Проблемы после смены Антивира

[НИКОМС]

Удалил DrWeb и установил KAV2010. Сразу отрубило мышку. Удалил КАВ2010, заработала,- но перестали запускаться regedit, exe-файлы (отовсюду). Теперь комп грузится 5-6 минут. Прогнал AVZ i DrWeb Live CD,- НЕТ вирусов и т.п.! С панели задач и рабочего стола запускается только ИЕ (Мозилла не запускается). Иконки в норме. ЕХЕ и regedit запускаются из командной строки .

Реестр можно редактировать (пробовал)!

Пожалуйста ПОМОГИТЕ! Техподержка DrWeb не отвечает по2-3 суток. В компах я "чайник". Если попал "не в тему", подскажите как и куда обращаться. (Не смог попасть в техподдержку КАВа вот и забрел сюда)

Логи, все, что имею, приложил.

avz_log_1.txt

avz_log_2.txt

GMER_Otchet_2.log

hijackthis2.log

Rootkit_Unhooker_Report.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено 30 октября, 2009 пользователем НИКОМС

[kilo]

Вот Техподержка https://support.kaspersky.com/ru/PersonalCabinet продуктов Лаборатории Касперского

С логами вам суда http://forum.kasperskyclub.ru/index.php?showforum=26

Изменено 31 октября, 2009 пользователем kilo

[snifer67]

Восстановление системы отключить.

 

Пофиксить в HijackThis

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O4 - Startup: ЎЎЎЎЎЎ.lnk = C:\WINDOWS\system32\3B7BAD\253B2B.EXE

ПК перезагрузите.

 

Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('G:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system\msvidc.drv','');
QuarantineFile('C:\WINDOWS\system\msacm.drv','');
QuarantineFile('C:\WINDOWS\system\iccvid.drv','');
QuarantineFile('C:\WINDOWS\system\MSRLE.drv','');
QuarantineFile('C:\WINDOWS\system32\3B7BAD\253B2B.EXE','');
QuarantineFile('C:\RECYCLER\S-1-5-21-3226162869-1056729938-825255483-5334\hd1.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-3226162869-1056729938-825255483-5334\hd1.exe');
DeleteFile('C:\WINDOWS\system32\3B7BAD\253B2B.EXE');
DeleteFile('G:\autorun.inf');
DeleteFile('C:\WINDOWS\system\MSRLE.drv');
DeleteFile('C:\WINDOWS\system\iccvid.drv');
DeleteFile('C:\WINDOWS\system\msacm.drv');
DeleteFile('C:\WINDOWS\system\msvidc.drv');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','253B2B');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers','VIDC.MRLE');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers','VIDC.CVID');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers','WaveMapper');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers','VIDC.MSVC');
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Сделайте новые логи.

Изменено 31 октября, 2009 пользователем snifer67

[НИКОМС]

Спасибо Друзья! За готовность помочь таким как я!

Как выполнить скрипты не знаю, а посему "иду" искать (где-то выдел про это).

Как пофиксить вроде-бы знаю ( из проги HijackThis).

[C. Tantin]

Почитать можно в этом разделе в закреплённых темах.

[НИКОМС]

Для Snifer67. Сделал все что Вы написали,- пофиксил, скрипты выполнил, файл отослал.

С компом не лучше, все по прежнему. После запуска на экране, как и раньше, появляется каскад из 17 окон строки запуска. Это я наворочал,- сделал возможным появление окна строки запуск, т. к. "по штатному" не запускались редактор реестра и ЕХЕ-файлы (посоветовали из службы DrWeb). Так м.б. можно теперь попытаться привести к норме запуск ЕХЕ- файлов и редактора (из строки выполнить и рабочего стола)?

Неужели вирусы? А м.б. все-же нет? Комп в Интернете не работал вообще. Да и он сразу-же заглючил после установки Касперского 2010 вместо УДАЛЕННГО мною (м.б. некорректно?) DrWeb! А после удаления Каспера вообще "съехал с катушек".

Изменено 31 октября, 2009 пользователем НИКОМС

[C. Tantin]

НИКОМС, скорее всего вирусы. Сделайте новые логи. Тему я перенёс в нужный раздел.

[НИКОМС]

НИКОМС, скорее всего вирусы. Сделайте новые логи. Тему я перенёс в нужный раздел.

 

Сюда я попадаю по закладке в браузере.

А как мне теперь заходить в этот новый раздел?

Или я буду советы и рекомендации участников нового раздела видеть здесь?

 

Новые логи (после выполнения рекомендованного скрипта) выкладываю (в этой теме).

Файлы с 1 в имени сделаны до перезагрузки компа, а с 2 - после перезагрузки.

(Есть еще файл virusinfo_cure.rar, посылаю на всякий случай)

 

С помощью проги GetSystemInfo получил инфо о системе "больного" компа и отправил на getsysteminfo.com с указанием , что комп заражен вирусами.

Вот ссылка на протокол анализа системы

www.getsysteminfo.com/read.php?file=3e442792fdfc9c674c6207a1f352ff35

Пожалуйста, посмотрите и посоветуйте что и как исправить.

А то я "побегав" по закладкам уяснил лишь только то, о чем прямо и понятно сообщено.

