Dmitry D. 0 Опубликовано 22 сентября, 2008 Share Опубликовано 22 сентября, 2008 (изменено) Добрый вечер, был пойман буритос, XP Security center и иже с ним... KIS умер, и после этого полезли ко мне всякие крысы. На данный момент имею несколько процессов непонятных, жуткие тормоза и произвольные перезагрузки. Буритос чёт пропал сейчас, security center тоже непоявляется. При попытке установки KIS 7.0 выдаёт ошибку 1304: Ошибка записи в файл C:\Documents and settings\........bla bla bla.....\AVP7\Bases\base001.avc. убедитесь, что вы обладаете правами доступа к папке. рабочий стол теперь такой : Логи: Кстати логи AVZ сделать не могу... при распаковке архива выдаёт ошибку на все файлы из папки BASE... hijackthis.rar Изменено 23 сентября, 2008 пользователем Falcon Цитата Ссылка на сообщение Поделиться на другие сайты
Elly 3 240 Опубликовано 22 сентября, 2008 Share Опубликовано 22 сентября, 2008 http://forum.kasperskyclub.ru/index.php?showtopic=1698 Цитата Ссылка на сообщение Поделиться на другие сайты
Dmitry D. 0 Опубликовано 22 сентября, 2008 Автор Share Опубликовано 22 сентября, 2008 АП Цитата Ссылка на сообщение Поделиться на другие сайты
Гриша 24 Опубликовано 22 сентября, 2008 Share Опубликовано 22 сентября, 2008 Где логи? Цитата Ссылка на сообщение Поделиться на другие сайты
Dmitry D. 0 Опубликовано 22 сентября, 2008 Автор Share Опубликовано 22 сентября, 2008 всё что смог... AVZ после распаковки с ошибкой и переименования запускается.. но вместо половины символов вопросительные знаки и всякая чушь... посему сделать логи AVZ не могу. Цитата Ссылка на сообщение Поделиться на другие сайты
Гриша 24 Опубликовано 22 сентября, 2008 Share Опубликовано 22 сентября, 2008 Запустите так: avz.exe /lang=en Цитата Ссылка на сообщение Поделиться на другие сайты
Dmitry D. 0 Опубликовано 22 сентября, 2008 Автор Share Опубликовано 22 сентября, 2008 с англ. языком не помогло вид имеет такой: При распаковке вот так: Может мне помочь кто с таким букетом? или пасочки? Цитата Ссылка на сообщение Поделиться на другие сайты
MedvedevUnited 230 Опубликовано 22 сентября, 2008 Share Опубликовано 22 сентября, 2008 Здравствуйте. Попробуйте такой вариант: http://forum.kaspersky.com/index.php?showtopic=82540 Цитата Ссылка на сообщение Поделиться на другие сайты
Олег777 559 Опубликовано 23 сентября, 2008 Share Опубликовано 23 сентября, 2008 Попробуйте скачать специальную утилиту отсюда: http://avptool.virusinfo.info/ Почитайте про неё и скачайте по ссылке. Далее, проверьте компьютер с помощью неё из безопасного режима. Должно помочь! После этого установите антивирус (удалив предыдущий), обновите базы и выполните полную проверку. результат напишите. С уважением, Олег Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 23 сентября, 2008 Share Опубликовано 23 сентября, 2008 Кроме того можно попробывать эту gaga.com - версию АВЗ. Базы обновлять не нужно. Цитата Ссылка на сообщение Поделиться на другие сайты
Dmitry D. 0 Опубликовано 23 сентября, 2008 Автор Share Опубликовано 23 сентября, 2008 (изменено) При установке AVPTool выдаёт те же ошибки файлов из папки BASES с расширением *.avz. Видимо поэтому выдаёт сообщение про повреждённые базы и проверять отказывается. Пробовал в безопасном и в обычном режиме. версия AVZ gaga.com помогла. Спасайте логи: АП virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.rar Изменено 23 сентября, 2008 пользователем Dmitry D. Цитата Ссылка на сообщение Поделиться на другие сайты
