Что за вирус jwgkvsq vmx

Напомним, 10 апреля появилась информация о том, что в интернете началась эпидемия нового вируса . ( Признаки заражения компьютера: после входа в Windows блокируется компьютер, предлагая пользователю отправить SMS на номер. Если пользователь отправляет сообщение, происходит списание денег (до 300 рублей/, — прим. ИА "Амител") .

В пресс-релизе, подготовленном Кириллом Леоновым, в частности, говорится о выходе версии 5.0 решения Dr.Web для антивирусной защиты файловых серверов под управлением Windows 2000/2003/2008. "Выпускаемый продукт обладает всеми преимуществами обновленного антивирусного ядра Dr.Web, возросшей скоростью сканирования, а также успешно распределяет нагрузки на файловую систему сервера. Удобный в установке и обслуживании, Антивирус Dr.Web для Windows Servers контролирует все файловые операции на сервере и предотвращает попадание на рабочие станции локальной сети любых вредоносных объектов", — пояснили разработчики новой антивирусной программы.

где и как скачать этот антивирусник.

и еще: сколько стоит его скачивание? как часто необходимо будет обновлять его?

У меня есть. сразу, как этот новый вирус появился - мы поставили, ловит ВСЁ, отличный анивирусник.

У меня установлен NOD32, как мне сказали лучший антивирусник на сегодняшний день, беда только в том, что он не справляется с вирусами, которые я постоянно приношу с работы домой.

Подскажи, где можно скачать эту чудесную штучку?

Чтото прямо реклама доктора веба какая то - обновляете регулярно базы вашего антивируса - и будет вам щастье (а каспер у вас , доктор или нод вопрос другой - 100% гарантию не дает не один антивирус так что можно не расстраиваться особо - для домашнего пользователя кроме платных антивирусов подойдут бесплатный AVAST или AVIRA (не уступают платным)- бесплатная лицензия, и обновляется без проблем)

спасибо. а как тогда быть? по этой ссылке постоянно можно будет скачивать новые версии. как часто требуется обновлять ее.

Толку то он скана этого. На флехах в основном автораны сидят. Скан его не поймает при включении флехи. Значит комп уже заражён!

Новость НА ПРАВАХ РЕКЛАМЫ!

чайник гостю
15 мая 2009 г.
14:41 да постоянно, он через пять дней попросит скачать новую версию,старой пользоваться можно но эффективоность падает3,скачайте проведите сначало быструю проверку,потом полную,но это может занять много времени в зависимости от того сколько на компе инфы.

еще раз спасибо. благодарю. А NOD32 при этом сканировании нужно удалить или можно оставить?

уже скачиваю, вечером после работы просканирую свой комп.

У DRWEBA есть и полноценная версия на месяц попользоваться бесплатно! Продлить её (бесплатную) не сможете 4 месяца. Потом опять можно. Я на DR WEB уже лет шесть сижу.

спасибо за консультацию.

Ворчун, подскажи, плиз, по какой ссылке можно скачать бесплатную версию на месяц. И почему ее обновить можно будет только через 4 месяца? Как быть за это время?

чайник гостю
15 мая 2009 г.
14:52 можете скачать и полную версию как говорит Ворчун,но она требует регистрации через интернет, и будет работать месяц а потом закроется и выход либо покупать лицензию либо искать в инете ключики

а по мне так касперский лучший (KAV), уже 3-й год на 7 версии с пожизненным ключем (пробный ключ) и обновляюсь без проблем.

to -= Lex =- 14:42
есть такая штука:
USB_Disk_Security_V5.0.0.66
она при подключении флешки перехватыват все автораны, Вы сами решаете, надо ли их пропускать.

Требую приписку "На правах рекламы".

Avast классная штука! Вирусы находит те, которые Каспер пропустил.

