-
Junior Member
- Вес репутации
- 47
Проблемы с даунлоадерами
Уже пятый день пытаюсь побороть вирусы. Попытаюсь кратко описать проблему.
Несколько дней назад начал пропадать интернет. Соединение оставалось, но пакеты не принимал. Проверка обновленным касперским ничего не выявила. После проверки CureItом удалил несколько даунлоадеров и троянов. Проблема осталась. После этого с помощью AVZ исправил проблемы в системе и интернет вернулся на один день. Сегодня всё опять повторилось. Инет снова пропал. В этот раз я провел полную проверку с помощью AVZ и удалил еще два даунлоадера и троян. Нетронутыми после проверки остались только два файла зараженные "Перехватчиком KernelMode". AVZ сказал что для лечения нужна перехагрузка. После перезагрузки перехватчики всё равно остались.
Перехватчики находятся в
D:\WINDOWS\system32\DRIVERS\klif.sys
\SystemRoot\system32\DRIVERS\klif.sys
Помогите пожалуйста. Моё лето катится в гору из за этих вирусов.
Последний раз редактировалось SMole; 14.06.2011 в 21:05.
Причина: Впилил логи
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) SMole, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
klif.sys - это драйвер Касперского.
Сделайте логи по правилам.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 47
Добавил логи. Извините, что не сразу. Компьютер слабый и делает их медленно.
-
SMole, здравствуйте.
1. Закройте все открытые приложения (программы), кроме АVZ и браузера (Mozilla Firefox, Opera, Google Chrome, Internet Explorer).
Отключите:
- ПК от интернета/локальной сети;
- Обязательно!!! Отключить системное восстановление!!! как - посмотреть можно здесь (по окончанию лечения включите);
- Выгрузите антивирус и/или Файрвол;
- Пофиксите в HJT:
Код:
R3 - URLSearchHook: (no name) - - (no file)
O9 - Extra button: (no name) - {85e1f530-48f4-11d9-9629-08ff2ffc9f67} - (no file) O24 - Desktop Component 0: (no name) - file:///D:/DOCUME~1/Admin/LOCALS~1/Temp/msohtmlclip1/01/clip_image002.jpg
- Выполните скрипт в AVZ ("Файл - Выполнить скрипт" или в англ.версии "File - Custom scripts"). Скопируйте текст кода и вставьте в окно, нажмите "Выполнить (Run)":
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('abp470n5', 4);
StopService('abp470n5');
QuarantineFile('D:\WINDOWS\system32\drivers\qknmhv.sys','');
QuarantineFile('D:\WINDOWS\system32\wac.sys','');
QuarantineFile('D:\WINDOWS\system32\lpng.dll','');
QuarantineFile('d:\program files\ani\aniwzcs2 service\wzcsldr2.exe','');
QuarantineFile('D:\Documents and Settings\Admin\Local Settings\Temp\~DF5783.tmp',' ');
DeleteFile('D:\WINDOWS\system32\drivers\qknmhv.sys');
DeleteService('abp470n5');
DeleteFileMask('D:\Documents and Settings\Admin\Local Settings\Temp\','*.*',true);
DeleteFileMask('D:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC','*.*',true);
DeleteFileMask('D:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\temp','*.*',true);
DeleteFileMask('D:\Program Files\Opera\profile\cache','*.*',true);
DeleteFileMask('D:\Program Files\Opera\profile\vps\','wb.vx',true);
DeleteDirectory('D:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\temp\wlidui_WLIDSVC');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',2,3,true);
ExecuteWizard('SCU',2,2,true);
RebootWindows(true);
end.
Компьютер перезагрузится.
2. После перезагрузки выполните такой скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
3. Файл quarantine.zip из корня папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы;
4. Сделайте повторные логи по правилам п.2 и п.3 раздела "Диагностика" (virusinfo_syscheck.zip; hijackthis.log).
5. Сделайте лог полного сканирования MBAM.
[RIGHT][URL="http://z-oleg.com/avz4.zip"]AVZ[/URL] [URL="http://go.trendmicro.com/free-tools/hijackthis/HiJackThis.exe"]HijackThis[/URL] [URL="http://virusinfo.info/pravila.html"]Правила раздела "Помогите!"[/URL][/RIGHT]
[RIGHT][URL="http://virusinfo.info/forumdisplay.php?f=70"]ЧаВО[/URL] [URL="http://fileforum.betanews.com/download/Malwarebytes-AntiMalware/1186760019/1"]Malwarebyte's AntiMalware[/URL][/RIGHT]
[RIGHT][URL="http://z-oleg.com/secur/avz_up/avzbase.zip"]Актуальные базы АВЗ[/URL][/RIGHT]
-
Junior Member
- Вес репутации
- 47
Карантин пришел? Вот все три лога из четвертого пункта.
P.S. Извиняюсь что пароль на архив не сделал. Поторопился когда загружал.
Последний раз редактировалось SMole; 22.06.2011 в 17:32.
-
Что с проблемой после удаления в МВАМ?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 47
Пока что всё нормально. Но я заметил что она имеет привычку возвращаться примерно через неделю. Через несколько дней еще отпишусь, но заранее спасибо.
-
Junior Member
- Вес репутации
- 47
Проблема опять вернулась. Снова сделать логи как в последний раз?
-
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 47
В этот раз проверка MBAM не нашла ни одного инфицированного файла. Это может быть проблема с оборудованием?
-
Не нашёл ничего подозрительного.
-
-
Junior Member
- Вес репутации
- 47
Ну и отлично. Попробую тогда сетевую карту поменять или провайдера помучаю. Спасибо за проверку.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 13
- В ходе лечения вредоносные программы в карантинах не обнаружены
-