» Помощь при лечении компьютера от вирусов

Dmitriy05
ОК, подождём. Есть подозрительные файлы, но чтобы их удалять, надо быть уверенным.

Пока сделайте лог только согласно п.1 Диагностика.

gjf
Логи:

http://www.mediafire.com/file/ndd2kzdymmy/virusinfo_syscure.zip

После перезагрузки вылез мастер нового оборудования. Нажал отмена.
В диспетчере появилось "Неизвестное устройство". Есть мнение что это опозналась IDE Ethernet-карта. Она стоит давно, но как-то пропала из списка.

Dmitriy05
С "устройствами" всё нормально - это я поставил нотификатор, потом уберу.
Вот это -
Цитата:

http://www.mediafire.com/file/yyimmfudgjm/virusinfo_cure.zip

удалите из сообщения, там карантин, его не нужно засвечивать.
По остальному в принципе всё понятно, ждём ответа вирлаба.
А пока в обязательном порядке установите Сервис Пак 3 - возможно потребуется активация. Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
Установите все последние обновления системы Windows и используемых программ.

Отправил карантин по форме, сразу же пришло автоматическое письмо, в нём сказано что вредноносный код не найден.
Новые логи:
http://www.mediafire.com/file/jfzo4jycbfz/hijackthis.log
http://www.mediafire.com/file/ehytmtzyvmm/virusinfo_syscheck.zip
http://www.mediafire.com/file/zxm2jnattyj/virusinfo_syscure.zip
Что-нибудь лишнее в системе осталось?

LostHorok
Чисто. Уберём хвосты после лечения - выполните скрипт:

Код: begin
ExecuteStdScr(6);
RebootWindows(false);
end.

Жалоб нет, всё отлично. Спасибо большое.
Понять бы только откуда эта зараза появилась, чтобы избежать рецидивов, Касперский же работал.

gjf

Ждем ответа от ЛК, а Virustotal не находит в карантине вирусов. (0/40)

Может ли твой нотификатор был причиной того что установка KIS 2010/7 (после удаления KWS) заканчиваеться откатом с сообщением о возникшей неустранимой ошибке?

Dmitriy05
Нет, онт причиной быть не может.
В ответ на обращение на мэйл должен прийти номер заявки (вида KLAN-******). Если хотиет ускорить процесс - дайте мне номер этой заявки.
LostHorok
Да много причин. Уязвимости, что-то новенькое - кто знает?

gjf
KLAN-72053331

Dmitriy05
ОК, попытаюсь ускорить вопрос.

Доброе время суток! Проблема проявляется при попытке вызвать проводник по правой кнопке мыши со значка "Мой компьютер" или кнопки "Пуск". Вылетает окно с ошибкой explorer.exe с извинениями за неудобства и предложением отправки отчета в MS$. С рабочего стола все пропадает, потом восстанавливается. Сканировал DrWEB LiveCD. Нашел пару зловредов. Ссылки на логи:
http://rghost.ru/1810107 virusinfo_syscure.zip
http://rghost.ru/1810168 virusinfo_syscheck.zip
http://rghost.ru/1810176 hijackthis.log

Personxxx
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Выполните скрипт:

Код: begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
QuarantineFile('D:\Новая папка\CodecPackage.exe','');
QuarantineFile('c:\windows\system32\rmctrl.exe','');
DeleteFile('D:\Новая папка\CodecPackage.exe');
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.

gjf

Карантан загрузил.
Логи:
http://rghost.ru/1810887 virusinfo_syscure.zip
http://rghost.ru/1810897 virusinfo_syscheck.zip
http://rghost.ru/1810904 hijackthis.log

Personxxx
Вирлаб что-то ответил на почту?
Выполните скрипт:

Код: begin
ExecuteStdScr(6);
end.

gjf

Вирлаб пока молчит. Скрипт выполнил.


Добавлено:
gjf
Пока пришел такой ответ:
"Здравствуйте,
Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

rmctrl.exe

Вредоносный код в файле не обнаружен.
С уважением, Лаборатория Касперского"

Они дальше его смотреть-то будут?

Personxxx
Трудно сказать Какой номер KLAN?
А что с проблемами, кстати?