переходите на Linux и будет вам щасьтье )))

если нет загрузочного диска (как у меня, когда к родителям ездил) вирус лечится так, он собака даже в безопасном режим запускается: Заходите под ученной записью обычного пользователя, потом запускаете far от имени админа заходите в all users и руками убиваете

мне все надоело

так ДР.Веб этот вирус и придумал . интересно сколько они на этом наварили .
пользуюсь пандой 2009 глобал находит все что ваши попсовые антивиры пропускают

Ну для тех, кто не знает, как антивирус обновить, придумали бубунты и приходящего компутерного мастера

Полиция франции переходит с XP на ubuntu, в докладе есть строчка.
Moving from XP to Ubuntu, however, proved very easy. The two biggest differences are the icons and the games. Games are not our priority.

А что, автозапуск еще кто-то не отключил? Это первое, что я делаю, когда переставляю кому-то систему. Второе - отключаю запуск autorun.inf при щелчке по иконке в эксплорере.

Пользуюсь NOD 32 3.0.684, с периодической проверкой вебером- сканером проблем не было, но зато "мышей" наловил за все это время, а каспер - неплохая защита, только систему ставит на колени и достает своей назойливостью. Остальных не признаю. ИМХО.

А что, предлагаемый Дрвеб для рабочих станций это дело не ловит. Почему молчат про него?
Втирают покупать для серверов (который дороже), а если серверов/сети нет?

Господа и дамы, предлагаю вам простой способ, как избавиться от авторанеров на флешке. К сожалению (а может к счастью) сейчас сижу под линуксом, поэтому буду писать по памяти, что нужно сделать.
Имеется: флешка, одна штука
комп под виндой, одна штука
руки прямые, одна штука.
Правой мышкой по Мой компьютер -> Управление -> Диспетчер устройств. Там находим нашу флешечку в дисковых устройствах и открываем её родимой свойства, Политика, установите переключатель Оптимизировать для выполнения. Жмём ОК. Дальше идём в Мой компьютер и форматируем флешку из FAT32 в NTFS(предварительно, конешно же, скопировав всю информацию нужную).
Далее опять открываем Диспетчер устройств и снова переключаем как було.
Оптимизировать для быстрого удаления: Мой компьютер –> Свойства –> Свойства системы –> Оборудование –> Диспетчер устройств –> Дисковые устройства –> –> Свойства –> Политика.
Так, это мы сделали половину задачи. Теперь надо зайти на флешку, создать папку user или что-нибудь подобное в которую вы будете писать свои документы. Открываем свойства папки, в закладке Безопасность ставим группе Все полный доступ к папочке, жмём ОК. Дальше открываем свойства самой флешки (в Мой компьютер по ней правой мышкой) и там в закладке Безопасность ставим группе Все запрет на запись (то есть там будут галочки разрешающие и запрещающие). Всё, соглашаемся с предупреждением системы и вуаля! Теперь никакой авторанер не сможет записать ничего в корень флешки (как кстати и вы сами) Права есть только на папку. Таким образом я на своей флешке ношу дистрибутивы и могу не бояться, что буду рассадником вирусов!

UncleS
16 мая 2009 г.
09:56 мне их по пять штук на дню приносят, а то и больше и что мне на чужие флехи лезть и еще и обьяснять куда и как там что то записывать потом.

- гость - 16 мая 2009 г. 10:39 данный способ описывался мной, как способ защиты собственной флешки. я ж не предлагаю все флешки подряд переделывать.

Нормально, спасибо.
Мысли вслух: Преимущество Линукс заключается в том, что в ней при установке назначаются сразу права администратора только одному пользователю (корню), все остальное назначается/разрешается админом по ходу работы. Кстати, так делается в большинстве проф. программ.
В виндовс же, не понятно по каким причинам, по умолчанию открыто все, даже удаленное администрирование реестра, совсем непонятно для чего, хотя можно подозревать что компания Микрософт четко знает о невысоком % грамотных пользователей и заведомо ведет скрытную "разведовательную" деятельность, причем нарушая этические общечеловеческие нормы. А настройки безопасности в виндовс сразу охватить сложно и трудозатратно (по времени).

Проще отключить на компе автозапуск. А когда вставляешь чужую флешку, заходить на нее через FAR и удалять вручную все подозрительное. (как правило или в корне или в RECYCLER). Скрытые файлы можно херить сразу не думая.

