убийца антивирусов

**mist8r** · 18.09.2008, 01:00

после установки нод32 версии 3 - синий экран. сервис нода не стартует. avz4 закрывается сразу после запуска с дальнейшим удалением avz.exe. cureit сразу синий экран. безопасный режим тоже синий экран. скачать антивирусы из интернета не дает. с помощью SDFix восстановил безопасный режим. после этого в "опасном" режиме avz4 запустился, но после попытки старта сервиса нода закрыло avz4 и удалился avz.exe. после ребута avz4 запустился и собраны логи. в общем вычищено много всякого, но от этого избавиться не могу. помогите

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Bratez** · 18.09.2008, 01:08

Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\drivers\rioex.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\ipinipnt.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\tunmp2k.sys','');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 2 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=30366).

**mist8r** · 18.09.2008, 14:06

вот новые логи по всем правилам. карантин загрузил.

Файл сохранён как080918_050422_virus_48d227a6095e8.zipРазмер файла325227MD52553b18e86e8de437c53e433b1efcf19Файл закачан, спасибо!

**Bratez** · 18.09.2008, 14:12

Elite Keylogger сами устанавливали?

**mist8r** · 18.09.2008, 14:17

не я лично, но как-то давно осознанно был установлен и забыт ...

**Bratez** · 18.09.2008, 14:19

Кроме него, ничего подозрительного не наблюдается.

**mist8r** · 18.09.2008, 14:19

avz.exe после закрытия avz4 "пропадает". помогает если переименовать ovz.exe

**Bratez** · 18.09.2008, 14:26

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\drivers\ipinipnt.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\tunmp2k.sys');
 DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\hpdj.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\jmhllm.sys');
 DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\catchme.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\rioex.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Сделайте новый лог syscheck (п.2 раздела Диагностика).
Сообщите, изменилась ли ситуация.

**mist8r** · 18.09.2008, 14:35

скрипт выполнил. вот логи

**Bratez** · 18.09.2008, 14:42

Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\drivers\jmhllm.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\rioex.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\jmhllm.sys');
BC_ImportALL;
 BC_DeleteSvc('tunmp2k');
 BC_DeleteSvc('ipinipnt');
 BC_DeleteSvc('rioex');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 2 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=30366).
Сделайте заново последний лог.

**mist8r** · 18.09.2008, 17:32

скрипт исполнил. карантин загрузил
(Файл сохранён как080918_082729_virus_48d257412bdca.zip)
лог прилагается

**Bratez** · 19.09.2008, 01:50

Нда, с каждым разом что-то новенькое вылезат...

Выполните такой скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\drivers\jmhllm.sys','');
 QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\lshep.exe','');
 DeleteFile('C:\DOCUME~1\user\LOCALS~1\Temp\lshep.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\jmhllm.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Снова пришлите карантин и новый лог syscheck.

**kps** · 19.09.2008, 14:27

У Вас симптомы файлового вируса.
Аккуратно выполните пункт 1 отсюда: http://virusinfo.info/showthread.php?t=15927
Обратите внимание, что CureIt! нужно скачивать на незараженном компьютере и там же записать его на CD в распакованном виде.
Чтобы на больном компьютере загрузиться в безопасный режим для проверки, Вы можете использовать такой скрипт в AVZ для восстановления безопасного режима:

Код:

begin
ExecuteRepair(10);
RebootWindows(true);
end.

О результатах лечения сообщите.

**CyberHelper** · 22.02.2009, 08:05

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 5
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\drivers\\ipinipnt.sys - not-a-virus:Monitor.Win32.EliteKeylogger.30 (DrWEB: Program.EliteKeylogger.36)
2. c:\\windows\\system32\\drivers\\tunmp2k.sys - not-a-virus:Monitor.Win32.EliteKeylogger.21 (DrWEB: Program.EliteKeylogger.36)

убийца антивирусов (заявка № 30366)

Опции темы

убийца антивирусов

логи по правилам

Итог лечения

Похожие темы

AVZ Убийца системы

Поджопник и Девочка-убийца

Help вирус УБИЙЦА антивирусов :)

exe убийца

Убийца сидюков

Ваши права в разделе