Falcon 169 Опубликовано 23 сентября, 2008 Share Опубликовано 23 сентября, 2008 Dmitry D. C:\DOCUME~1\7585~1\LOCALS~1\Temp\rsyncini.exe C:\Documents and Settings\Дюша\Рабочий стол\123.exe Это что такое? Цитата Ссылка на сообщение Поделиться на другие сайты
Dmitry D. 0 Опубликовано 23 сентября, 2008 Автор Share Опубликовано 23 сентября, 2008 (изменено) первое - незнаю. 123 - hijack Изменено 23 сентября, 2008 пользователем Dmitry D. Цитата Ссылка на сообщение Поделиться на другие сайты
Falcon 169 Опубликовано 23 сентября, 2008 Share Опубликовано 23 сентября, 2008 (изменено) Спасибо, этого достаточно. Скачайте IceSword. Прибиваем в нем: C:\WINDOWS\system32\Drivers\yfK06.sys C:\WINDOWS\system32\WinCtrl32.dll C:\WINDOWS\system32\wlite.sys C:\WINDOWS\system32\Drivers\Hdtx70.sys C:\WINDOWS\system32\WLCtrl32.dll Как это сделать? -Запустите программу. -Внизу слева выберите меню File. Появится аналог проводника. Найдите в нем файл руткита. -Нажмите по нему правой кнопкой мыши и выберите force delete. -На запрос потверждения ответьте "да". Пофиксить в HJT: F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe, O4 - HKLM\..\Run: [lphctrqj0epa3] C:\WINDOWS\system32\lphctrqj0epa3.exe O4 - HKLM\..\Run: [buritos] buritos.exe Выполнить в AVZ: begin SearchRootkit(true, true); SetAVZGuardStatus(true); TerminateProcessByName('C:\WINDOWS\system32\lphctrqj0epa3.exe'); TerminateProcessByName('C:\DOCUME~1\7585~1\LOCALS~1\Temp\rsyncini.exe'); DeleteService('AlerterEventlog'); DeleteService('AlerterEventlogRemoteAccess'); DeleteService('AlerterEventlogWZCSVC'); DeleteService('ALGDnscache'); DeleteService('ALGEventlog'); DeleteService('COMSysAppBrowser'); DeleteService('CryptSvcmnmsrvcLmHosts'); DeleteService('DhcpRDSessMgr'); DeleteService('DnscachemnmsrvcRpcLocatorNetDDEdsdm'); DeleteService('DnscachemnmsrvcRpcLocatorNetDDEdsdmClipSrv'); DeleteService('DnscachemnmsrvcRpcLocatorNetDDEdsdmClipSrvWmi'); DeleteService('DnscacheMSIServer'); DeleteService('HTTPFilterMSDTCFastUserSwitchingCompatibility'); DeleteService('ImapiServiceNetlogon'); DeleteService('ImapiServiceNetlogonAudioSrv'); DeleteService('mnmsrvcLmHosts'); DeleteService('mnmsrvcLmHostsERSvc'); DeleteService('mnmsrvcRpcLocator'); DeleteService('mnmsrvcRpcLocatorHTTPFilterMSDTCFastUserSwitchingCompatibility'); DeleteService('mnmsrvcRpcLocatorNetDDE'); DeleteService('mnmsrvcRpcLocatorNetDDEdsdm'); DeleteService('mnmsrvcRpcLocatorNetDDEdsdmNlamnmsrvcRpcLocatorNetDDEdsdm'); DeleteService('MSDTCFastUserSwitchingCompatibility'); DeleteService('MSIServerTermService'); DeleteService('NetDDEdsdmSpooler'); DeleteService('NetDDEdsdmSpoolerSpooler'); DeleteService('NetlogonBrowser'); DeleteService('NlamnmsrvcRpcLocatorNetDDEdsdm'); DeleteService('ProtectedStorageCOMSysApp'); DeleteService('RDSessMgrFastUserSwitchingCompatibility'); DeleteService('RemoteAccessERSvc'); DeleteService('RemoteAccessmnmsrvcRpcLocator'); DeleteService('RpcSsSchedule'); DeleteService('RpcSsWmdmPmSN'); DeleteService('ScheduleUPSRasAuto'); DeleteService('ScheduleUPSRasAutoAlerter'); DeleteService('seclogonNetDDEdsdm'); DeleteService('seclogonRpcSsWmdmPmSN'); DeleteService('ShellHWDetectionImapiService'); DeleteService('ShellHWDetectionImapiServiceProtectedStorage'); DeleteService('ShellHWDetectionRpcSs'); DeleteService('stisvcmnmsrvc'); DeleteService('TermServiceTlntSvr'); DeleteService('UPSRasAuto'); DeleteService('VSSNlamnmsrvcRpcLocatorNetDDEdsdm'); DeleteService('WebClientTrkWks'); DeleteService('