Не работают и не устанавливаются антивирусы, нет доступа к их сайтам, невозможно загрузиться в SafeMode (***stop:0x0000000)

[Drug0y]

Не работают и не устанавливаются антивирусы, нет доступа к их сайтам, невозможно загрузиться в SafeMode (***stop:0x0000000).
Вернее KIS устанавливается, но не запускается.
AVZ - не запускается или запускается не дольше чем на 1 сек, пока не переименуешь файл avz.exe в 777.pif (что я и сделал).
Установочник CureIt не запускается. Сайты антивирусов недоступны, даже не пингуются и tracert до них не идёт.
Насчёт ошибки в safe mode не до конца уверен, т.к. компом рулю дистанционно, и я ошибку записал по словам пятиклассницы, но якобы она такая: Windows has been shut down to prevent damage to your computer STOP 0x0000000
Анализ лога HijackThis говорит, что всё чисто. Логи AVZ вроде тоже чисты. Остального запустить не могу.
Запускал Ad-Aware, он лишь нашёл 3 трекинг куки, что ну совсем не серьёзно.

Ах да, и самое главное: комп диагностирую удалённо, через TeamViewer (аналог Radmin-a).
Anvir.exe - Anvir Task Manager, проверенная прога.
Anvirhook.dll - кусок Anvir Task Manager-a, безопасен.
felix.exe - некий биллинговый клиент, необходимый для соединения с инетом через провайдера Бирюлёво.нет
teamviewer.exe - собственно сама прога TeamViewer.
777.pif - переименованный avz.exe

И учтите, пришлось отступить от некоторых правил, в связи с тем, что диагностику компа провожу удалённо.

[V_Bond]

выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('asc3360pr');
 QuarantineFile('C:\WINDOWS\system32\drivers\kmrhvn.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\kmrhvn.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил
повторите логи

[Drug0y]

Карантин пуст. Пока всё по прежнему.
Получил недавно BSOD: 0x000000ce (... ... ... ...) там, же было про ujk0mtm1.sqs (поиск не дал результатов)
и такую вот ошибку:
Windows - Устройство не готово
Exception Processing Message c00000a3 Parameters 75b3bf7c 4 75b3bf7c 75b3bf7c

+ не могу печатать теперь на английском почему-то. Только русский. Хотя индикатор языка около трея показывает что выставлен англ, и он удачно меняется на русск. и обратно, но ввод происходит только на русском при этом. Только в окне фаерфокса ввод был на английском и то, временно.

И ещё немножко оффтопный вопрос: как посмотреть какие обновления (винапдейт) винда собирается установить? при клике пуск-выключение рядом с кнопкой "выключить" имеется информация, что винда хочет установить 2 обновления, хотя я ей вроде такого не говорил. В винапдейте есть вредные обновления (типа "устройство удаления вредоносных программ", которое я лично приравниваю к вирусу, т.к. потом от него не избавиться никак), не хотелось бы их устанавливать.

Прошу прощения за даблпостинг, кажется вложения не прицепились.

Выполнил скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('asc3360pr');
 QuarantineFile('C:\WINDOWS\system32\drivers\kmrhvn.sys','');
 DeleteService('asc3360pr');
 DeleteFile('C:\WINDOWS\system32\drivers\kmrhvn.sys');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('asc3360pr');	
BC_Activate;
RebootWindows(true);
end.

Комп повис на "проигрывание звука перезагрузки". Нажал кнопку reset и кажется зловред ещё жив (причём с тем же именем).
2-ой раз прислал карантин, т.к. после выполнения

QuarantineFile('C:\WINDOWS\system32\drivers\kmrhvn .sys','');

этот файл добавился в карантин.
Прошу перестать меня игнорировать и напишите, пожалуйста, код для исполнения.

[PavelA]

Скачать AVZ из моей подписи.
Выполнить:

Код:

begin
SetAVZPMStatus(True);
ExecuteRepair(10);
 RebootWindows(true);
end.

