Dialerы и еще куча зверья

[Katalizator]

Был комп с кучей вирусов, причем никакой антивирус не стоял вообще. Решили поставить на него Kaspersky Internet Security 7.v125 и полечить. Но тут как на зло отключили Интернет и КИС зарегистрировать не удалось. При перезагрузке Виндус нашел кучу попорченных блоков и восстановил их, после чего КИС не работал и повторная его установка не помогала, снести его тоже не удавалось.

Вынули жесткий диск и подключили к другому компу, где уже стоял КИС 7. Обнаружили и вылечили/удалили более 180 вирусов. Вернули жеский диск на место и решили опять попробовать поставить КИС. При установке КИС сказал, что у него внутренняя ошибка и надо перезагрузиться, после перезагрузки и повторной попытки все повторялось, т.е. КИС не вставал. Тогда решили полностью удалить КИС с помощью специальной утилиты с сайта Касперского. Но утилита то ли не сработала, то ли сработала неправильно, короче в реестре про КИС осталась куча записей, которые пришлось вручную вычищать регедитом.

Только после этого и еще одной перезагрузки КИС-таки встал, но встал опять криво, т.к. при загрузке компа автоматом не стартует.
Кстати, я только потом вспомнил, что на компе стояла неправильная дата, 2015 год, возможно это как-то влияло на установку КИС. После установки КИС и его обновления из Интернета дата и время стали правильными.

Ладно, загрузили обновления КИС, просканировали полностью комп, нашли еще кучу зверья, но КИС по прежнему не загружается при старте Виндовс. Удалили полностью КИС, перезагрузились, установили КИС еще раз, не помогло, все равно не загружается при старте Виндовс.

Сейчас симптомы следующие: не стартует Касперский при загрузке Windows, хотя соответствующая галочка в его настройках стоит. Не видна одна из сетевых карт, через которую раньше работал ВПН (Интернет удалось настроить только путем установки дополнительной сетевой карты).

Сейчас решили делать все в точности, как сказано в правилах. CureIT нашел еще несколько зверьков из серии Dialer, которых Касперский не заметил. И потом АВЗ еще кое что нашел. Высылаю логи.

[V_Bond]

выполните скрипт

Код:

begin
SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\PROGRA~1\WHENUS~1\search.dll','');
 QuarantineFile('c:\windows\system32\tracerpt.dll','');
 QuarantineFile('c:\windows\system32\rlvknlg.exe','');
 QuarantineFile('c:\documents and settings\администратор\local settings\temp\~vis0000\fsg_4104.exe','');
 QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
 QuarantineFile('C:\WINDOWS\System32\rpcc.dll','');
 QuarantineFile('C:\Program Files\Windows NT\Windows.exe','');
 QuarantineFile('C:\WINDOWS\system32\sfc_os.dll','');
 QuarantineFile('C:\WINDOWS\System32\rlls.dll','');
 QuarantineFile('c:\windows\system32\nwprovau.dll','');
 QuarantineFile('c:\windows\iexplorer.exe','');
 DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 DeleteFile('c:\documents and settings\администратор\local settings\temp\~vis0000\fsg_4104.exe');
 BC_ImportAll;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил.....

[Alex Plutoff]

-на такой ОС борьба с вирусами превращается в самоцель, ну, т.е. уже ни на что другое времени не остаётся...
-переходите на SP2 плюс несколько десятков обязательных заплат, затем, ещё раз перечитайте правила, особенно те части, которые красным выделено и милости просим

[Rene-gad]

-переходите на SP2 плюс несколько десятков обязательных заплат

или подождите месяц-другой, SP3 уже на подходе

[Katalizator]

выполните скрипт
пришлите карантин согласно приложения 3 правил.....

Скрипт выполнил, комп стал перезагружаться, но не загрузился
Монитор выключился и мигал синей лампочкой, как при отсутствии сигнала. При этом лампочки на клавиатуре моргнули как при нормальной загрузке и numLock работал, но экран был полностью черный. Попытки выключения питания и повторного включения, а также кнопка Reset не помогли.

Добавлено через 7 минут

-на такой ОС борьба с вирусами превращается в самоцель, ну, т.е. уже ни на что другое времени не остаётся...
-переходите на SP2 плюс несколько десятков обязательных заплат, затем, ещё раз перечитайте правила, особенно те части, которые красным выделено и милости просим

Все старался делать в точности по правилам.
По поводу перехода на SP2 и установки всех заплат боюсь, что он будет просить зарегистрироваться и в конце концов откажется загружаться. У меня с XP такое уже один раз было
Где можно найти нормальный дистрибутив WinXP SP2, который бы скачивал все обновления и при этом не глючил и не просил зарегистрироваться?

[AndreyKa]

комп стал перезагружаться, но не загрузился

В безопасном режиме пробовали загрузится (F8 при загрузке)?

Где можно найти нормальный дистрибутив WinXP SP2

Купить
Может я и пессимист, но дело, похоже, идет к переустановке Windows.

[Katalizator]

В безопасном режиме пробовали загрузится (F8 при загрузке)?

