Вирус поглотил Касперского!

[antivirus]

Всех приветствую, и ОЧЕНЬ прошу о помощи!!!!
Дело вот в чем:

Както раз просыпаюсь с утра и гляжу на комп а процесор там чето упорно трудится, ну я посмотрел на основные приложения, вроде ничего так не должно было его напрягать. Тут через мгновение проподает эконка Касперского.... Я сразу в папку с ним, запустить, а в папке исполняющего файла "kav.exe" нету. Переустановил, вхожу в папку там его опять нет!!! Центр безопасности в компе не запускается никак. Взял винт пошел к другу проверил на вирусы, Каспер не нашел ничего!!!! Скачал антивирус "Панда", пытаюсь установить, эта тварь мне недает, пишет ошибка какаято. С нод32 таже история, недает утановить. Скопировал на диск "kav.exe" с другого компа, пытаюсь скопировать с диска на мой, не дает, пишет фаил не найден. Кароче бред какойто.......

Тут нашел вашу страничку помощи. Прочитал правила выполнил все действия описанные там.



Вот все отчеты моей системы:

[drongo]

Давайте попробуем так : Выполнить скрипт В AVZ :

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('C:\WINDOWS\system32\hldrrr.exe','');
 QuarantineFile('C:\Documents and Settings\Ilyia\Application Data\hidires\m_hook.sys','');
 DeleteFile('C:\WINDOWS\system32\hldrrr.exe');
 DeleteFile('C:\Documents and Settings\Ilyia\Application Data\hidires\m_hook.sys','');
ExecuteSysClean;
RebootWindows(true);
end.

После перезагрузки : Прислать карантин согласно приложения 2 правил , с пятого пункта.

Подхватили опасную штучку . Интересно узнать от вас ответы :
1)какая версия каспера и когда последний раз обновлялись ? 2) пароль на настройки каспера стоял ?
3)работаете в интернете из под администратора ?

[antivirus]

Версия каспера: 5.0.237. Каспер обновляется каждые 3 часа или чтото типа этого. Каждый день это точно. Нащет пароля даже и не знал, это важно? Если да, то подскажите пожалуста как его установить и какую роль он играет. Комп единственный, сетки нету.

Щас попробую вышеуказанные действия.

Да, и еще одно......

У меня всё это началось, после того как я в гугле искал томтом, и у меня потом начало выскакивать окошко установить китайский текст, я постоянно нажимал отменить, птотом в итоге поставил галочку неспрашивать больше. Ну а потом каспер изчез.......

[antivirus]

Втавил код в скрипт, нажимаю запустить, он мне выдает "ОШИБКА, To many actual parameters в позиции 7:12", и только "ок" варинт. Что мне надо зделать?

Да и еще, вы мне не подскажите как патом эти файлики из карантина вам отправить?

[Зайцев Олег]

Втавил код в скрипт, нажимаю запустить, он мне выдает "ОШИБКА, To many actual parameters в позиции 7:12", и только "ок" варинт. Что мне надо зделать?

Да и еще, вы мне не подскажите как патом эти файлики из карантина вам отправить?

В скрипте небольшая опечатка закралась - попробуйте так:

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('C:\WINDOWS\system32\hldrrr.exe','');
 QuarantineFile('C:\Documents and Settings\Ilyia\Application Data\hidires\m_hook.sys', '');
 DeleteFile('C:\WINDOWS\system32\hldrrr.exe');
 DeleteFile('C:\Documents and Settings\Ilyia\Application Data\hidires\m_hook.sys');
 ExecuteSysClean;
 RebootWindows(true);
 BC_DeleteFile('C:\Documents and Settings\Ilyia\Application Data\hidires\m_hook.sys');
 BC_Activate;
end.

Про отправку файлов - см.правила, там описан алгоритм отправки

[antivirus]

Запустил скрипт, просканировал, комп перезагрузился, никаких изменений((((
Нащет карантина, подскажите пожалуста где этот файлик находится и как называется чтоб вам его выслать)))

[antivirus]

Вот вроде разобрался, и чтото еще нашел. Что вы мне посоветуете зделать, удалить их?


[cut]

[anton_dr]

Почитайте, в правилах написано, куда отправлять запрошенные файлы.

[antivirus]

Отправил по ссылке "Прислать запрошенные файлы"
Посоветуйте пожалуста что мне делать дальше, досихпор не дает мне устаовить антивирус((((((

[drongo]

Извиняюсь за ошибочку
Сделайте ещё раз логи и прикрепить к этой теме , посмотрим что осталось .

[antivirus]

Сорри, я несовсем понял что надо зделать)))))

[drongo]

"Вот все отчеты моей системы:"
Это вроде вы писали,вот эти отчёты повторить .

[antivirus]

Да, сорри)))))


Вот отчеты:

[antivirus]

Ну вот одного наконецто достал. Он был по адресу:

'C:\Documents and Settings\Ilyia\Application Data\hidires\m_hook.sys'

На моем компе он мне не давал включить режим безопасности. Я свой винт подключил на другом компе, загрузил режим безопасности и нашел его в том месте.Только вот в той папке фаил назывался не "m_hook.sys", а"hidr"!!!
Убрал его оттуда, Каспер сразу запустился
Центр безопасности всеравно не запускаеися, наверно еще гдето партизан засел.


'C:\WINDOWS\system32\hldrrr.exe' - несмог найти его в режиме безопасности, может тоже он там под другим именем???
Как вы думаете как его достать можно?

Вот последние логи:

[antivirus]

Вирус отправил

[AndreyKa]

Последние логи чистые.
Осталось пофиксить в HijackThis следующие строки:

Код:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\Ilyia\Application Data\hidires\hidr.exe

[antivirus]

Огромное спасибо всем кто помогал.

Если кому надо, то вот способ которым мне удалось его удолить:

'C:\Documents and Settings\Ilyia\Application Data\hidires\m_hook.sys

Поставил винт в другой комп, запустил режим безопасности с другой винды, нашол там его по этому адресу, и удалил его. Только он там назывался не m_hook.sys, а hidr.exe
Каспер сразу запустился, все зароботало как надо))))))

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 4
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\ilyia\\application data\\hidires\\m_hook.sys - Email-Worm.Win32.Bagle.hv (DrWEB: Trojan.NtRootKit.213)
  2. c:\\windows\\system32\\hldrrr.exe - Email-Worm.Win32.Bagle.hv (DrWEB: Win32.HLLM.Beagle)