Сделать новые логи.
P.S. Если я смотрю файлы и не отвечаю, то значит просто не знаю чего сказать Вам.

[Drug0y]

После выполнения этого скрипта комп перезагрузился уже не вешаясь и после перезагрузки всё стало ОК: сайты открываются, kmrhvn.sys a.k.a. asc3360pr больше нет.
Логи выкладывать не стану, т.к. теперь они чисты.
Спасибо большое за помощь, вы спасли людей от беды

Добавлено через 1 час 16 минут

Хммм, кто бы знал... но история получила продолжение:
поставил касперского, обновился, он без спросу сразу начал сканировать всё подряд, и сказал, что felix.exe содержит Win32.Sality.
после чего, меня естественно отрубило от того компа, т.к. я им управлял через TeamViewer (аналог радмина), а т.к. феликс отвечает за доступ к инету, и был нейтрализован (или грохнут) касперским, то меня, соответственно и отрубило.
На оффсайте этого убогого провайдера, раздаётся этот самый felix, без которого, в инет не выйти. Я уже со своего компа скачал этот дистриб и отправил на вирустотал, вот анализ. Из него видно, что 22 из 39 антивирусов сказали, что файл заражён (причем чем? каждый антивирус определяет по разному). При этом, ведущие антивирусы такие как касперский, др.веб, нод32, комодо, аваст и ф-секъюр, говорят, что файл чист. При этом поставленный на ту машину касперский тут же и определил феликс как вирус.
Помогите, не знаю чем
Вирус это или нет?

[Drug0y]

Так всё-таки, вирус ли это? Без этой программки нельзя выходить в интернет, но и с вирусом сидеть - тоже не хорошо.

[Alex_Goodwin]

загрузите его по этой ссылке http://virusinfo.info/upload_virus.php?tid=46175

[PavelA]

Надо этот комп проверить Куреитом, записав его на СД. Боюсь, что удаленно это у Вас не получиться.

[Drug0y]

загрузите его по этой ссылке http://virusinfo.info/upload_virus.php?tid=46175

Загрузил. (по ошибке сделал это дважды, т.к. первый раз не увидел, что архивы надо запароливать).

Надо этот комп проверить Куреитом, записав его на СД. Боюсь, что удаленно это у Вас не получиться.

Ну, там сейчас касперский же поставлен, с последними базами, может он чего найдёт... А вот къюрит-ом я бы проверил, но т.к. это дистанционно сделать нельзя, а если его поставить параллельно касперу, то возможна война, так что с этим пока придётся подождать.
Мне вот в личные сообщения 1 хороший человек написал следующее:

вот почему антивирусы считают его за вирус
Цитата:
PEiD..: Armadillo v1.71
это протектор, который создает виртуальную машину для защиты исполняемых файлов, анализировать такие файлы практически невозможно, по-этому многие вирусописатели используют этот протектор. Естессно антивирусы, видя этот протектор считают его за вирус.
Возможно конечно это ложное срабатывание, тогда нужно этот файл с больной машины отправить в лабораторию антивирусной компании и те вынесут вердикт заражен этот файл файловым вирусом или это ложное срабатывание.

А если я отправлю это файл на проверку, скажем, лаборатории касперского - они могут предоставить полный анализ? если нет, то кто может?

[PavelA]

Не знаю насколько полный анализ ты хочешь получить, но расскажу, что у нас на форуме есть тема, в которую на проверку можно загрузить любой файл и получить ответ: вирус это или нет.

Салити, если он там есть, может заразить Касперского раньше, чем он установиться.

[Alex_Goodwin]

вирлаб ответил

Здравствуйте,


felix.exe

Вредоносный код в файле не обнаружен.

Добавлено через 1 минуту

Против салити можете проверится утилитой http://support.kaspersky.ru/faq/?qid=208636131

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 4
• Обработано файлов: 5
• В ходе лечения вредоносные программы в карантинах не обнаружены