» Помощь при лечении компьютера от вирусов

Установил kis 2011, проверился avz (базы от 09-06-2010):
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2011\avp.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
у кого какие мысли?

opt_step
Попробуй подозрительный файл на virustotal отправить.

Sish
http://www.virustotal.com/ru/analisis/ec4aa2128c96be2dbdefeff4aa7351118aff1ec5776e7d5adec99925350c7be5-1274963080

Добавлено:
и еще Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll"

Evgeniy87, opt_step, выполните правила из шапки темы (раздел Диагностика) и предоставьте необходимые логи

vzar

Цитата:

Сервисы деактивации вымогателей-блокеров.

спасибо, сразу же все нашел на докторе вебе.

Это снова я - http://forum.ru-board.com/topic.cgi?forum=62&topic=20225&start=200#7
Возникла проблема, при попытке установки критического обновления KB982168 компьютер зависает (со странным звуком "вжик" из корпуса, с таким же звуком всё зависало с вирусом, при проверке касперским). Это может быть связано с остатками вируса или следует обратится в другой раздел форума?

LostHorok
Трудно сказать без логов

Те же три лога? Щас сделаем...

gjf
Установил kis 2011, проверился avz (базы от 09-06-2010):
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2011\avp.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)
http://rghost.ru/1862194
http://rghost.ru/1862212
http://rghost.ru/1862309
просьба, посмотрите

opt_step
Если файлы autorun.inf на дисках H и I Ваши, тогда ничего необычного в логах.

Походу вирус, опять тот же, касперский снова зависает(( Надо что-то менять.
Логи:
http://www.mediafire.com/file/mmzzzryjtyv/hijackthis.log
http://www.mediafire.com/file/jym1tziznc1/virusinfo_syscheck.zip
http://www.mediafire.com/file/lmimli2jvdd/virusinfo_syscure.zip

LostHorok
Ничего вредоносного не видно.

{cut}

thyrannosaurus
понял, это мои флешки, защищенные от авторана

Пытался разобраться с вирусом на одном компе. До конца не вышло. Помогите разобраться.
Была жалоба, что "не работает" вконтакте. Когда проверил, оказалось, что вконтакт открывает лишь страницу с требованием отправить смс по определенному номеру. Я проверил, не открывались так же и сайты известных антивирусов. По началу мне показалось, что это может быть kido, но проверка kk.exe ничего не дала. Потом зашел в C:\Windows\System32\drivers\etc, в файле hosts почистил лишние надписи, после чего нормально заработал вконтакт, но при этом сайты антивирусов не открывались по-прежнему. Покопался в сети, вроде говорили что это вирус Win32.HLLW.Shadow.based, скачал утилиту CureIT, но она этот вирус не нашла. Нашла другой, не помню как назывался. После чего уже поставил Касперского 9.0.0.736 CF2, быстрая проверка которым так же ничего не выявила. Быть может ошибка была в том, что сканировал я в обычном режиме, а не в безопасном? Сайты антивирусов все равно не открывает. Вопрос, остался ли вирус на компе? Что это за вирус? Как его убрать?

Вероятно пост мой не вполне соответствует нормативам ветки, но просто доступа к компьютеру этому у меня больше нет, по этому и логов нет, а ситуацию эту я хочу прояснить лишь из интереса и на будущее, чтобы не повторять ошибок.

artiyom

Цитата:

но при этом сайты антивирусов не открывались по-прежнему

Загрузите AVZ

Далее Файл-Восстановление системы. Отметте 20-й пункт и нажмите "Выполнить операции"
Обратите внимание на пункты 6, 17. Может понадобиться.


Цитата:

Вопрос, остался ли вирус на компе? Что это за вирус? Как его убрать?

Блокировка открытия сайтов не вирус, а последствия его работы
Для понимания ситуации (перед запуском AVZ) введите Пуск-Выполнить-CMD - route print

http://forum.ru-board.com/topic.cgi?forum=62&topic=20225&start=240#8
Забавно но проблема была не с вирусом, а с АНТИвирусом. Что-то у касперского в башке переклинило. Удалил его начисто с помощью фирменной утилиты, обновление сразу установилось.

Просьба посмотреть, вот три лога:
http://rghost.ru/1910948

opt_step
Что-то есть....

- Вставьте все заражённые флешки, но не открывайте их в Проводнике, пока Вам не будет это разрешено.
- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Выполните скрипт:

Код: begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); {ClearQuarantine;}
QuarantineFile('G:\autorun.inf','');
QuarantineFile('c:\program files\x10svc\x10svc.exe','');
BC_ImportAll;
SetAVZPMStatus(true);
BC_Activate;
RebootWindows(true);
end.

gjf
c:\program files\x10svc\x10svc.exe это моя программа,
G:\autorun.inf защищенная флешка,

opt_step
Тогда чисто.

Добавлено:
А на что вообще жалобы?

Цитата:

А на что вообще жалобы?

word стал писать кракозябрами, тормоза, и т.д., я почистил, потом показал вам, чтобы посмотреть может следы остались

opt_step
Чем чистили? Что нашло и удалило - вспомнить можете? Какая версия Word?

gjf
доступ к компу сегодня уже не имею, завтра напишу

Добавлено:
Word 2007, чистил WebliveCD базы от 17-06-2010г., (в логах на компе осталось, что нашел), потом вычистил все временные папки и System Vol... Inf..., потом обновил базы антивирусника (на компе стоит kis 2010 базы от октября 2009г), после обновы кисы нашел еще (завтра отпишу что), далее перезагрузка, проверка avz и создание логов для вас, вот собственно и все.

gjf
не могли бы вы указать ссылки на AVZ и AVPToo со сторонних ресурсов, на сайты в ссылках шапки не заходит.

winklive
Пробуйте с samlab.ws

opt_step
Ну по-видимому Вы всё вычистили.
winklive
AVZ. AVPTool - не могу, он динамически обновляется на оффсайте. Попробуйте скачать его так:
AVZ
HiJackThis
AVPTool (сейчас проблемы с сервером, так что временно не работает)
CureIt

тут логи
http://rghost.ru/1914410

winklive
Хорошо хватанули. Душевно.

- Закройте/выгрузите все программы кроме Internet Explorer.
Отключите
- ПК от интернета/локальной сети.
- Антивирус и Файрвол.
- Системное восстановление!!! Это ВАЖНО!
- Выполните скрипт:
Файл со скриптом
По окончанию Вам откроет папку с архивом. Это - карантин.
Сделайте лог с помощью GMER.
gmer.log
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антивирус и Файрвол
- Подключите ПК к интернету/локальной сети
- Карантин загрузите по этой форме. При заполнении формы укажите свой e-mail, на него должен будет потом прийти отчёт о карантине. Его сообщите здесь.
- Прикрепите новые логи к новому сообщению в этой ветке.

карантин не отправить, gmer не загрузить, сайты недоступны;
логи: http://rghost.ru/1915410