Aleksey 0 Опубликовано 9 декабря, 2009 Share Опубликовано 9 декабря, 2009 Сообщение от модератора thyrex Сообщение выделено из темы http://forum.kasperskyclub.ru/index.php?showtopic=12615 Здраствуйте, у меня тоже возникла проблема с установкой КАВ8, выкидывает синий экран с непонятным текстом а в конце упоминается Klif.sys Чё делать? Подскажите... Комп уже заражён. Сканировал Kaspersky Lab Tool он видит почти вкаждом exe Type_Win32, он не лечится что-ли? Прилогаю логи... virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log GetSystemInfo_D7E94CBA1C9E45C_Администратор_2009_12_07_21_50_57.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 9 декабря, 2009 Share Опубликовано 9 декабря, 2009 1. Следы DrWeb и Symantec. 2. Массовое заражение Пофиксите в HiJack F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\TEMP\init.exe O4 - HKLM\..\Run: [17503] C:\WINDOWS\system32\16.tmp.exe O4 - HKLM\..\Run: [av_md] C:\WINDOWS\system32\av_md.exe O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe O4 - HKLM\..\Run: [userini] C:\WINDOWS\system32\userini.exe O4 - HKCU\..\Run: [shccde] C:\WINDOWS\system32\winssled.exe O4 - HKCU\..\Run: [qaswww] C:\WINDOWS\system32\jdsuml.exe O4 - HKCU\..\Run: [av_md] C:\Documents and Settings\Администратор\av_md.exe O4 - HKCU\..\Run: [userini] C:\WINDOWS\system32\userini.exe O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe O4 - HKUS\S-1-5-18\..\Run: [av_md] C:\Documents and Settings\Администратор\av_md.exe (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [av_md] C:\Documents and Settings\Администратор\av_md.exe (User 'Default user') O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe (User 'Default user') O4 - Global Startup: AutorunsDisabled O20 - Winlogon Notify: iifgDtrS - iifgDtrS.dll (file missing) O20 - Winlogon Notify: winrzf32 - winrzf32.dll (file missing) Выполните скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); QuarantineFile('C:\WINDOWS\TEMP\init.exe',''); DeleteFile('C:\WINDOWS\TEMP\init.exe'); QuarantineFile('iifgDtrS.dll',''); DeleteFile('iifgDtrS.dll'); QuarantineFile('C:\WINDOWS\system32\jdsuml.exe',''); DeleteFile('C:\WINDOWS\system32\jdsuml.exe'); QuarantineFile('C:\WINDOWS\system32\userini.exe',''); DeleteFile('C:\WINDOWS\system32\userini.exe'); QuarantineFile('C:\WINDOWS\system32\16.tmp.exe',''); DeleteFile('C:\WINDOWS\system32\16.tmp.exe'); QuarantineFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA',''); QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA',''); QuarantineFile('J:\SPOOLSV.EXE',''); QuarantineFile('J:\autorun.inf',''); QuarantineFile('winrzf32.dll',''); QuarantineFile('C:\WINDOWS\system32\winssled.exe',''); QuarantineFile('C:\WINDOWS\system32\regedit.exe',''); QuarantineFile('C:\WINDOWS\system32\ljJCspon',''); QuarantineFile('C:\WINDOWS\system32\D.tmp',''); QuarantineFile('C:\WINDOWS\explorer.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-7093774980-6964204422-592423621-4649\yv8g67.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\av_md.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\ekjjkm.sys',''); DeleteService('abp470n5'); QuarantineFile('C:\WINDOWS\system32\advapi32d.exe',''); DeleteService('NtmsSvcmnmsrvc'); DeleteFile('C:\WINDOWS\system32\advapi32d.exe'); DeleteFile('C:\WINDOWS\system32\drivers\ekjjkm.sys'); DeleteFile('C:\Documents and Settings\Администратор\av_md.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','av_md'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','av_md'); DeleteFile('C:\RECYCLER\S-1-5-21-7093774980-6964204422-592423621-4649\yv8g67.exe'); DeleteFile('C:\WINDOWS\system32\D.tmp'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','26263'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','av_md'); DeleteFile('C:\WINDOWS\system32\regedit.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Regedit32'); DeleteFile('winrzf32.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winrzf32','DLLName'); DeleteFile('J:\autorun.inf'); DeleteFile('J:\SPOOLSV.EXE'); DeleteFile('C:\WINDOWS\explorer.exe:userini.exe:$DATA'); DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(16); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); RebootWindows(true); end. Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. Сделайте новые логи Цитата Ссылка на сообщение Поделиться на другие сайты
