ksv87 0 Опубликовано 28 июля, 2012 Share Опубликовано 28 июля, 2012 (изменено) Доброго времени суток! Заранее прошу извинения за возможно неправельно созданную тему или донесения информации, так как не очень компетентен в пониманиях вирусов. После включения компьютера появилась ошибка и выскакивает каждые пол минуты: Ошибка при запуске C:\Windows\system32\crexv.ocx. Подумал что вирус и запустил утилиту антивируса Др. веб, она удалила несколько файлов в том числе и crexv.ocx. Ошибка больше не выскакивает, но панель задач работает с ошибками и не открыветься меню ПУСК. Подскажите пожалуйста как действовать в данной ситуации? Можно ли восстановить файлы или переустанавливать виндовс. Проверил компьютер с помощьою avz4 (согластно поста http://forum.kaspersky.com/index.php?showtopic=218224). Файл отчета в теме. Заранее благодарен! KL_syscure.zip KL_syscure.htm KL_syscure.xml Изменено 28 июля, 2012 пользователем ksv87 Цитата Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 707 Опубликовано 28 июля, 2012 Share Опубликовано 28 июля, 2012 Выполните правила раздела нашего форума http://forum.kasperskyclub.ru/index.php?showtopic=31551 Цитата Ссылка на сообщение Поделиться на другие сайты
ksv87 0 Опубликовано 28 июля, 2012 Автор Share Опубликовано 28 июля, 2012 Сделал как Вы просили. Новые файлы. virusinfo_syscure.zip virusinfo_syscheck.zip log.txt info.txt Цитата Ссылка на сообщение Поделиться на другие сайты
icotonev 57 Опубликовано 28 июля, 2012 Share Опубликовано 28 июля, 2012 Здравствуйте..! • Отключите временно: Антивирус/Файерволл • Скрипт AVZ. Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится. begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\windows\system32\hasplms.exe',''); QuarantineFile('c:\temp\alsysio64.sys',''); QuarantineFile('C:\ProgramData\Local Settings\Temp\msakia.exe',''); DeleteFile('c:\temp\alsysio64.sys'); DeleteFile('C:\ProgramData\Local Settings\Temp\msakia.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','9840'); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','Software\Microsoft\WindowsNT\CurrentVersion\Winlogon','Userinit','C:\WINDOWS\system32\userinit.exe,'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); DeleteService('ALSysIO'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(1); ExecuteRepair(13); RebootWindows(true); end. После всех процедур выполните скрипт begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите Пароль: virus . 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь. • HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis F2 - REG:system.ini: UserInit=userinit.exe Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Пожалуйста, подготовить новые логи с АВЗ и RSIT...! Цитата Ссылка на сообщение Поделиться на другие сайты
ksv87 0 Опубликовано 28 июля, 2012 Автор Share Опубликовано 28 июля, 2012 Файл quarantine.zip отправил, на почту пришло письмо: This file is corrupted. Не понимаю в чем проблема, нужно еще раз выполнить действие? Проверил с помощью Malwarebytes Anti-Malware. Результат в текст. файле. Пока ниче не удалял, жду Ваших рекомендаций. Действия в АVZ и RSIT нужно выполнить еще раз или я неправильно понял? mbam_log_2012_07_28__11_57_05_.txt Цитата Ссылка на сообщение Поделиться на другие сайты
icotonev 57 Опубликовано 28 июля, 2012 Share Опубликовано 28 июля, 2012 Действия в АVZ и RSIT нужно выполнить еще раз или я неправильно понял? Да, ..! Проверил с помощью Malwarebytes Anti-Malware. Результат в текст. файле. Пока ниче не удалял, жду Ваших рекомендаций. Повторите сканирование в MBAM и удалите только следующие строки: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|9840 (Trojan.Agent) -> Параметры: C:\ProgramData\Local Settings\Temp\msakia.exe -> Действие не было предпринято. Цитата Ссылка на сообщение Поделиться на другие сайты
ksv87 0 Опубликовано 28 июля, 2012 Автор Share Опубликовано 28 июля, 2012 файлы AVZ; RSIT info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