Доброе время суток!

Такая вот у меня проблемка: После каждоу перезагрузк каспер находит на флэшке вирус и каждый раз удаляет!

удалено: вирус Net-Worm.Win32.Kido.ih Файл: F:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx//PE_Patch.UPX//UPX

Делал полную проверку машины на вирусы -вирусов нет! Через какойто время ловлю синий экран и история повторяется!

Плюс к тому же с внешки долбится без остановкки

запрещено: фишинг-адрес [Только зарегистрированные пользователи могут видеть ссылки.]* URL: [Только зарегистрированные пользователи могут видеть ссылки.]

Анти шпион касперского постоянно предолгает заблочить но каждый раз заново!

Утилиту для удаления Kido нашел на форуме щас пробую его бахнуть.

Вопрос как средствами KIS заблочить 83.68.16.6/search?q=5 не пребегая к другим прогам фаерволам и тд??
Походу это и есть источник заражения.

Когда закрываешь доступ поставь галочку применить ко всем или типа того..он тогда запомнит это правило. Просто какое то приложение закачивает на комп вирус..само приложение не вирус потому его Касперский не определяет как опасное. Попробуй в параметрах проверки поставить эвристический анализ на максимум и проверить комп.

И отключи автозагрузку с носителей.

прога klwk выложенная на форуме его не находит, скачал Koidkiller шас пробую.

Добавлено через 1 минуту
Когда закрываешь доступ поставь галочку применить ко всем или типа того..

Каждый раз так жму и каждыйраз одно и то же.

Net-Worm.Win32.Kido removing tool, Kaspersky Lab 2009
version 3.1 Feb 3 2009 07:34:42
scanning threads .

Infected thread was killed in process with PID 712
Infected thread was killed in process with PID 712
Infected thread was killed in process with PID 712
Infected thread was killed in process with PID 712
Infected thread was killed in process with PID 712
Infected thread was killed in process with PID 712
Infected thread was killed in process with PID 712
Infected thread was killed in process with PID 712
Infected thread was killed in process with PID 712
Infected thread was killed in process with PID 712
Infected thread was killed in process with PID 712
Infected thread was killed in process with PID 712

scanning modules in svchost.exe.
Spliced function NtQueryInformationProcess fixed in ntdll.dll module
Spliced function NetpwPathCanonicalize fixed in netapi32.dll module
Spliced function NtQueryInformationProcess fixed in ntdll.dll module
Spliced function Query_Main fixed in dnsapi.dll module
scanning modules in services.exe.
scanning modules in explorer.exe.

completed
Infected files: 1
Infected threads: 12
Splices functions: 4
Cured files: 1
Fixed registry keys: 3
Для продолжения нажмите любую клавишу . . .

Повторный запуск:
Net-Worm.Win32.Kido removing tool, Kaspersky Lab 2009
version 3.1 Feb 3 2009 07:34:42
scanning threads .

scanning modules in svchost.exe.
scanning modules in services.exe.
scanning modules in explorer.exe.

completed
Infected files: 0
Infected threads: 0
Splices functions: 0
Cured files: 0
Fixed registry keys: 0
Для продолжения нажмите любую клавишу . . .

Добавлено через 32 секунды

Каждый раз так жму и каждыйраз одно и то же.

Значит адреса или порты разные

[Только зарегистрированные пользователи могут видеть ссылки.]

Net-Worm.Win32.Kido.ih
Другие модификации: .bt, .dv, .fx
Детектирование добавлено 07 янв 2009
Обновление выпущено 08 янв 2009 08:44 MSK
Описание опубликовано 20 фев 2009

Технические детали
Деструктивная активность
Рекомендации по удалению Технические детали

Сетевой червь, распространяющийся через локальную сеть и при помощи съемных носителей информации. Программа является динамической библиотекой Windows (PE DLL-файл). Размер компонентов варьируется в пределах от 155 до 165 КБ. Упакован при помощи UPX.
Инсталляция

где - случайная последовательность символов.