Dmitriy05
Пришёл ответ по Вашему карантину. В итого: выполните скрипт:

Код: begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\thumbs.db');
DeleteFile('C:\DOCUME~1\Dmitriy\LOCALS~1\Temp\PS9N34DM.sys');
BC_ImportAll;
ExecuteSysClean;
SetAVZPMStatus(false);
BC_Activate;
RebootWindows(true);
end.

gjf
Перезагрузил. Опять вылез поиск нового оборудования.
на SP3 по не решился, но хочу скоро заменить kws на kis 2010

Dmitriy05
Если у Вас в сетке сидит Kido, то пока Вы решитесь на СП3 - опять заразитесь.

Цитата:

Внимание! Не запускайте AVZ на x64. Мы не несём ответственность за проблемы, возникшие в ходе запуска AVZ на системах x64

А на х64 как диагностировать?

RSEREGAR
У Вас какая именно ОС?

Добавлено:
И какие именно жалобы?

gjf
Я понял зачем нужен SP3, но сделаю немного по-другому.
Установка 3 патчей указанных в http://forum.kaspersky.com/index.php?showtopic=101154

Dmitriy05
Kido - только пример. Есть и другие уязвимости. Чего Вы так полного набора обновлений испугались-то?

gjf

Цитата:

Чего Вы так полного набора обновлений испугались-то?

Так это старая бодяга. Нагнали криворукие когда-то в сети страху, что с установкой SP3 ОСь кривеет неимоверно, так и бытует это мнение до сих пор.

gjf
Вируслаб так и не ответил больше. Заметил, что служба Антивируса Касперского находится в режиме запуска. Антивирус не работает. Остановил. Антивирус удалил. Все заработало. Попытки переустановить закончились неудачей(вываливается по ошибке во время установки). Пришлось все почистить от хвостов и поставить другой антивирус. Пока все нормально.Плохо, что не понятна причина. Спасибо за помощь, участие и потраченное время!

gjf прошу прошение

Personxxx
Причина одна - хвосты. А вирлаб не ответил, потому что ответил мне
Вирусов фактически не было - но было много хвостов.
lorents
Не в эту тему плз. Читаем шапку.

Доброго времени суток! Пожалуйста, помогите! Предисловие: глава1. Проблема: глава2.

ГЛАВА 1.
У меня перестал работать ESET NOD32 Antivirus, версия: 4.0.468.0
Я не стал разбираться почему и решил удалить его, но оказалось не все так просто.
Пробовал вызывать деинсталлятор программы через меню Пуск\Все программы\ESET\ESET NOD32 Antivirus\Удаление
И вместо программы деинсталляции (Uninstall) запускался Windows Installer.
Далее шла подготовка к установке и Windows Installer информировал: Не удается получить доступ к службе "Windows Installer". Либо Windows работает в защищенном режиме, либо служба "Windows Installer" установлена неправильно. Обратитесь в службу поддержки.
Пробовал деинсталлировать программу с помощью Панели управления\Установка и удаление программ, но здесь кнопка "Удалить" отсутствовала, бала только кнопка "Изменить" и ссылка на получение сведений о поддержке, которая содержала следующее:
Издатель: ESET, spol s r. o.
Версия: 4.0.468.0
Комментарий: Эта база данных программы установки содержит логическую структуру и информацию, необходимую для установки ESET NOD32 Antivirus.
Попробовал скачать деинсталлятор с сайта http://www.esetnod32.ru/, но к моему удивлению он и все и исходные от него не открывались посредством Mozilla Firefox и Internet Explorer. Попробовал через Opera открыть страницу http://download.eset.com/special/ESETUninstaller.exe страница загружается, всплывает окно загрузки файла ESETUninstaller.exe жму "сохранить" и происходит ошибка при сохранении. Прям мистика такая то...
ПРОБЛЕМА ДЕИНСТАЛЛЯЦИИ РЕШЕНА: Друг отправил деинсталлятор ESETUninstaller.exe 4.0.14.0 по интернет пейджеру (Mail.Ru Агент). И в безопасном режиме я деинсталлировал NOD32.

ГЛАВА 2: Сейчас я не могу установить новую антивирусную программу т.к. все сайты связанные с антивирусными программами imho блокируются вирусом, у меня возникают проблемы при загрузке страниц. Данный портал доступен, а ссылки в шапке сабжа нет.
Помогите пожалуйста искоренить злое "ЭТО".

компьютер windows xp sp2 появляется при загрузке порно банер с просьбой отправить смс на номер 5121 текст 5213302, не один exe файл не запускается, касперский ничего не находит.

DJMC
В шапке темы Windows заблокирован! см. Сервисы деактивации вымогателей-блокеров. Реально срабатывает.