icotonev 57 Опубликовано 28 июля, 2012 Share Опубликовано 28 июля, 2012 Повторите сканирование в MBAM и удалите только следующие строки: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|9840 (Trojan.Agent) -> Параметры: C:\ProgramData\Local Settings\Temp\msakia.exe -> Действие не было предпринято. Эта процедура выполнена ? Цитата Ссылка на сообщение Поделиться на другие сайты
ksv87 0 Опубликовано 28 июля, 2012 Автор Share Опубликовано 28 июля, 2012 Да. удалил Цитата Ссылка на сообщение Поделиться на другие сайты
icotonev 57 Опубликовано 28 июля, 2012 Share Опубликовано 28 июля, 2012 • Отключите временно: Антивирус/Файерволл • Скрипт AVZ. Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится. begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\windows\system32\hasplms.exe',''); QuarantineFile('C:\ProgramData\Local Settings\Temp\msakia.exe',''); QuarantineFile('C:\Temp\387BC87C-B0266512-FBDAC536-C2CBF180\ifhc9r0f.exe',''); QuarantineFile('C:\Temp\387BC87C-B0266512-FBDAC536-C2CBF180\tkpy8tr1.exe',''); DeleteFile('C:\ProgramData\Local Settings\Temp\msakia.exe'); DeleteFile('C:\Temp\387BC87C-B0266512-FBDAC536-C2CBF180\ifhc9r0f.exe'); DeleteFile('C:\Temp\387BC87C-B0266512-FBDAC536-C2CBF180\tkpy8tr1.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','9840'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Doctor Web\Dr.Web Engine','EventMessageFile'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Doctor Web\DrWebARKDaemon','EventMessageFile'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После всех процедур выполните скрипт begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите Пароль: virus . 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь. Опять подготовить новые логи с АВЗ и RSIT...! Цитата Ссылка на сообщение Поделиться на другие сайты
ksv87 0 Опубликовано 28 июля, 2012 Автор Share Опубликовано 28 июля, 2012 Файл quarantine.zip отправил. Вот что пришло на почту: Hello, This message is generated by automatic letter reception system. The report contains information on what the verdicts on the files (if any in the letter) makes antivirus with latest updates. Letter will be passed to the virus analyst. quarantine.zip This file is corrupted. Best Regards, Kaspersky Lab info.txt log.txt virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на сообщение Поделиться на другие сайты
icotonev 57 Опубликовано 28 июля, 2012 Share Опубликовано 28 июля, 2012 Да. удалил Где дневник..? Скачайте DDS и сохраните на рабочий стол, отключите антивирус и запустите dds.scr, когда сканирование закончится, скопируйте текст из файлов DDS.txt и Attach.txt в сообщение или запакуйте файлы и вложите в сообщение. Подробнее читайте в руководстве Скачайте ComboFix здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению. Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe Подробнее в "ComboFix. Руководство по применению." Цитата Ссылка на сообщение Поделиться на другие сайты
ksv87 0 Опубликовано 28 июля, 2012 Автор Share Опубликовано 28 июля, 2012 Дневник сброшу позже. сейчас идет проверка Строка HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|9840 (Trojan.Agent) -> Параметры: C:\ProgramData\Local Settings\Temp\msakia.exe -> Действие не было предпринято. снова есть. Но я ее уже 2 раза удалял DDS.txt Attach.txt ComboFix.txt mbam_log_2012_07_28__14_41_12_.txt Цитата Ссылка на сообщение Поделиться на другие сайты
icotonev 57 Опубликовано 28 июля, 2012 Share Опубликовано 28 июля, 2012 FAQ по работе с Malwarebytes Anti-Malware Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол. KillAll:: ClearJavaCache:: DDS:: mExplorerRun: [9840] C:\ProgramData\Local Settings\Temp\msakia.exe После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
ksv87 0 Опубликовано 28 июля, 2012 Автор Share Опубликовано 28 июля, 2012 Если что не так делаю, простите... уже немного туплю. ComboFix.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.