Для автоматического запуска при следующем старте системы червь создает службу, которая запускает его исполняемый файл при каждой последующей загрузке Windows. При этом создается следующий ключ реестра:
[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]

Также червь изменяет значение следующего ключа реестра:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
"netsvcs" = " %System%\ .dll"
Распространение по сети

При заражении компьютера червь запускает HTTP сервер на случайном TCP порту, который затем используется для загрузки исполняемого файла червя на другие компьютеры.

Для того, чтобы воспользоваться вышеуказанной уязвимостью, червь пытается подключиться к удаленной машине под учетной записью администратора. Для этого червь последовательно перебирает следующие пароли:99999999
9999999
999999
99999
88888888
8888888
888888
88888
8888
888
88
8
77777777
7777777
777777
77777
7777
777
77
7
66666666
6666666
666666
66666
6666
666
66
6
55555555
5555555
555555
55555
5555
555
55
5
44444444
4444444
444444
44444
4444
444
44
4
33333333
3333333
333333
33333
3333
333
33
3
22222222
2222222
222222
22222
2222
222
22
2
11111111
1111111
111111
11111
1111
111
explorer
exchange
customer
cluster
nobody
codeword
codename
changeme
desktop
security
secure
public
system
shadow
office
supervisor
superuser
share
super
secret
server
computer
owner
backup
database
lotus
oracle
business
manager
temporary
ihavenopass
nothing
nopassword
nopass
Internet
internet
example
sample
love123
boss123
work123
home123
mypc123
temp123
test123
qwe123
abc123
pw123
root123
pass123
pass12
pass1
admin123
admin12
admin1
password123
password12
password1 9999
999
99
9
11
1
00000000
0000000
00000
0000
000
00
0987654321
987654321
87654321
7654321
654321
54321
4321
321
21
12
fuck
zzzzz
zzzz
zzz
xxxxx
xxxx
xxx
qqqqq
qqqq
qqq
aaaaa
aaaa
aaa
sql
file
web
foo
job
home
work
intranet
controller
killer
games
private
market
coffee
cookie
forever
freedom
student
account
academia
files
windows
monitor
unknown
anything
letitbe
letmein
domain
access
money
campus
default
foobar
foofoo
temptemp
temp
testtest
test
rootroot
root
adminadmin
mypassword
mypass
pass
Login
login
Password
password
passwd
zxcvbn
zxcvb
zxccxz
zxcxz
qazwsxedc
qazwsx
q1w2e3
qweasdzxc
asdfgh
asdzxc
asddsa
asdsa
qweasd
qwerty
qweewq
qwewq
nimda
administrator
Admin
admin
a1b2c3
1q2w3e
1234qwer
1234abcd
123asd
123qwe
123abc
123321
12321
123123
1234567890
123456789
12345678
1234567
123456
12345
1234
123

Распространение при помощи сменных носителей

Червь копирует свой исполняемый файл на все съемные диски со следующим именем:
:\RECYCLER\S- - - - - - - \ .vmx,

где rnd – случайная последовательность строчных букв, d – произвольное число, X – буква съемного диска.

Также вместе со своим исполняемым файлом червь помещает в корень каждого диска сопровождающий файл:
:\autorun.inf

Данный файл запускает исполняемый файл червя каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".Деструктивная активность

При запуске червь внедряет свой код в адресное пространство одного из запущенных системных процессов "svchost.exe". Внедренный код выполняет основной деструктивный функционал червя:
отключает следующие службы:
wuauserv
BITS
блокирует доступ к адресам, содержащим следующие строки:
indowsupdate
wilderssecurity
threatexpert
castlecops
spamhaus
cpsecure
arcabit
emsisoft
sunbelt
securecomputing
rising
prevx
pctools
norman
k7computing
ikarus
hauri
hacksoft
gdata
fortinet
ewido
clamav
comodo
quickheal
avira
avast
esafe
ahnlab
centralcommand
drweb
grisoft
eset
nod32
f-prot
jotti
kaspersky
f-secure
computerassociates
networkassociates
etrust
panda
sophos
trendmicro
mcafee
norton
symantec
microsoft
defender
rootkit
malware
spyware
virus