Aleksey 0 Опубликовано 11 декабря, 2009 Автор Share Опубликовано 11 декабря, 2009 Спасибо, пофиксить пока не удалось. Вирь запохабил вход в Виндовс, даже в безопасном режиме немог войти. Сделал следующее: Достал старый винт, установил на него ОСь, скачал Tool removal 2010, Просканировал на три раза и вычистил все нужные винты. Итог: Вход работает, Касперский установился, но не работает нужным образом. Установил КИС. virusinfo_syscheck.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 11 декабря, 2009 Share Опубликовано 11 декабря, 2009 Выполните скрипт в avz begin DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true); SearchRootkit(true, true); SetAVZGuardStatus(True); StopService('unpr'); DeleteService('unpr'); QuarantineFile('C:\WINDOWS\system32\explorer.exe',''); QuarantineFile('C:\WINDOWS\system32\ljJCspon',''); QuarantineFile('C:\WINDOWS\system32\drivers\unpr.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\unpr.sys'); DeleteFile('C:\WINDOWS\system32\ljJCspon'); DeleteFile('C:\WINDOWS\system32\explorer.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. Пролечитесь http://virusinfo.info/showthread.php?t=15927 Сделайте новые логи. Цитата Ссылка на сообщение Поделиться на другие сайты
Aleksey 0 Опубликовано 11 декабря, 2009 Автор Share Опубликовано 11 декабря, 2009 Скрипт выполнен успешно. Но касперский неработает. Архив quarantine.zip пустой 22кб. hijackthis.log virusinfo_syscheck.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 11 декабря, 2009 Share Опубликовано 11 декабря, 2009 h:\server\soft\Утилиты антивирусные\avz4\avz.exe проверьте на virustotal Ссылку на результат проверки сообщите Цитата Ссылка на сообщение Поделиться на другие сайты
Aleksey 0 Опубликовано 11 декабря, 2009 Автор Share Опубликовано 11 декабря, 2009 http://www.virustotal.com/ru/analisis/e3d6...d2c8-1260555444 Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 11 декабря, 2009 Share Опубликовано 11 декабря, 2009 Сделайте отчет GSI (ссылка в подписи) Цитата Ссылка на сообщение Поделиться на другие сайты
Aleksey 0 Опубликовано 12 декабря, 2009 Автор Share Опубликовано 12 декабря, 2009 Сделайте отчет GSI (ссылка в подписи) Блин, неделает, процесс GSI стоит на месте, 27 мин ждал, выключил. До чистки вирусов утилка работала, только вот при анализе после загрузки архива на сайт вылетал синий экран, а теперь отказывается изночально. Скачал заново, всё так-же. Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 12 декабря, 2009 Share Опубликовано 12 декабря, 2009 Зачистите все следы продуктов Symantec и DrWeb http://forum.kaspersky.com/index.php?showt...t&p=1054993 Выполните скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('winrzf32.dll',''); DeleteFile('winrzf32.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winrzf32','DLLName'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. Полученный ответ сообщите здесь. Сделайте новые логи Цитата Ссылка на сообщение Поделиться на другие сайты
Aleksey 0 Опубликовано 12 декабря, 2009 Автор Share Опубликовано 12 декабря, 2009 Скрипт выполнил, карантин пустой, поиск не нашол файл winrzf32. Следы продуктов Symantec и DrWeb удалил. Мне кажется проблема с самим драйвером, в окне Приветствия при загрузке системы, вверху должна быть надпись Protected by Kaspersky... вроде. Думаю нужно деинсталировать КИС и так-же использовать утилиту Removal Tool для удаления всех следов от касперского, после воспользоватся восстановлением копии виндовс, запустив дистрибутив, может так исправится некоторая бажность Реестра после заражения и после лечения. Итогда попробывать заново установить КИС2009. Авось всё заработает. Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 12 декабря, 2009 Share Опубликовано 12 декабря, 2009 Удалите Kapersky Virus Removal Tool, удалите антивирус, зачистите следы антивируса с помощью KAV Remover10. Пробуйте установить антивирус заново Да и логи не забудьте предоставить новые Цитата Ссылка на сообщение Поделиться на другие сайты
Aleksey 0 Опубликовано 14 декабря, 2009 Автор Share Опубликовано 14 декабря, 2009 Заработало! Докладываю: обратил внемание на сообщение КИС всплывающие сразу после загрузки системы. где нажал на ссылку Запустить восстановление приложения, и получил вот это Ну я смекнул, что проблема скорее в системном инсталляторе. Скачал Windows Installer 4.5, установил его, после перезагрузки переустановил КИС. Теперь я подобрел... Но радость пока неполная. После чистки вирусов осталось много проблем с системой, это ошибка постоянно выскакивает оформление ХР исчезает то появляется, шрифты сливаются, со звуком непонятка, плееры плюются типа звуковых устройств нет, хотя звуки есть, значок интернет соединения в трее не отображается и т.д. Чё делать, незнаю? virusinfo_syscheck.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 14 декабря, 2009 Share Опубликовано 14 декабря, 2009 Установите SP3 (может потребоваться активация) + все новые заплатки. Как правило, помогает Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.