winmgmtRasAuto'); DeleteService('winmgmtRasAutoDnscachemnmsrvcRpcLocatorNetDDEdsdm'); DeleteService('WZCSVCNetDDEdsdm'); DeleteService('Beep'); DeleteService('Msx17'); DeleteService('wlite'); DeleteFile('C:\WINDOWS\system32\Drivers\yfK06.sys'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dl'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('C:\WINDOWS\system32\karina.dat'); DeleteFile('C:\WINDOWS\system32\braviax.exe'); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Hdtx70.sys'); DeleteFile('C:\WINDOWS\system32\wlite.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS'); DeleteFile('C:\WINDOWS\system32\blphctrqj0epa3.scr'); DeleteFile('c:\windows\system32\lphctrqj0epa3.exe'); DeleteFile('c:\windows\system32\buritos.exe'); DeleteFile('C:\WINDOWS\system32\datmps.dll'); DeleteFile('C:\DOCUME~1\7585~1\LOCALS~1\Temp\rsyncini.exe'); DeleteFile('srv.exe'); DeleteFile('Msx17.sys'); BC_ImportDeletedList; BC_DeleteSvc('AlerterEventlog'); BC_DeleteSvc('AlerterEventlogRemoteAccess'); BC_DeleteSvc('AlerterEventlogWZCSVC'); BC_DeleteSvc('ALGDnscache'); BC_DeleteSvc('ALGEventlog'); BC_DeleteSvc('COMSysAppBrowser'); BC_DeleteSvc('CryptSvcmnmsrvcLmHosts'); BC_DeleteSvc('DhcpRDSessMgr'); BC_DeleteSvc('DnscachemnmsrvcRpcLocatorNetDDEdsdm'); BC_DeleteSvc('DnscachemnmsrvcRpcLocatorNetDDEdsdmClipSrv'); BC_DeleteSvc('DnscachemnmsrvcRpcLocatorNetDDEdsdmClipSrvWmi'); BC_DeleteSvc('DnscacheMSIServer'); BC_DeleteSvc('HTTPFilterMSDTCFastUserSwitchingCompatibility'); BC_DeleteSvc('ImapiServiceNetlogon'); BC_DeleteSvc('ImapiServiceNetlogonAudioSrv'); BC_DeleteSvc('mnmsrvcLmHosts'); BC_DeleteSvc('mnmsrvcLmHostsERSvc'); BC_DeleteSvc('mnmsrvcRpcLocator'); BC_DeleteSvc('mnmsrvcRpcLocatorHTTPFilterMSDTCFastUserSwitchingCompatibility'); BC_DeleteSvc('mnmsrvcRpcLocatorNetDDE'); BC_DeleteSvc('mnmsrvcRpcLocatorNetDDEdsdm'); BC_DeleteSvc('mnmsrvcRpcLocatorNetDDEdsdmNlamnmsrvcRpcLocatorNetDDEdsdm'); BC_DeleteSvc('MSDTCFastUserSwitchingCompatibility'); BC_DeleteSvc('MSIServerTermService'); BC_DeleteSvc('NetDDEdsdmSpooler'); BC_DeleteSvc('NetDDEdsdmSpoolerSpooler'); BC_DeleteSvc('NetlogonBrowser'); BC_DeleteSvc('NlamnmsrvcRpcLocatorNetDDEdsdm'); BC_DeleteSvc('ProtectedStorageCOMSysApp'); BC_DeleteSvc('RDSessMgrFastUserSwitchingCompatibility'); BC_DeleteSvc('RemoteAccessERSvc'); BC_DeleteSvc('RemoteAccessmnmsrvcRpcLocator'); BC_DeleteSvc('RpcSsSchedule'); BC_DeleteSvc('RpcSsWmdmPmSN'); BC_DeleteSvc('ScheduleUPSRasAuto'); BC_DeleteSvc('ScheduleUPSRasAutoAlerter'); BC_DeleteSvc('seclogonNetDDEdsdm'); BC_DeleteSvc('seclogonRpcSsWmdmPmSN'); BC_DeleteSvc('ShellHWDetectionImapiService'); BC_DeleteSvc('ShellHWDetectionImapiServiceProtectedStorage'); BC_DeleteSvc('ShellHWDetectionRpcSs'); BC_DeleteSvc('stisvcmnmsrvc'); BC_DeleteSvc('TermServiceTlntSvr'); BC_DeleteSvc('UPSRasAuto'); BC_DeleteSvc('VSSNlamnmsrvcRpcLocatorNetDDEdsdm'); BC_DeleteSvc('WebClientTrkWks'); BC_DeleteSvc('winmgmtRasAuto'); BC_DeleteSvc('winmgmtRasAutoDnscachemnmsrvcRpcLocatorNetDDEdsdm'); BC_DeleteSvc('WZCSVCNetDDEdsdm'); BC_DeleteSvc('Beep'); BC_DeleteSvc('Msx17'); BC_DeleteSvc('wlite'); ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Логи повторите. Изменено 23 сентября, 2008 пользователем Falcon Цитата Ссылка на сообщение Поделиться на другие сайты
Dmitry D. 0 Опубликовано 23 сентября, 2008 Автор Share Опубликовано 23 сентября, 2008 Hdtx70.sys не смог обнаружить.... поиск не работает.... Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.