Также червь может скачивать файлы по ссылкам вида:
[Только зарегистрированные пользователи могут видеть ссылки.]>/search?q=

где rnd2 – случайное число, URL – ссылка, сфромированная по специальному алгоритму в зависимости от текущей даты. Текущую дату червь запрашивает с одного из следующих сайтов:
[Только зарегистрированные пользователи могут видеть ссылки.]
[Только зарегистрированные пользователи могут видеть ссылки.]
[Только зарегистрированные пользователи могут видеть ссылки.]
[Только зарегистрированные пользователи могут видеть ссылки.]
[Только зарегистрированные пользователи могут видеть ссылки.]
[Только зарегистрированные пользователи могут видеть ссылки.]

Скачанные файлы сохраняются в системный каталог Windows (%System%) с оригинальными именами.Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления воспользуйтесь специальной утилитой и рекомендациями по удалению, которые можно скачать по следующей ссылке:
[Только зарегистрированные пользователи могут видеть ссылки.]

где - случайная последовательность символов.
Удалить следующие файлы со всех съемных носителей:
:\autorun.inf
:\RECYCLER\S- - - - - - - \ .vmx,

где rnd – случайная последовательность строчных букв, d – произвольное число, X – буква съемного диска.
Скачать и установить обновление операционной системы по следующей ссылке:
[Только зарегистрированные пользователи могут видеть ссылки.]
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

[Только зарегистрированные пользователи могут видеть ссылки.]

Ты наверное не заметил что этот вирус блокирует все сайты с инфой о вирусах, и этот в том числе.

Все у кого такая же проблема ищите Koidkiller, я им его и кильнул. Сразу прекратились атаки с указанного IP.

Ты наверное не заметил что этот вирус блокирует все сайты с инфой о вирусах, и этот в том числе. Поэтому выложил инфу которая находиться по этой ссылке выше:)

Ключи для запуска утилиты KidoKiller.exe из командной строки:

-p - сканировать определённый каталог.
-f - сканировать жёсткие диски.
-n - сканировать сетевые диски.
-r - сканировать flash-накопители.
-y - не ждать нажатия любой клавишы.
-s - "тихий" режим (без чёрного окна).
-l - запись информации в лог-файл.
-v - ведение расширенного лога (необходимо вводить вместе с параметром -l).
-help - получение дополнительной информации об утилите.

Флешки — основной источник заражения для
компьютеров, не подключенных к Интернету
— Wikipedia

В наше время мало кто задумывается о таком понятии, как компьютерная безопасность. Не удивительно, ведь тема эта довольно обширна и большинство материала на эту тему рассчитано на подготовленного пользователя. Но стоит рядовому пользователю столкнуться с проблемой вирусов (например, появление файла autorun.inf на флешке), как тут же начинаются активные поиски методов защиты и борьбы с ними.

В этой статье будет рассмотрено:

Назначение файла autorun.inf

Файл autorun.inf (от англ. auto – автоматический и run – запуск) используется в операционной системе Microsoft Windows для автоматического запуска приложений с носителей, что позволяет значительно упростить действия пользователя при установке приложений и драйверов с накопителей.

Файл автозапуска можно встретить практически на любом диске с программным обеспечением или драйвером к какому-либо устройству. Помимо этого он выполняет функцию автозапуска меню на флешках с предустановленными или портативными утилитами.

Структура файла autorun.inf разделена на блоки, параметры и значения. В файле содержатся параметры, описывающие диск, такие как: как метка диска, иконка диска, запускаемый файл и некоторые другие специфические параметры. В частности, для автоматического запуска какого-либо приложения с флешки при ее подключении к компьютеру в файле autorun.inf будет достаточно двух строк:

Где [autorun] – имя блока, open – имя параметра, имя_файла – содержит путь к файлу приложения, которое будет автоматически запущено.

