Добрый день.
Прошу оказать содействие в удалении вируса.
В системе стоит KAS 2012 - Crystal 2.0 с последними базами.
Запустил на полное сканирование на макс. настройках, оно еще не было завершено полностью был найден вирус -
название было нечто вроде svhost.
Касперский предложил удалить с перезагрузкой компьютера, я нажал - да.
После перезагрузки:
- Касперкий не запустился (процесс висел, но к приложению нельзя было получить доступ)
- пропала команда в контекстном меню - проверить на вирусы / запустить в песочнице
- перестали запускаться .exe и .com файлы
- системный реестр не запускается
- при попытке прописть в него информацию через .reg файлы выдается ошибка:
"Не удалось импортировать (имя reg файла). Не все данные были записаны в реестр.
Некоторые разделы были заняты системой или другими процессами".
- Reg Orginizer позволяет импортировать файлы в реестр, но результат откатывается обратно после перезагрузки
- при попытке скачать с сайтов доктор веба и касперского останавливается закачка, либо вообще не запускается.
- Важно - появилось чужое сетевое подключение со скоростью 8,1 мб /с (тип - шлюз интернета).
В свойствах враждебного шлюз пишет: "Это подключение позволит подключаться к интернету через общее подключение на другом компьютере"
- через чужое подключение с момента запуска windows идет бешеный трафик, пожирающий половину моей скорости в инете
- В разделе мой компьютер - управление - службы и приложения - службы - заработала служба Диспетчер подключений удаленного доступа (раньше была отключена, попытки остановить ни к чему не приводят - зависает на половине процесса. При этом у меня в политиках была отключена (и до сих пор отключена) сама возможность удаленного подключения
- чужое подключение, а теперь и свое не получается удалить через правую кнопку мыши - соответствующие опции не работают
Что было проделано:
-выяснил, что даже если не запускается .exe файл, рботают bat фацлы, я просто меняю расширение с .exe на .bat
Так я запустил качалки, винрар, и касперского. Касперскому пришлось переименовать расширение через безопасный режим - в обычном не позволял механизм самозащиты.
- выяснитлось, что настройки проверки по ребованию / полной проверки касперского изменились с максимальных на пониженные
- касперский при сканировании нашел 3 вируса - Butirat, Game Over.exe и третий (эвристик)
- удалось скачать Dr Web Cure IT
- просканировал систему, были найдены инструмены Java для создания вирусов в какой-то папке Sun и еще много вирусов, которых зевнул касперский
- теперь Cure it больше не запускается - выдает ошибку
- касперский Remooval tool также не запускается - выдает ошибку о невозможности открыть exe файл
Первый раз поймал такого серьезного зверя.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) kleimor, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
1)После выполнения указанного выше скрипта пропала возможность скаать какой-либо файл с инета, при попытке скачать через левую кнопку мыши или сохранить объект как теперь просто открывается рабочий стол.
Как можно вернуть нормальную закачку?
"не удается импортировать "С:\\fix-exe.reg". Ошибка при доступе к реестру.
В прошлый раз (до выполнения скрипта) выскакивала ошибка, что реестр занят процессом
3) по-прежнему подключен чужой шлюз в сетевых подключениях
4) видимо, RSIT сработал не совсем корректно, в той же папке, где и он, лежал Hijakthis, но exe не запускаются, а Hijakthis с расширением bat он просто не увидел
Самое обидное в ситуации - касперский Кристалл даже не пикнул, когда захватили полный контроль над системой.
Должна была сработать функция контроля приложений - она была выставлена автоматически помещать ВСЕ новые exe файлы в тип "Сильные ограничения". Вирус просто не мог бы запуститься, не должен был ничего суметь прописать в системный реестр.
Сказать, что я разочарован в этом антивире - ничего не сказать.
- - - Добавлено - - -
К слову сказать, после вирусной атаки эта функция перестала работать вообще
попробовал проверить диски на наличие ощшибок.
Диск, на котором установлена ОС, не проверяется - ошибка "не удалось выполнить операцию"
Другой диск проверился без проблем.
- - - Добавлено - - -
еще такой вопрос - если в комментариях ко всем системным файлам в отчете uVS написано "нет подписи у известного файла" - это признак, что ОС нелицензионная или что вирус теперь переписал все экзешники в системе?
1. Вы работаете с учетной записи администратора? Загрузитесь в безопасном режиме с сделайте новый образ, только запускайте start.exe от имени администратора!
2. Файл может быть как поврежден так и заражен. В данном случае первое!
Последний раз редактировалось Дeнис; 02.09.2012 в 18:32.
rundll32.exe не запустился, даже когда переименовал его в .bat
как из командной строки получить доступ к окну "учетные данные"?
На вирус тотал сработал 1 детект из сорока - антивирус TheHacker распознали файл как Trojan/PSW.LdPinch.andx
Система работает как-то странно. Снова стал запускаться касперский автоматически (раньше не запускался по автозапуску). Снова работает драйвер графического оформления висты. Раньше значки exe не распознавались, теперь снова стали подгружаться их картинки.
Но реестр по-прежнему не дает себя изменять.
Да, и иногда чужой шлюз при включении системы остается отключенным. Несколько раз я видел, ка кон сам включается.
- - - Добавлено - - -
готов уже переставить систему..похоже, на этот раз зло победило
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
