После установки Винды

[dfg]

дубль, источник тут http://forum.kasperskyclub.ru/index.php?showtopic=20167

 

Добрый день уважаемые господа.

 

Столкнулся с необычной проблемой, переустанавливал Висту на ноутбуке, после чего устанавливал Касперского но тот постоянно находил троянскую программу а именно в папке Windows\Tem\ файлы типа re5ad8.tmp. причем во время сканирования диска "С" было обнаруженный 205 вирусов и около 50 троянских программ (замечу это сразу после установки виндовс Виста) вообщем после удаления и лечения комп отказывался грузиться.

 

Сегодня установил виндовс ХР сп3, вроде работает нормальна, ошибок не выскакивает.

 

Устанавливаю касперского, а он не хочет работать, после установки просто напросто не грузиться. Повторно выполняю установку с исправлением ошибок и тут становится ясно, что каспер просто не устанавливается, вовремя второй установки постоянно выскакивают окна с ошибками. И самое главное в Диспетчере задач опять присутствуют процессы с именем файла типа jhf7yrad.tmp

 

Кстати перенес старые файлы с диска D на С - это папку с Избранным. Мои документы. и еще кучу файлов связанные с работой.

 

Ну вообщем не знаю что делать, а касперский нужен. И вообще странно как то это все.

Изменено 15 июня, 2010 пользователем dfg

[AlexNEW]

http://forum.kasperskyclub.ru/index.php?showtopic=1698

[CAIIIKA]

Здравствуйте. Выполните ПРАВИЛА

[dfg]

Выполнил правила, ниже логи

 

 

также ссылка

http://www.getsysteminfo.com/read.php?file...e195962d461a773

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

GetSystemInfo_COMP_0BD71CFC5D_Admin_2010_06_15_15_25_05.txt

Изменено 15 июня, 2010 пользователем dfg

[snifer67]

Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\WINDOWS\ctfmon.exe','');
DeleteService('Ms-tl_Srv');
QuarantineFile('C:\WINDOWS\TEMP\120087250.dll','');
QuarantineFile('C:\WINDOWS\TEMP\110077218.dll','');
QuarantineFile('C:\WINDOWS\TEMP\10172500.dll','');
QuarantineFile('C:\WINDOWS\system\uCRgk.LOG','');
QuarantineFile('c:\windows\temp\218446e5.tmp','');
TerminateProcessByName('c:\windows\temp\218446e5.tmp');
DeleteFile('c:\windows\temp\218446e5.tmp');
DeleteFile('C:\WINDOWS\system\uCRgk.LOG');
DeleteFile('C:\WINDOWS\TEMP\10172500.dll');
DeleteFile('C:\WINDOWS\TEMP\110077218.dll');
DeleteFile('C:\WINDOWS\TEMP\120087250.dll');
DeleteFile('C:\WINDOWS\TEMP\160218671.dll');
DeleteFile('C:\WINDOWS\TEMP\170108437.dll');
DeleteFile('C:\WINDOWS\TEMP\190180500.dll');
DeleteFile('C:\WINDOWS\TEMP\200200546.dll');
DeleteFile('C:\WINDOWS\TEMP\218446e5.tmp');
DeleteFile('C:\WINDOWS\TEMP\230188531.dll');
DeleteFile('C:\WINDOWS\TEMP\250207593.dll');
DeleteFile('C:\WINDOWS\TEMP\260257843.dll');
DeleteFile('C:\WINDOWS\TEMP\280270859.dll');
DeleteFile('C:\WINDOWS\TEMP\40255750.dll');
DeleteFile('C:\WINDOWS\TEMP\50130359.dll');
DeleteFile('C:\WINDOWS\TEMP\60162500.dll');
DeleteFile('C:\WINDOWS\TEMP\70097343.dll');
DeleteFile('C:\WINDOWS\TEMP\80122328.dll');
DeleteFile('C:\WINDOWS\tinlater.exe');
DeleteFile('C:\WINDOWS\ctfmon.exe');
DeleteFile('D:\autorun.inf');
DeleteFileMask('C:\WINDOWS\TEMP', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится.

 

Выполнить скрипт в AVZ.

var
 qfolder: string;
 qname: string;
begin
 qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
 qfolder := ExtractFilePath(qname);
 if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
 CreateQurantineArchive(qname);
 ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.

Вы увидите папку с архивом. Это - карантин.

Карантин отправьте на newvirus@tut.by (размер карантина должен быть больше 5кб)

Сделайте новые логи.

[dfg]

Сделал, почту отправил, ниже новые логи

 

http://www.getsysteminfo.com/read.php?file...e60fe0cf410cc4d

 

в диспетчере задач процесс по прежнему присутствует

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

GetSystemInfo_COMP_0BD71CFC5D_Admin_2010_06_15_16_33_08.zip

Изменено 15 июня, 2010 пользователем dfg

[snifer67]

Скачайте ComboFix здесь, здесь, и сохраните на рабочий стол.