Стоит отметить, что worm win32 autorun способен обфусцировать (запутывать) содержимое файла autorun.inf, тем самым затрудняя анализ файла. Однако, программа для защиты флешки Antirun без проблем распознает содержимое файла автозапуска, над которым поработал autorun червь.

Вирус autorun

Изначально безобидное предназначение файла автозапуска со временем стало использоваться вирусописателями как эффективный способ распространения worm win32 autorun. Сам по себе файл autorun.inf не содержит исполняемый код вируса, он является лишь средством запуска autorun червя.

Вирусом autorun называется такой тип вирусов, которые распространяются посредством копирования исполняемого файла (своей копии) на съемные носители и прописываясь в файл автозапуска autorun.inf, таким образом, заражая их. Заражению подвержены абсолютно все внешние накопители (флешки, mp3-плееры, цифровые камеры и прочие устройства), которые не защищены каким-либо образом от записи на диск (аппаратная защита, или же уже существующий в корне диска защищенный файл или папка autorun.inf).

В Windows XP autorun по-умолчанию запускается со съемных носителей. Существует масса способов устранения этой уязвимости: от установки официальных заплаток (обновлений) от Microsoft до применения различных настроек. Программа для защиты флешки от вирусов Antirun при установке автоматически устраняет эту уязвимость. Также в настройках программы доступно возобновление функции автозапуска.

В Windows 7 autorun обрабатывается несколько иначе: по-умолчанию автозапуск со съемных носителей отключен, однако это не обеспечивает защиту от autorun вирусов с флешек. Поэтому для защиты от worm win32 autorun рекомендуется использовать программу Antirun вместе с основным антивирусом.

Признаки заражения флешки

Наличие файла автозапуска на CD диске с игрой означает скорее то, что на диске есть инсталлятор игры. Аналогично, как и на CD диске с фильмом присутствует меню с возможностью установить кодеки для просмотра видео. Однако, присутствие файла autorun.inf на флешке (mp3-плеере, цифровой камере или другом цифровом носителе) уже вызывает подозрение и с большой долей вероятности указывает на присутствие autorun червя на флешке.

Рассмотрим типичный пример зараженного съемного диска:

На рисунке явно видно, что на съемном диске (G:) присутствует скрытый файл autorun.inf и скрытая папка RECYCLER. Анализируя содержимое файла автозапуска, становится понятно, что при автозапуске съемного носителя запускается файл jwgkvsq.vmx (worm win32 autorun) из папки RECYCLER.

Разумеется, для просмотра скрытых файлов и папок в Проводнике, необходимо поставить соответствующую галочку в настройках вида папок (пункт Сервис в меню Проводника – Параметры папок – Вид).

Стоит напомнить, что не всегда файл автозапуска является признаком заражения вирусом worm win32 autorun. Возможно, на флешке присутствует автоматическое меню с набором портативных программ, или же файл autorun.inf указывает только на иконку устройства.

Если при попытке открытия файла autorun.inf система выдает сообщение о том, что доступ к файлу невозможен, скорее всего, система уже заражена и доступ к файлу заблокировал worm autorun.

Рассмотрим работу антивирусной утилиты Antirun в данном случае. При подключении устройства, зараженного вирусом autorun (файл jwgkvsq.vmx), программа Antirun предупредит пользователя о существующей угрозе в всплывающем диалоге в области над системным треем:

На данном диалоге видно, что Antirun распознал автоматически запускающийся файл (jwgkvsq.vmx) и предложил его удалить. Также из данного диалога можно безопасно открыть диск, не запуская файл вируса, просмотреть информацию о диске, либо безопасно извлечь устройство.

Признаки заражения системы

Как правило, большая часть autorun вирусов, при своей деятельности, блокируют те или иные функции системы, при помощи которых пользователь может как-либо противостоять угрозе. Самые основные из них:

Источники заражения

Широкое распространение worm win32 autorun получил благодаря повсеместному использованию внешних накопителей. Сейчас практически у каждого пользователя ПК имеется флешка (а то и несколько), цифровой плеер или камера с картой памяти. Используются эти устройства на разных компьютерах, большинство которых даже не защищены антивирусом, не говоря уже об актуальных базах вирусных сигнатур.

Источником заражения вирусом worm win32 autorun может послужить любой зараженный компьютер. Это может быть:

• фотолаборатория, куда вы отдали флеш-карту для распечатки фотографий;
• рабочий компьютер;
• компьютер друзей;
• интернет-кафе и прочие публичные места.

Также известны случаи, когда новая флешка, купленная в магазине, уже содержала worm win32 autorun.

В заключение стоит добавить, что за довольно долгую историю существования autorun вирусов и появившуюся за это время массу методов защиты и профилактики, проблема все еще остается актуальной. Далеко не все лидирующие на рынке комплексные антивирусные решения способны грамотно справиться с этой задачей. Для надежной защиты от autorun вирусов рекомендуется использовать антивирусную утилиту Antirun совместно с основным антивирусным комплексом.

В следующих статьях будут рассмотрены методы защиты системы и внешних устройств (флешек, mp3-плееров, камер и пр.) от вирусов autorun, которые использует в своей работе антивирусная программа Antirun.

А что за вири? Ставили с полным удалением 9.0.0.736?

Да с полным удалением
06.12.2010 11:20:28 Удалено троянская программа Trojan.Win32.AutoRun.avp E:\autorun.inf Высокая
06.12.2010 12:55:15 Удалено вирус Net-Worm.Win32.Kido.ih F:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx Высокая
06.12.2010 13:19:31 Удалено троянская программа Trojan.Win32.Pincav.adnz E:\DIJAMANTE\veciti.exe Высокая

Начинает проверять и проценты не двигаются минут 5.

Отчёты проверки флешки выложите.

Так это с отчета я выложил. он время проверки в отчете не пишет. Или в другом месте смотреть?

Пишется время запуска и окончания проверки. Можно ещё перед проверкой в настройках включить запись некритических событий.

Попробуйте отключить технологию лечения активного заражения и выполнить проверку.
Вы запускаете проверку из меню, которое появляется после подключения флешки?

Нет я просто из менюшки проверить на вирусы. Он именно замерз на проверке картинки.
Сейчас еще .htm с картинками запустил висит гад на 2%. Размер 1.2 кб
Проверка на вирусы: завершено 1 минуту назад (событий: 5, объектов: 77, время: 00:05:42)
06.12.2010 20:47:43 Задача запущена
06.12.2010 20:53:24 Упаковано: Swf2Swc C:\Users\N150\Downloads\help\Как получить доступ к файлам, папкам, разделам реестра в Windows Vista и Windows 7_files\rle.cgi
06.12.2010 20:53:24 Упаковано: JSPack C:\Users\N150\Downloads\help\Как получить доступ к файлам, папкам, разделам реестра в Windows Vista и Windows 7_files\shamoo.js
06.12.2010 20:53:25 Упаковано: Swf2Swc C:\Users\N150\Downloads\help\Как получить доступ к файлам, папкам, разделам реестра в Windows Vista и Windows 7_files\erle_data\bladecenter_200x400.swf
06.12.2010 20:53:25 Задача завершена

1.026 кб все файлы вместе! 5 минут 42 секунды!

Ну и еще из сегодняшнего отчета:
(событий: 4, объектов: 2, время: 00:03:46)
06.12.2010 13:36:41 Задача завершена
06.12.2010 13:36:41 Не вылечено: Trojan-Ransom.Win32.HmBlocker.ia E:\112661064\112661064.exe Отложено
06.12.2010 13:36:41 Обнаружено: Trojan-Ransom.Win32.HmBlocker.ia E:\112661064\112661064.exe
почти 4 минуты на проверку одной папки с одним вирем

Участники

Cообщений: 558

Установил kis 11.02.556( на windows 7 х86.

Когда скачивали с офсайта? В один день было несколько сборок 556 (немного отличался размер и цифровые подписи с разными датами). Проверьте, что стоит актуальная на данный момент версия.

P.S. По поводу долгой проверки флешек с вредоносами неоднократно писали на оффоруме, но у себя такого не замечал.