Atos 0 Опубликовано 18 мая, 2010 Share Опубликовано 18 мая, 2010 С давних пор на домашнем компе жила только какая-то левая глючная версия Dr.Web, которая, вроде, и не работала нормально. Пока не было подключения к интернету, всё было ok, после подключения тут же полезли трояны, пришлось ставить KAV 2010 и чистить. Часть изменений в системе легко удалось восстановить. Однако проблемы остались: 1. Откуда-то появилась запароленная учётная запись "Support" c иконкой в виде лягушки. Что это такое? Случайно, не Касперский так шутит? Или трояны постарались? 2. При попытке выбрать "Смена пользователя" система зависает 3. При попытке снять галочки с программ автозагрузки в msconfig выдаёт "Отказано в доступе при попытке изменения службы. Для выполнения данного действия необходимо войти в систему с учётной записью администратора", хотя и так под администратором. 4. Подскажите, как всё-таки полностью избавиться от останков Dr.Web и вычистить от него систему? uninstall и пункт в "Изменение и удалении программ" отсутствует, выгрузить его не получается, даже после удаления папки с программой из-под другой ОС он каким-то образом самовосстанавливается 5. Проблемы с интернетом (возможно, каким-то образом тоже связано с Dr.Web?) Часть сайтов всегда нормально грузится, другая часть - рандомно по велению фазы луны, ещё часть адресов в принципе недоступна, пинг не проходит, хотя под прокси-анонимайзером я могу на них зайти. (Вот и сейчас на форуме вынужден выбирать время писать с работы, дома не заходит). З.Ы. Кстати, почему-то отчёт утилиты GMER сделать не могу, она начинает работать и вылетает. Combofix начала работать, дважды требовала перезагрузки, в конце концов её отчёта я так и не нашёл virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
Welder1987 49 Опубликовано 18 мая, 2010 Share Опубликовано 18 мая, 2010 Atos удалите drweb с помощью утилиты. KAV 2010 переустановите Цитата Ссылка на сообщение Поделиться на другие сайты
lifestory 65 Опубликовано 18 мая, 2010 Share Опубликовано 18 мая, 2010 Обновите пожалуйста базы AVZ сделайте логи повторно. Цитата Ссылка на сообщение Поделиться на другие сайты
Atos 0 Опубликовано 22 мая, 2010 Автор Share Опубликовано 22 мая, 2010 Dr.Web, наконец, полностью удалил, Касперский переустановил. Однако проблема с недоступностью некоторых адресов (например, того же kaspersky.ru) осталась... Кстати, AVZ тоже не может базы обновить Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 22 мая, 2010 Share Опубликовано 22 мая, 2010 Скачайте полиморфный AVZ (ссылка в моей подписи) и сделайте логи с его помощью Цитата Ссылка на сообщение Поделиться на другие сайты
Atos 0 Опубликовано 24 мая, 2010 Автор Share Опубликовано 24 мая, 2010 virusinfo_syscure.zipvirusinfo_syscheck.ziphijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
snifer67 120 Опубликовано 24 мая, 2010 Share Опубликовано 24 мая, 2010 Выполните скрипт в avz begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\TEMP\~TM48A.tmp',''); QuarantineFile('C:\WINDOWS\system32\sdra64.exe',''); QuarantineFile('C:\Documents and Settings\All Users\Application Data\Macromedia\SwUpdate\swupdate.dll',''); DeleteService('Tcpsnacorattati'); DeleteFile('Tcpsnacorattati.sys'); DeleteFile('C:\Documents and Settings\All Users\Application Data\Macromedia\SwUpdate\swupdate.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','SwUpdate'); DeleteFile('C:\WINDOWS\system32\sdra64.exe'); DeleteFile('C:\WINDOWS\TEMP\~TM48A.tmp'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysgif32'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('fszefueqep'); BC_DeleteSvc('EuGdiDrv'); BC_DeleteSvc('tcrhzpufhafrv'); BC_Activate; ExecuteRepair(20); RebootWindows(true); end. ПК перезагрузится. Выполнить скрипт в AVZ. var qfolder: string; qname: string; begin qname := GetAVZDirectory + '..\Quarantine\quarantine.zip'; qfolder := ExtractFilePath(qname); if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder); CreateQurantineArchive(qname); ExecuteFile('explorer.exe', qfolder, 1, 0, false); end. Вы увидите папку с архивом. Это - карантин. Карантин отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html . В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь. Сделайте новые логи. Цитата Ссылка на сообщение Поделиться на другие сайты
Илья Константинович 50 Опубликовано 26 мая, 2010 Share Опубликовано 26 мая, 2010 Дополнение: Если вы не можете зайти на некоторые сайты, нужно хостс почистить. Все, не буду мешать! Строгое предупреждение от модератора thyrex Устное предупреждение за флуд Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.