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]22[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\help\cpanel.chq:w9dcwqj - [B]Trojan-Downloader.Win32.Piker.bib[/B] ( DrWEB: Trojan.DownLoad1.26568, BitDefender: Trojan.Generic.2952810, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\help\cpanel.chq:w9dcwqj:$data - [B]Trojan-Downloader.Win32.Piker.bib[/B] ( DrWEB: Trojan.DownLoad1.26568, BitDefender: Trojan.Generic.2952810, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\m3jpeg.ini:w9dcwqj - [B]Trojan.Win32.Agent2.cnej[/B][*] c:\windows\m3jpeg.ini:w9dcwqj:$data - [B]Trojan.Win32.Agent2.cnej[/B][/LIST][/LIST]