Я бы попробовал, но он до этого места даже не доходит. Раньше загрузка начиналась с тестирования памяти, загрузки драйверов и т.п. Теперь ничего этого нет (вернее может это и выполняется, т.к. лампочки на клавиатуре моргают, но экран при этом отрублен, т.е. состояние монитора как при выключенном компьютере). Честно говоря не понимаю, как такое вообще возможно?

[Shu_b]

Честно говоря не понимаю, как такое вообще возможно?

Хм... судя по описанию у вас большие проблемы с "железом" компьютера. Для нормальной работы нужно сначала решить их, а уже после этого заниматься восстановлением системы.

[AndreyKa]

Возможно, если возникли аппаратные проблемы.
Вы на клавишу F8, всетаки, попробуйте понажимать при загрузке.
Кабель от монитора, случайно, не отвалися?

[Shu_b]

Кабель от монитора, случайно, не отвалися?

имхо, проблема с блоком питания, как бы за собой и материнку не утащил бы...

[Katalizator]

Возможно, если возникли аппаратные проблемы.
Вы на клавишу F8, всетаки, попробуйте понажимать при загрузке.
Кабель от монитора, случайно, не отвалися?

Маловероятно, что они возникли в ту же секунду, в которую avz стал перезагружать Windows. Я поискал в инете, проблемы на этом компе схожи с описываемыми здесь:
http://forum.freesoft.ru/old/tread-winxx818.html

Но как их решить пока не знаю (возможно это из-за конфликта встроенной в мать видюхи со второй видюхой, но раньше такого никогда не наблюдалось), вечером буду продолжать ковырять.

Добавлено через 6 часов 7 минут

выполните скрипт
пришлите карантин согласно приложения 3 правил.....

Монитор заработал
Файл с карантином загрузил. Каков будет вердикт ?

[V_Bond]

C:\WINDOWS\system32\sfc_os.dll
CAT-QuickHeal 9.00 2007.08.14 TrojanSpy.Banker.alr
McAfee 5097 2007.08.14 potentially unwanted program PatchedSFC
Panda 9.0.0.4 2007.08.14 Trj/Sfc.A.mod
C:\WINDOWS\System32\rlls.dll
AntiVir 7.4.1.62 2007.08.14 ADSPY/MarketScore.k
Microsoft 1.2704 2007.08.14 Program:Win32/Marketscore.gen
Panda 9.0.0.4 2007.08.14 Generic Malware
Prevx1 V2 2007.08.14 Trojan.Nail
Symantec 10 2007.08.14 Spyware.Marketscore
Webwasher-Gateway 6.0.1 2007.08.14 Ad-Spyware.MarketScore.k
c:\windows\system32\nwprovau.dll - подождем вердикт вирлаба.... остальное в карантин не попало...
выполните скрипт ....

Код:

begin
SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\PROGRA~1\WHENUS~1\search.dll','');
 QuarantineFile('c:\windows\system32\tracerpt.dll','');
 QuarantineFile('c:\windows\system32\rlvknlg.exe','');
 QuarantineFile('C:\WINDOWS\System32\rpcc.dll','');
 QuarantineFile('C:\Program Files\Windows NT\Windows.exe','');
 DeleteFile('C:\WINDOWS\system32\sfc_os.dll');
 DeleteFile('C:\WINDOWS\System32\rlls.dll');
 QuarantineFile('c:\windows\iexplorer.exe','');
 BC_ImportAll;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил....

[Katalizator]

C:\WINDOWS\system32\sfc_os.dll
CAT-QuickHeal 9.00 2007.08.14 TrojanSpy.Banker.alr
McAfee 5097 2007.08.14 potentially unwanted program PatchedSFC
Panda 9.0.0.4 2007.08.14 Trj/Sfc.A.mod
C:\WINDOWS\System32\rlls.dll
AntiVir 7.4.1.62 2007.08.14 ADSPY/MarketScore.k
Microsoft 1.2704 2007.08.14 Program:Win32/Marketscore.gen
Panda 9.0.0.4 2007.08.14 Generic Malware
Prevx1 V2 2007.08.14 Trojan.Nail
Symantec 10 2007.08.14 Spyware.Marketscore
Webwasher-Gateway 6.0.1 2007.08.14 Ad-Spyware.MarketScore.k
c:\windows\system32\nwprovau.dll - подождем вердикт вирлаба.... остальное в карантин не попало...
выполните скрипт ....
пришлите карантин согласно приложения 3 правил....

Скрипт выполнил.
После перезагрузки комп ругнулся, что не может запустить sfc_что-то там... После этого эксплорер предложил подключиться к Интернету, хотя я и так в Интернете. Кстати, а драйверы расширенного мониторинга в АВЗ надо включать?

Файл карантина под именем virus2.zip закачал.

[V_Bond]

профиксите в хайджек

Код:

O20 - Winlogon Notify: RelevantKnowledge - C:\WINDOWS\System32\rlls.dll
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll (file missing)
O23 - Service: Microsoft Internet Explorer - Unknown owner - C:\WINDOWS\iexplore.exe (file missing)
O23 - Service: Windows Internet Service - Unknown owner - C:\WINDOWS\iexplore.exe (file missing)

повторите логи ....

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 48
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\rlls.dll - not-a-virus:AdWare.Win32.RK.k