INjekTOR 0 Опубликовано 4 июля, 2011 Share Опубликовано 4 июля, 2011 (изменено) Зашел ко мне ноут...стоял антивирус kav6.0.4.1424_winwksru.....с устарелыми базами соответственно. пытался обновить базы и пролечить из под винды, не обновлялся. Загрузился из под win xpe пролечил CureIt-ом, нашел больше 3-х тысяч вирусов...почистил вр. папки и файлы, перезагружаюсь не стартует касперский....пробовал восстанавливать не получилось, ни каких действий не происходило. Решил удалить и заново поставить. Удалил прогнал, remover-ом перезагрузил и все не устанавливается касперский...подцеплял к другому компу хард лечил KIS2011-не нашел ничего...ствил Avira на ноут, ничего не обнаружено.... еще вспомнил когда пытался лечить из под винды CureIt-ом он находил вирус в процессах и винда сразу в перезагрузку падала... еще менял ветки реестра(из repair) на более ранее состояние системы, не помогло.... варианты закончились...пришел к Вам...винда XP HESP2.....два лога потому что нет смысла делать третий, все равно ничего не запущено... virusinfo_syscheck.zip hijackthis.log Изменено 4 июля, 2011 пользователем INjekTOR Ссылка на сообщение Поделиться на другие сайты
Roman_Five 489 Опубликовано 4 июля, 2011 Share Опубликовано 4 июля, 2011 два лога потому что нет смысла делать третий, все равно ничего не запущено... смысл есть. сделайте 3-ий. без него нет смысла начинать помогать. винда XP HESP2 Вы что-то меняли в реестре? по логам у вас Windows Sp3 Ссылка на сообщение Поделиться на другие сайты
INjekTOR 0 Опубликовано 4 июля, 2011 Автор Share Опубликовано 4 июля, 2011 ошибся...да SP3....я не выключаю ни какие программы, по правилам написано первый раз выключить все что стартует с ОС...я выключил уже давно все что считал сомнительным autorans-ом... Ссылка на сообщение Поделиться на другие сайты
Roman_Five 489 Опубликовано 4 июля, 2011 Share Опубликовано 4 июля, 2011 INjekTOR, сделайте 3-ий. без него нет смысла начинать помогать. т.к. как Ваше нежелание делать этот лог наводит на определённые мысли о нелицензионном использовании ПО Лаборатории Касперского... Ссылка на сообщение Поделиться на другие сайты
INjekTOR 0 Опубликовано 4 июля, 2011 Автор Share Опубликовано 4 июля, 2011 Я просто не вижу смысла....вот он virusinfo_syscheck.zip Ссылка на сообщение Поделиться на другие сайты
Roman_Five 489 Опубликовано 4 июля, 2011 Share Опубликовано 4 июля, 2011 Я просто не вижу смысла я тоже не вижу смысла в том, чтобы выкладывать один и тот же лог дважды. требовался этот: virusinfo_syscure.zip 8. Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip. Ссылка на сообщение Поделиться на другие сайты
INjekTOR 0 Опубликовано 4 июля, 2011 Автор Share Опубликовано 4 июля, 2011 Извините....глаза уже не различают разные скрипты....скоро сделаются вот он virusinfo_syscure.zip Ссылка на сообщение Поделиться на другие сайты
Roman_Five 489 Опубликовано 4 июля, 2011 Share Опубликовано 4 июля, 2011 проверьте один из этих файлов на virustotal.com C:\SchoolDemo\extforms\AddInRegistry.dll C:\School\extforms\AddInRegistry.dll C:\Program Files\1Cv77\UPDATE\SchoolDemo\extforms\AddInRegistry.dll C:\Program Files\1Cv77\UPDATE\School\extforms\AddInRegistry.dll C:\Program Files\1Cv77\SchoolDemo\extforms\AddInRegistry.dll C:\Program Files\1Cv77\School\extforms\AddInRegistry.dll ссылку на результат проверки приложите. Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; SetServiceStart('am9ani0ieru0sx', 4); SetServiceStart('froxvdfstpysan', 4); SetServiceStart('jfeuuoqyueavctqk', 4); QuarantineFile('C:\WINDOWS\System32\drivers\avipbb.sys',''); QuarantineFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\fookojys.exe',''); QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\DAT56.tmp.exe',''); QuarantineFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\hegire.exe',''); QuarantineFile('C:\WINDOWS\system32\basekaque.exe',''); DeleteFile('C:\WINDOWS\system32\basekaque.exe'); DeleteFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\hegire.exe'); DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\DAT56.tmp.exe'); DeleteFile('C:\Documents and Settings\LocalService\Application Data\Microsoft\fookojys.exe'); DelBHO('AutorunsDisabled'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','fepoodyz'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','fepoodyz'); DeleteService('am9ani0ieru0sx'); DeleteService('froxvdfstpysan'); DeleteService('jfeuuoqyueavctqk'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: (no name) - AutorunsDisabled - (no file) O9 - Extra button: (no name) - AutorunsDisabled - (no file) O9 - Extra button: (no name) - AutorunsDisabled - (no file) (HKCU) O18 - Filter: AutorunsDisabled - (no CLSID) - (no file) Сделайте новые логи по правилам. Ссылка на сообщение Поделиться на другие сайты
INjekTOR 0 Опубликовано 4 июля, 2011 Автор Share Опубликовано 4 июля, 2011 отвечу уже только завтра Ссылка на сообщение Поделиться на другие сайты
Roman_Five 489 Опубликовано 4 июля, 2011 Share Опубликовано 4 июля, 2011 отвечу уже только завтра ок. у Вас следы от KIS|KAV и Avira... дополнительно выполните скрипт: begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; SetServiceStart('kl1', 4); QuarantineFile('C:\WINDOWS\System32\drivers\avipbb.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\kl1.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\kl1.sys'); DeleteFile('C:\WINDOWS\System32\drivers\avipbb.sys'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\System\avipbb, ','EventMessageFile'); DeleteService('kl1'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. перезагрузка! после этого ставьте KIS Ссылка на сообщение Поделиться на другие сайты
INjekTOR 0 Опубликовано 5 июля, 2011 Автор Share Опубликовано 5 июля, 2011 http://www.virustotal.com/file-scan/report...85ab-1309840748 Ссылка на сообщение Поделиться на другие сайты
Roman_Five 489 Опубликовано 5 июля, 2011 Share Опубликовано 5 июля, 2011 а это? Сделайте новые логи по правилам. после этого ставьте KIS Ссылка на сообщение Поделиться на другие сайты
INjekTOR 0 Опубликовано 5 июля, 2011 Автор Share Опубликовано 5 июля, 2011 в процессе.. сделал hijackthis.log virusinfo_syscure.zip virusinfo_syscheck.zip Ссылка на сообщение Поделиться на другие сайты
Roman_Five 489 Опубликовано 5 июля, 2011 Share Опубликовано 5 июля, 2011 Вы в Hijackthis ничего лишнего не фиксили? лог странный получился... переделайте, пожалуйста. KIS установился? После проведённого лечения рекомендуется: - обновить Internet Explorer до версии 8.0 (даже если им не пользуетесь!) - установить все обновления на Windows (может потребоваться активация Windows) - проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее) Ссылка на сообщение Поделиться на другие сайты
INjekTOR 0 Опубликовано 5 июля, 2011 Автор Share Опубликовано 5 июля, 2011 (изменено) Вы в Hijackthis ничего лишнего не фиксили? лог странный получился...переделайте, пожалуйста. KIS установился? После проведённого лечения рекомендуется: - обновить Internet Explorer до версии 8.0 (даже если им не пользуетесь!) - установить все обновления на Windows (может потребоваться активация Windows) - проверить на наличие уязвимостей в ОС и используемом ПО / установить актуальные версии используемого ПО (подробнее) Переделал не установился сделаю hijackthis.log Изменено 5 июля, 2011 пользователем INjekTOR Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти