Kido
 

Постоянно повляются сообщения касперского об этом вирусе в svchost.exe.

проверял разными утилитками kidokiller, kk - ничего не находит.

проверьте, пожалуйста логи.

seman, Привет.

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
После всех процедур выполните скрипт
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.


И обязательно сделайте лог GMER

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
• IAT/EAT
• Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

программу не удается запустить.
вылетает виндовая ошибка при запуске, пробЫвал несколько раз в разных режимах - никак.

не удается отправить в форму, поскольку размер карантина 3мб, а в форме разрешено не более 1.5 мб

• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

iskander-k,
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Версия базы данных: 4051

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

29.04.2010 21:34:21
mbam-log-2010-04-29 (21-34-21).txt

Тип сканирования: Полное сканирование (C:\|)
Просканированные объекты: 240476
Времени прошло: 49 минут, 24 секунд

Зараженные процессы в памяти: 0
Зараженные модули в памяти: 0
Зараженные ключи в реестре: 0
Зараженные параметры в реестре: 0
Объекты реестра заражены: 0
Зараженные папки: 0
Зараженные файлы: 2

Зараженные процессы в памяти:
(Вредоносных программ не обнаружено)

Зараженные модули в памяти:
(Вредоносных программ не обнаружено)

Зараженные ключи в реестре:
(Вредоносных программ не обнаружено)

Зараженные параметры в реестре:
(Вредоносных программ не обнаружено)

Объекты реестра заражены:
(Вредоносных программ не обнаружено)

Зараженные папки:
(Вредоносных программ не обнаружено)

Зараженные файлы:
C:\System Volume Information\_restore{82C19E2F-3143-4EC1-A5BA-0561304C02C3}\RP201\A0038258.dll (Hacktool) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\oobe\AntiWPA_Crypt.dll (Hacktool) -> Not selected for removal.

сообщение каспера о наличии Kido появляется время от времени в svchost.exe

После выполнения сканирования с МБАМ, Gmer - пробовали запускать..?

icotonev,
пробЫвал. все так же ошибка

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

после запуска компьютер перезагрузился

потом пошли стадии
на stage2 вылезла ошибка сбой приложения, нажал ок, стадии продолжились
через некоторое время

issch.exe сбой при инициализации dll
ivagent.exe сбой при инициализации dll
hppusg.exe сбой при инициализации dll
cf21199.cfxxe сбой при инициализации dll

please do not reboot manualy

на этом все застопорилось

может попробывать на другом компе запустить gmer и подключить диск к компьютеру и проверить

или это уже будет не то?

файл все таки создался, после вынужденного резета

Скачайте "OSAM" (Online Solutions Autorun Manager).
Лог работы утилиты заархивируйте и прикрепите к своему сообщению

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

thyrex,
сделал

Упаковать нужно html-версию лога OSAM. Сделайте еще раз

thyrex,
на всякий случай полный набор логов.

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

thyrex,

Лог вроде как оборванный. Но, похоже, чистый.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt, запустите, нажмите Clean up

thyrex,
сделал новый лог оса

красным выделена угроза
C:\WINDOWS\system32\drivers\asrmf004.sys

это нормально?

Сделайте еще раз логи AVZ

C:\WINDOWS\system32\drivers\asrmf004.sys запакуйте с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему

не нашел реально этого драйвера в папке, включил просмотр скрытых, тоже нет, но ведь он определяется
этой прогой. попался какой то серъезный зловред.

Сделайте логи AVZ