Цепная Реакция

[V_Bond]

сейчас активного заражения не видно ...

Dll'ки да, а остальные exe'шники нет (не вижу смысла удалять все исполняющие файлы в системе, на некоторые можно наплевать, конечно, но от некоторых плакать хочется, как они нужны, я бы давно уже переставил систему, так троян сидит даже в инсталлах нужных мне программ, которые я бы сразу стал устанавливать на новой системе)

действительно хочется плакать .... смысл лечиться когда 200-300 зловредов на борту .... пришлите один из "нужных файлов" .... если он детектится как троян то там лечить нечего - это зловред от рождения ....
klif.sys - драйвер от avptool ...

[Weather]

сейчас активного заражения не видно ...

В syscure мне видно
Не понимаю...

А по поводу "нужных файлов" - я собираю установочники используемых программ, так сказать на всякий пожарный и почти все они exe (теперь понимаю свою ошибку, лучше бы зарарил).

Закачиваю неустановочник, но по Касперскому зараженный файл. Пароль "virus".

[V_Bond]

видимо что-то не то .... (все же файловый вирус)

Код:

AhnLab-V3	2008.1.10.10	2008.01.09	-
AntiVir	7.6.0.46	2008.01.09	-
Authentium	4.93.8	2008.01.09	W32/Sality.AE
Avast	4.7.1098.0	2008.01.08	-
AVG	7.5.0.516	2008.01.09	-
BitDefender	7.2	2008.01.09	Win32.Kashu.A
CAT-QuickHeal	9.00	2008.01.09	-
ClamAV	0.91.2	2008.01.09	-
DrWeb	4.44.0.09170	2008.01.09	modification of Win32.Kuku
eSafe	7.0.15.0	2008.01.08	-
eTrust-Vet	31.3.5444	2008.01.09	-
Ewido	4.0	2008.01.09	-
FileAdvisor	1	2008.01.09	-
Fortinet	3.14.0.0	2008.01.09	-
F-Prot	4.4.2.54	2008.01.09	W32/Sality.AE
F-Secure	6.70.13030.0	2008.01.09	-
Ikarus	T3.1.1.20	2008.01.09	-
Kaspersky	7.0.0.125	2008.01.09	Trojan.Win32.KillAV.ne
McAfee	5203	2008.01.09	-
Microsoft	1.3109	2008.01.09	-
NOD32v2	2778	2008.01.09	-
Norman	5.80.02	2008.01.09	-
Panda	9.0.0.4	2008.01.09	-
Prevx1	V2	2008.01.09	Heuristic: Suspicious Self Modifying File
Rising	20.26.21.00	2008.01.09	-
Sophos	4.24.0	2008.01.09	-
Sunbelt	2.2.907.0	2008.01.09	VIPRE.Suspicious
Symantec	10	2008.01.09	-
TheHacker	6.2.9.184	2008.01.08	-
VBA32	3.12.2.5	2008.01.09	suspected of Virus.Win32.Sality.4
VirusBuster	4.3.26:9	2008.01.09	-
Webwasher-Gateway	6.6.2	2008.01.09	Worm.Win32.Malware.gen (suspicious)

Добавлено через 1 минуту

сейчас будем смотреть лечит ли его доктор ...

[Weather]

Что же делать?
Может есть какое - то лекарство?

Хотя бы найти откуда ноги растут...

[V_Bond]

пока Dr. Web его тоже не лечит ... остается только одно ... подождать некоторое время ... думаю не более суток ... пока научится лечить и запустить полную проверку Cureit (предварительно записав его на Сd) ...

[Weather]

Ясно... Просто вирус то не новый, в базы Касперского например еще в ноябре, по - моему, добавлен был...

Будем ждать...

[V_Bond]

это новая модификация ....

[Weather]

А по поводу Heur.AntiAV может что - либо посоветуете?

Добавлено через 1 минуту

это новая модификация ....

Здорово... Я первооткрыватель, пусть и в таком грязном деле...

[akok]

Если нет желания ждать обновления дрвеб можно попробовать
AVPTool
Касперский этот вирус уже знает

Kaspersky 7.0.0.125 2008.01.09 Trojan.Win32.KillAV.ne

Добавлено через 19 минут

Рекомендация отменяется т.к. скорее всего поступит предложение от программы "удаляй его н..." подождем когда лечить начнут (завтра наверное)

[Weather]

Эт я и сам знаю, что отменяется, уже писал об этом несколько постов назад...

[AndreyKa]

DrWeb добавил процедуру лечения. Обновляйте базы и лечите компьютер.

[Weather]

Файл содержит троянскую программу. Лечение невозможно: запись не поддерживается

Троянская программа: Trojan.Win32.KillAV.ne

Файл: c:\program files\internet explorer\iexplore.exe

Итог: ни одного вылеченного файла(

Добавлено через 3 минуты

Прошу прощения, перепутал Вашу подпись с рекомендацией и обновил Касперского. Исправляюсь, качаю CureIt!

Добавлено через 8 часов 39 минут

Фух, вроде все...
Буду внимательно следить за поведением системы...
Надеюсь проблема в прошлом. Даже Symantec поставился, не ожидал. Может и сейф мод заработает...

Огромные благодарности всем, кто принимал участие!

[V_Bond]

сделайте новый комплект логов ...

[Weather]

сделайте новый комплект логов ...

Вот...

[V_Bond]

в логах чисто ... осталось закрыть лишнее из этого списка ...
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

[Weather]

Вот к сожалению до сих пор не знаю, что с этим делать, что надо, а что нет из служб. Компьютер - домашний. Сеть есть.

[V_Bond]

выполните скрипт ...

Код:

begin
SetServiceStart('RDSessMgr', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.

[Weather]

Выполнил, целиком полагаясь на Вас... Без понятия, что мне это даст. Буду считать, что стало меньше дырок для всякой гадости...

И еще вопросик: от чего зависит количество запущенных svchost.exe
У меня их 7 по прежнему, раньше вроде было меньше...

[V_Bond]

это нормально ....зависит от запущенных сервисов (служб), за которые отвечает svchost.exe ... их может быть более 20 ...

[Weather]

Обратил внимание, что из моего профиля не детектится юзер, соответственно нельзя завершить сеанс - сменить юзера. Это последствие скриптов или что?