 

1.Внимание!Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

[dfg]

ОК

 

в корне диска С образовалось куча файлов .dll - это так и должно быть?

 

Собственно по теме, файл прикрепил.

ComboFix.zip

[snifer67]

Проверьте на http://www.virustotal.com/ru/

c:\windows\system32\ddraw.dll
c:\windows\system32\dsound.dll

 

Выполните скрипт в avz

begin
ExecuteRepair(9);
ExecuteRepair(8);
ExecuteRepair(6);
RebootWindows(true);
end.

ПК перезагрузится.

[dfg]

отчеты тут

 

http://www.virustotal.com/ru/analisis/76b4...4426-1276610377

http://www.virustotal.com/ru/analisis/230b...99e9-1276610210

 

скрипт AVZ выполнил.

процесс по прежнему запущен

[snifer67]

Выполните скрипт в avz

begin
QuarantineFile('c:\windows\system32\dsound.dll','');
QuarantineFile('c:\windows\system32\ddraw.dll','');
end.

 

Выполнить скрипт в AVZ.

var
 qfolder: string;
 qname: string;
begin
 qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
 qfolder := ExtractFilePath(qname);
 if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
 CreateQurantineArchive(qname);
 ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.

Вы увидите папку с архивом. Это - карантин.

Карантин отправьте на newvirus@tut.by (размер карантина должен быть больше 5кб)

Сделайте логи авз+ лог комбофикс.

[dfg]

все сделал, почту отправил, логи ниже

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

ComboFix.txt

Изменено 15 июня, 2010 пользователем dfg

[snifer67]

Пуск - Выполнить:

Введите комадну: sfc /scannow

Windows будет проверять целостность защищённых файлов на вашем компе. Для восстановления может потребоваться установочный диск ОС.

 

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

временно выключите антивирус, firewall и другое защитное программное обеспечение

File::
c:\temp\nro.log
c:\temp\nero.tmp

 

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

 

Выполните скрипт в avz

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system\hfClv.LOG');
DeleteFile('C:\WINDOWS\TEMP\10172515.dll');
DeleteFile('C:\WINDOWS\TEMP\110077453.dll');
DeleteFile('C:\WINDOWS\TEMP\120087468.dll');
DeleteFile('C:\WINDOWS\TEMP\130245921.dll');
DeleteFile('C:\WINDOWS\TEMP\160218703.dll');
DeleteFile('C:\WINDOWS\TEMP\170108671.dll');
DeleteFile('C:\WINDOWS\TEMP\190180515.dll');
DeleteFile('C:\WINDOWS\TEMP\200200578.dll');
DeleteFile('C:\WINDOWS\TEMP\220235734.dll');
DeleteFile('C:\WINDOWS\TEMP\230188609.dll');
DeleteFile('C:\WINDOWS\TEMP\80122484.dll');
DeleteFile('C:\WINDOWS\TEMP\70097468.dll');
DeleteFile('C:\WINDOWS\TEMP\60162515.dll');
DeleteFile('C:\WINDOWS\TEMP\50130484.dll');
DeleteFile('C:\WINDOWS\TEMP\40255921.dll');
DeleteFile('C:\WINDOWS\TEMP\280271015.dll');
DeleteFile('C:\WINDOWS\TEMP\260258046.dll');
DeleteFile('C:\WINDOWS\TEMP\250207687.dll');
DeleteFile('c:\windows\temp\120087468.dll');
DeleteFile('c:\windows\temp\80122484.dll');
DeleteFile('c:\windows\temp\50130484.dll');
DeleteFile('c:\windows\temp\10172515.dll');
DeleteFile('c:\windows\temp\260258046.dll');
DeleteFile('C:\WINDOWS\temp\10172515.dll');
DeleteFile('C:\WINDOWS\temp\10220578.dll');
DeleteFile('C:\WINDOWS\temp\120087468.dll');
DeleteFile('C:\WINDOWS\temp\260258046.dll');
DeleteFile('C:\WINDOWS\temp\260306625.dll');
DeleteFile('C:\WINDOWS\temp\50130484.dll');
DeleteFile('C:\WINDOWS\temp\80122484.dll');
DeleteFile('C:\WINDOWS\TEMP\100138515.dll');
DeleteFile('C:\WINDOWS\ctfmon.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.

ПК перезагрузится.

 

Сделайте логи авз+ лог комбофикс.

[dfg]

Все выполнил по инструкции, лишних процессов вроде не наблюдается.

ниже логи.

 

 

Касперский инсталлировался без проблем. Спасибо агрономе snifer67, думаю проблема исчерпана.

ComboFix.zip

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[thyrex]

Порядок

 

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

 

Скачайте OTCleanIt, запустите, нажмите Clean up

 

Установите Internet Explorer 8 (даже если им не пользуетесь)