НИКОМС 0 Опубликовано 30 октября, 2009 Share Опубликовано 30 октября, 2009 (изменено) Удалил DrWeb и установил KAV2010. Сразу отрубило мышку. Удалил КАВ2010, заработала,- но перестали запускаться regedit, exe-файлы (отовсюду). Теперь комп грузится 5-6 минут. Прогнал AVZ i DrWeb Live CD,- НЕТ вирусов и т.п.! С панели задач и рабочего стола запускается только ИЕ (Мозилла не запускается). Иконки в норме. ЕХЕ и regedit запускаются из командной строки . Реестр можно редактировать (пробовал)! Пожалуйста ПОМОГИТЕ! Техподержка DrWeb не отвечает по2-3 суток. В компах я "чайник". Если попал "не в тему", подскажите как и куда обращаться. (Не смог попасть в техподдержку КАВа вот и забрел сюда) Логи, все, что имею, приложил. avz_log_1.txt avz_log_2.txt GMER_Otchet_2.log hijackthis2.log Rootkit_Unhooker_Report.txt virusinfo_syscheck.zip virusinfo_syscure.zip Изменено 30 октября, 2009 пользователем НИКОМС Цитата Ссылка на сообщение Поделиться на другие сайты
kilo 92 Опубликовано 31 октября, 2009 Share Опубликовано 31 октября, 2009 (изменено) Вот Техподержка https://support.kaspersky.com/ru/PersonalCabinet продуктов Лаборатории Касперского С логами вам суда http://forum.kasperskyclub.ru/index.php?showforum=26 Изменено 31 октября, 2009 пользователем kilo Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 31 октября, 2009 Share Опубликовано 31 октября, 2009 (изменено) Восстановление системы отключить. Пофиксить в HijackThis F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe O4 - Startup: ЎЎЎЎЎЎ.lnk = C:\WINDOWS\system32\3B7BAD\253B2B.EXE ПК перезагрузите. Выполните скрипт в avz begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('G:\autorun.inf',''); QuarantineFile('C:\WINDOWS\system\msvidc.drv',''); QuarantineFile('C:\WINDOWS\system\msacm.drv',''); QuarantineFile('C:\WINDOWS\system\iccvid.drv',''); QuarantineFile('C:\WINDOWS\system\MSRLE.drv',''); QuarantineFile('C:\WINDOWS\system32\3B7BAD\253B2B.EXE',''); QuarantineFile('C:\RECYCLER\S-1-5-21-3226162869-1056729938-825255483-5334\hd1.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-3226162869-1056729938-825255483-5334\hd1.exe'); DeleteFile('C:\WINDOWS\system32\3B7BAD\253B2B.EXE'); DeleteFile('G:\autorun.inf'); DeleteFile('C:\WINDOWS\system\MSRLE.drv'); DeleteFile('C:\WINDOWS\system\iccvid.drv'); DeleteFile('C:\WINDOWS\system\msacm.drv'); DeleteFile('C:\WINDOWS\system\msvidc.drv'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','253B2B'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers','VIDC.MRLE'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers','VIDC.CVID'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers','WaveMapper'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers','VIDC.MSVC'); RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(11); BC_Activate; RebootWindows(true); end. ПК перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. Сделайте новые логи. Изменено 31 октября, 2009 пользователем snifer67 Цитата Ссылка на сообщение Поделиться на другие сайты
НИКОМС 0 Опубликовано 31 октября, 2009 Автор Share Опубликовано 31 октября, 2009 Спасибо Друзья! За готовность помочь таким как я! Как выполнить скрипты не знаю, а посему "иду" искать (где-то выдел про это). Как пофиксить вроде-бы знаю ( из проги HijackThis). Цитата Ссылка на сообщение Поделиться на другие сайты
C. Tantin 340 Опубликовано 31 октября, 2009 Share Опубликовано 31 октября, 2009 Почитать можно в этом разделе в закреплённых темах. Цитата Ссылка на сообщение Поделиться на другие сайты
