После удаления вирусов не запускается KIS 2010

[Stepoff]

Была проблема:

 

С:\Program Files\Kaspersky Lab\ Kaspersky Anti-Virus 2009\avp.exe

 

Невозможно открыть данную программу из-за политики ограничения применения программного обеспечения. За дополнительный информацией обратитесь к системному администратору или откройте "Просмотр событий".

 

Почистил с другого компьютера KISом 2010 нашёл вирусы, но проблема осталась! Что делать? редактирование реестра запрещено. ОС Win XP home. Установил на неё групповые политики, включил редактирование реестра, все равно в реестр не заходит, то же и с диспетчером задач.

[snifer67]

Выполните http://forum.kasperskyclub.ru/index.php?showtopic=1698

[Stepoff]

Все сделал как доктор прописал ))

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[thyrex]

Подревнее AVZ найти не смогли?

 

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\userini.exe','');
QuarantineFile('C:\WINDOWS\system32\bowawoussak.exe','');
QuarantineFile('F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\helper.exe','');
QuarantineFile('C:\WINDOWS\system32\rarecif.exe','');
DeleteService('Virtual Memory Protector');
DeleteService('uuunyunl6oyel');
SetServiceStart('uo27e91uui1eizm', 4);
DeleteService('uo27e91uui1eizm');
TerminateProcessByName('c:\windows\system32\jefoupac.exe');
QuarantineFile('c:\windows\system32\jefoupac.exe','');
QuarantineFile('C:\WINDOWS\Cursors\handnwse.ani:ikKKJtGQ8QRWGustqZbH','');
DeleteFile('C:\WINDOWS\Cursors\handnwse.ani:ikKKJtGQ8QRWGustqZbH');
DeleteFile('c:\windows\system32\jefoupac.exe');
DeleteFile('C:\WINDOWS\system32\rarecif.exe');
DeleteFile('F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\helper.exe');
DeleteFile('C:\WINDOWS\system32\bowawoussak.exe');
DeleteFile('C:\WINDOWS\system32\userini.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(12);
ExecuteRepair(17);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@tut.by с указанной ссылкой на тему

 

Скачайте AVZ 4.32, обновите его базы и сделайте новые логи

 

Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[alex_sphinx]

Всё сделал, письмо отправил

Сорь за avz, перепутал, старый на машину закинул...

RSITом сделал логи, прилагаю, так же новые логи от avz 4.32

 

проблема в принципе вроде исчезла, запускается каспер и диспечер задач, вроде как всё разблокировалось....

info.txt

log.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('c:\windows\system32\drivers\spool.exe','');
QuarantineFile('C:\WINDOWS\Cursors\handnwse.ani:ikKKJtGQ8QRWGustqZbH','');
QuarantineFile('C:\WINDOWS\system32\gouvyjommu.exe',' ');  
DeleteFile('C:\WINDOWS\system32\gouvyjommu.exe');   
DeleteFile('C:\WINDOWS\Cursors\handnwse.ani:ikKKJtGQ8QRWGustqZbH');
DeleteFile('c:\windows\system32\drivers\spool.exe');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
ExecuteRepair(19);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Пофиксить в HijackThis следующие строчки

 O20 - AppInit_DLLs: C:\WINDOWS\Cursors\handnwse.ani:ikKKJtGQ8QRWGustqZbH

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

Acrobat 7.0 обновите до последней актуальной версии или деинсталируйте.

 

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

 

Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.

Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)

временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

:Processes
explorer.exe

:Services

:Files

:Reg
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\autoload]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\judoo]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSConfig]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ntuser]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\riwitou]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\userini]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLS"=-
:Commands
[purity]
[emptytemp]
[Reboot]

В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

 

Компьютер перезагрузится.

 

После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), прикрепите его к следующему посту.

Изменено 3 июня, 2010 пользователем akoK
fix

[alex_sphinx]

все сделал

прикрепляю логи от OTM by OldTimer

и от Malwarebytes' Anti-Malware

06032010_145642.log

mbam_log_2010_06_03__13_32_50_.txt

[snifer67]

Сделайте логи avz.

[alex_sphinx]

вот логи avz

virusinfo_syscheck.zip

virusinfo_syscure.zip

[snifer67]

Чисто. Что с проблемой?

 

Установите SP3(может потребоваться активация)+все последующие обновления

[alex_sphinx]

да проблема исчезла, спс))))