По сообщению о несовместимости файла Файерволла могу сказать, что Файерволл не устанавливался и не стоит т.к. к Интернету НЕТ доступа! (А я выхожу в интернет с другого (чужого) компа).

virusinfo_syscure_1.zip

hijackthis_1.log

avz_log_1_дискаС.txt

avz_log_2_дискаС.txt

hijackthis_2.log

virusinfo_syscheck_2.zip

Изменено 1 ноября, 2009 пользователем НИКОМС

[snifer67]

Восстановление системы отключить.

 

Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\nomjrn.sys','');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs');
RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь.

 

Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол.

 

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

 

Сделайте новые логи.

Изменено 1 ноября, 2009 пользователем snifer67

[НИКОМС]

Скрипты выполнил. 2-й скрипт сообщил, что создал архив с файлами из карантина. НО quarantine.zip в папке AVZ размером всего в 1 КБ и в нем пусто! Перегрузил и снова выполнил,- результат тот-же. А зачем отправлять на newvirus@kaspersky.com пустышку? Не отправил.

ComboFix отработал и создал ТХТ-файл в корне диска С, а не в папке одноименной. Оный и прилагаю.

При перезагрузке компа после КомбоФикса, в момент появления окна выбора пользователя комп выдал сообщение с круглым красным значком с Х и 2 предложениями на английском. Что-то по поводу SQL Serverа- ну вроде что не может найти по умолчанию пример... . просит установить ... . Ну да не въезжаю я в тот язык. Далее комп тормозил как всегда. А вот выполнил процессов загрузки на 3 шт. меньше. (Комбо видать что-то почикал).

 

М.б. повторить эти скрипты по новой, после Комбо? Не навредят?

ComboFix.txt

Изменено 1 ноября, 2009 пользователем НИКОМС

[snifer67]

Делайте логи avz.

[НИКОМС]

1. Новые логи AVZ (и др) прилагаю.

Файлы с 1 в имени сделаны до перезагрузки компа, а с 2 - после перезагрузки.

 

2. С помощью проги GetSystemInfo получил инфо о системе "больного" компа и отправил на getsysteminfo.com с указанием , что комп заражен вирусами.

Вот ссылка на протокол анализа системы

www.getsysteminfo.com/read.php?file=3e442792fdfc9c674c6207a1f352ff35

Пожалуйста, посмотрите и посоветуйте, м.б. мне нужно что-то (и как) исправить по результатам анализа?

 

3. Да вот еще что по прежнему мешает:

- Обычным способом отключить восстан системы не удается, вылетает окно командной строки (но восстан отключено,- смотрел в службах);

- Окно командной строки 15 раз (по числу запускаемых процессов) вылетает в конце загрузки ОС.

Все проги сейчас запускаются только из командной строки. М. б. можно как нибудь запуск вернуть в Пуск - выполнить?

 

4. Ответа по посланному 31.10.09 quarantine.zip на newvirus@kaspersky.com. пока нет. Получу, сразу предоставлю.

 

5. Вчера не получилось сделать quarantine.zip, так м.б. сегодня надо это сделать?

avz_log_1.txt

avz_log_2.txt

virusinfo_syscure_1.zip

virusinfo_syscheck_2.zip

hijackthis_2.log

Изменено 2 ноября, 2009 пользователем НИКОМС

[snifer67]

Выполните http://virusinfo.info/showthread.php?t=15927 .Потом сделаете новые логи.

[thyrex]

Выполните скрипт в AVZ

begin
DeleteService('abp470n5');
DeleteFile('C:\WINDOWS\system32\drivers\nomjrn.sys');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Обновить базы AVZ

Сделать новый лог virusinfo_syscheck.zip

[НИКОМС]

Выполните http://virusinfo.info/showthread.php?t=15927 .Потом сделаете новые логи.

1. Я 30 октября уже выполнял рекомендуемое ими,- Cureit с винта не запускался, а комп не загружался в безопасном режиме и ругался, так я по 3 раза в режиме лечения "прогнал" AVZ и "свежескачанным" с сайта DrWeb Live CD,- НЕТ вирусов !

(Загрузиться в безопасном режиме (по F8) не удается. Комп выдает синий экран с инфо на английском и советы по антивирусной обработке диска и проверке его CHKDSK /F, а так же, как и ранее, пишет: STOP: 0x0000007B (0xF789E524, 0xC0000034, 0x00000000, 0x00000000).)

2. В Интернет я выхожу с "чистого" компа, а затем переношу все на флешке на больной. AVZ-базу обновил путем переноса обновленной сегодня базы с чистого компа.

 

Для Thirex:

3. nomjrn.sys визуально в папке Драйверы не обнаруживается, хотя вкл отображение системных и скрытых файлов.

Gmer его тоже "не видит"!. А поискать через Пуск - Найти комп не дает.

4. Скрипт выполнил. После перезагрузки выполнил только этап 2 (получил лог virusinfo_syscheck), НЕ выполняя ни лечения ни этап 1 (получение лога virusinfo_syscure)/

Прилагаю запрошенный Вами лог (virusinfo_syscheck_01).

 

М.б. запустить AVZ с обновленной базой на лечение? Если да, то все ли диски надо прогонять им или можно только С, где стоит Windows XP SP2? (Уж сильно комп тормозит)

 

Не дождавшись ответ и\или совета включил больной комп и по Правилам сделал новые логи, которые и прилагаю в дополнение к запрошенному Thirex.

virusinfo_syscheck_01.zip

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Изменено 3 ноября, 2009 пользователем thyrex
Удален пустой карантин