НИКОМС 0 Опубликовано 31 октября, 2009 Автор Share Опубликовано 31 октября, 2009 (изменено) Для Snifer67. Сделал все что Вы написали,- пофиксил, скрипты выполнил, файл отослал. С компом не лучше, все по прежнему. После запуска на экране, как и раньше, появляется каскад из 17 окон строки запуска. Это я наворочал,- сделал возможным появление окна строки запуск, т. к. "по штатному" не запускались редактор реестра и ЕХЕ-файлы (посоветовали из службы DrWeb). Так м.б. можно теперь попытаться привести к норме запуск ЕХЕ- файлов и редактора (из строки выполнить и рабочего стола)? Неужели вирусы? А м.б. все-же нет? Комп в Интернете не работал вообще. Да и он сразу-же заглючил после установки Касперского 2010 вместо УДАЛЕННГО мною (м.б. некорректно?) DrWeb! А после удаления Каспера вообще "съехал с катушек". Изменено 31 октября, 2009 пользователем НИКОМС Цитата Ссылка на сообщение Поделиться на другие сайты
C. Tantin 340 Опубликовано 1 ноября, 2009 Share Опубликовано 1 ноября, 2009 НИКОМС, скорее всего вирусы. Сделайте новые логи. Тему я перенёс в нужный раздел. Цитата Ссылка на сообщение Поделиться на другие сайты
НИКОМС 0 Опубликовано 1 ноября, 2009 Автор Share Опубликовано 1 ноября, 2009 (изменено) НИКОМС, скорее всего вирусы. Сделайте новые логи. Тему я перенёс в нужный раздел. Сюда я попадаю по закладке в браузере. А как мне теперь заходить в этот новый раздел? Или я буду советы и рекомендации участников нового раздела видеть здесь? Новые логи (после выполнения рекомендованного скрипта) выкладываю (в этой теме). Файлы с 1 в имени сделаны до перезагрузки компа, а с 2 - после перезагрузки. (Есть еще файл virusinfo_cure.rar, посылаю на всякий случай) С помощью проги GetSystemInfo получил инфо о системе "больного" компа и отправил на getsysteminfo.com с указанием , что комп заражен вирусами. Вот ссылка на протокол анализа системы www.getsysteminfo.com/read.php?file=3e442792fdfc9c674c6207a1f352ff35 Пожалуйста, посмотрите и посоветуйте что и как исправить. А то я "побегав" по закладкам уяснил лишь только то, о чем прямо и понятно сообщено. По сообщению о несовместимости файла Файерволла могу сказать, что Файерволл не устанавливался и не стоит т.к. к Интернету НЕТ доступа! (А я выхожу в интернет с другого (чужого) компа). virusinfo_syscure_1.zip hijackthis_1.log avz_log_1_дискаС.txt avz_log_2_дискаС.txt hijackthis_2.log virusinfo_syscheck_2.zip Изменено 1 ноября, 2009 пользователем НИКОМС Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 1 ноября, 2009 Share Опубликовано 1 ноября, 2009 (изменено) Восстановление системы отключить. Выполните скрипт в avz begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); QuarantineFile('C:\WINDOWS\system32\csrcs.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\nomjrn.sys',''); DeleteFile('C:\WINDOWS\system32\csrcs.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','csrcs'); RegKeyParamDel('HKEY_LOCAL_MACHINE',' Software\Microsoft\Windows NT\CurrentVersion\Winlogon',' Taskman'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe Сделайте новые логи. Изменено 1 ноября, 2009 пользователем snifer67 Цитата Ссылка на сообщение Поделиться на другие сайты
НИКОМС 0 Опубликовано 1 ноября, 2009 Автор Share Опубликовано 1 ноября, 2009 (изменено) Скрипты выполнил. 2-й скрипт сообщил, что создал архив с файлами из карантина. НО quarantine.zip в папке AVZ размером всего в 1 КБ и в нем пусто! Перегрузил и снова выполнил,- результат тот-же. А зачем отправлять на newvirus@kaspersky.com пустышку? Не отправил. ComboFix отработал и создал ТХТ-файл в корне диска С, а не в папке одноименной. Оный и прилагаю. При перезагрузке компа после КомбоФикса, в момент появления окна выбора пользователя комп выдал сообщение с круглым красным значком с Х и 2 предложениями на английском. Что-то по поводу SQL Serverа- ну вроде что не может найти по умолчанию пример... . просит установить ... . Ну да не въезжаю я в тот язык. Далее комп тормозил как всегда. А вот выполнил процессов загрузки на 3 шт. меньше. (Комбо видать что-то почикал). М.б. повторить эти скрипты по новой, после Комбо? Не навредят? ComboFix.txt Изменено 1 ноября, 2009 пользователем НИКОМС Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 2 ноября, 2009 Share Опубликовано 2 ноября, 2009 Делайте логи avz. Цитата Ссылка на сообщение Поделиться на другие сайты
НИКОМС 0 Опубликовано 2 ноября, 2009 Автор Share Опубликовано 2 ноября, 2009 (изменено) 1. Новые логи AVZ (и др) прилагаю. Файлы с 1 в имени сделаны до перезагрузки компа, а с 2 - после перезагрузки. 2. С помощью проги GetSystemInfo получил инфо о системе "больного" компа и отправил на getsysteminfo.com с указанием , что комп заражен вирусами. Вот ссылка на протокол анализа системы www.getsysteminfo.com/read.php?file=3e442792fdfc9c674c6207a1f352ff35 Пожалуйста, посмотрите и посоветуйте, м.б. мне нужно что-то (и как) исправить по результатам анализа? 3. Да вот еще что по прежнему мешает: - Обычным способом отключить восстан системы не удается, вылетает окно командной строки (но восстан отключено,- смотрел в службах); - Окно командной строки 15 раз (по числу запускаемых процессов) вылетает в конце загрузки ОС. Все проги сейчас запускаются только из командной строки. М. б. можно как нибудь запуск вернуть в Пуск - выполнить? 4. Ответа по посланному 31.10.09 quarantine.zip на newvirus@kaspersky.com. пока нет. Получу, сразу предоставлю. 5. Вчера не получилось сделать quarantine.zip, так м.б. сегодня надо это сделать? avz_log_1.txt avz_log_2.txt virusinfo_syscure_1.zip virusinfo_syscheck_2.zip hijackthis_2.log Изменено 2 ноября, 2009 пользователем НИКОМС Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 2 ноября, 2009 Share Опубликовано 2 ноября, 2009 Выполните http://virusinfo.info/showthread.php?t=15927 .Потом сделаете новые логи. Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 2 ноября, 2009 Share Опубликовано 2 ноября, 2009 Выполните скрипт в AVZ begin DeleteService('abp470n5'); DeleteFile('C:\WINDOWS\system32\drivers\nomjrn.sys'); ExecuteSysClean; RebootWindows(true); end. Компьютер перезагрузится. Обновить базы AVZ Сделать новый лог virusinfo_syscheck.zip Цитата Ссылка на сообщение Поделиться на другие сайты
НИКОМС 0 Опубликовано 2 ноября, 2009 Автор Share Опубликовано 2 ноября, 2009 (изменено) Выполните http://virusinfo.info/showthread.php?t=15927 .Потом сделаете новые логи. 1. Я 30 октября уже выполнял рекомендуемое ими,- Cureit с винта не запускался, а комп не загружался в безопасном режиме и ругался, так я по 3 раза в режиме лечения "прогнал" AVZ и "свежескачанным" с сайта DrWeb Live CD,- НЕТ вирусов ! (Загрузиться в безопасном режиме (по F8) не удается. Комп выдает синий экран с инфо на английском и советы по антивирусной обработке диска и проверке его CHKDSK /F, а так же, как и ранее, пишет: STOP: 0x0000007B (0xF789E524, 0xC0000034, 0x00000000, 0x00000000).) 2. В Интернет я выхожу с "чистого" компа, а затем переношу все на флешке на больной. AVZ-базу обновил путем переноса обновленной сегодня базы с чистого компа. Для Thirex: 3. nomjrn.sys визуально в папке Драйверы не обнаруживается, хотя вкл отображение системных и скрытых файлов. Gmer его тоже "не видит"!. А поискать через Пуск - Найти комп не дает. 4. Скрипт выполнил. После перезагрузки выполнил только этап 2 (получил лог virusinfo_syscheck), НЕ выполняя ни лечения ни этап 1 (получение лога virusinfo_syscure)/ Прилагаю запрошенный Вами лог (virusinfo_syscheck_01). М.б. запустить AVZ с обновленной базой на лечение? Если да, то все ли диски надо прогонять им или можно только С, где стоит Windows XP SP2? (Уж сильно комп тормозит) Не дождавшись ответ и\или совета включил больной комп и по Правилам сделал новые логи, которые и прилагаю в дополнение к запрошенному Thirex. virusinfo_syscheck_01.zip virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Изменено 3 ноября, 2009 пользователем thyrex Удален пустой карантин Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.