Dmitry D. Опубликовано 22 сентября, 2008 Share Опубликовано 22 сентября, 2008 (изменено) Добрый вечер, был пойман буритос, XP Security center и иже с ним... KIS умер, и после этого полезли ко мне всякие крысы. На данный момент имею несколько процессов непонятных, жуткие тормоза и произвольные перезагрузки. Буритос чёт пропал сейчас, security center тоже непоявляется. При попытке установки KIS 7.0 выдаёт ошибку 1304: Ошибка записи в файл C:\Documents and settings\........bla bla bla.....\AVP7\Bases\base001.avc. убедитесь, что вы обладаете правами доступа к папке. рабочий стол теперь такой : Логи: Кстати логи AVZ сделать не могу... при распаковке архива выдаёт ошибку на все файлы из папки BASE... hijackthis.rar Изменено 23 сентября, 2008 пользователем Falcon Ссылка на комментарий Поделиться на другие сайты More sharing options...
Elly Опубликовано 22 сентября, 2008 Share Опубликовано 22 сентября, 2008 http://forum.kasperskyclub.ru/index.php?showtopic=1698 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Dmitry D. Опубликовано 22 сентября, 2008 Автор Share Опубликовано 22 сентября, 2008 АП Ссылка на комментарий Поделиться на другие сайты More sharing options...
Гриша Опубликовано 22 сентября, 2008 Share Опубликовано 22 сентября, 2008 Где логи? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Dmitry D. Опубликовано 22 сентября, 2008 Автор Share Опубликовано 22 сентября, 2008 всё что смог... AVZ после распаковки с ошибкой и переименования запускается.. но вместо половины символов вопросительные знаки и всякая чушь... посему сделать логи AVZ не могу. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Гриша Опубликовано 22 сентября, 2008 Share Опубликовано 22 сентября, 2008 Запустите так: avz.exe /lang=en Ссылка на комментарий Поделиться на другие сайты More sharing options...
Dmitry D. Опубликовано 22 сентября, 2008 Автор Share Опубликовано 22 сентября, 2008 с англ. языком не помогло вид имеет такой: При распаковке вот так: Может мне помочь кто с таким букетом? или пасочки? Ссылка на комментарий Поделиться на другие сайты More sharing options...
MedvedevUnited Опубликовано 22 сентября, 2008 Share Опубликовано 22 сентября, 2008 Здравствуйте. Попробуйте такой вариант: http://forum.kaspersky.com/index.php?showtopic=82540 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Олег777 Опубликовано 23 сентября, 2008 Share Опубликовано 23 сентября, 2008 Попробуйте скачать специальную утилиту отсюда: http://avptool.virusinfo.info/ Почитайте про неё и скачайте по ссылке. Далее, проверьте компьютер с помощью неё из безопасного режима. Должно помочь! После этого установите антивирус (удалив предыдущий), обновите базы и выполните полную проверку. результат напишите. С уважением, Олег Ссылка на комментарий Поделиться на другие сайты More sharing options...
ТроПа Опубликовано 23 сентября, 2008 Share Опубликовано 23 сентября, 2008 Кроме того можно попробывать эту gaga.com - версию АВЗ. Базы обновлять не нужно. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Dmitry D. Опубликовано 23 сентября, 2008 Автор Share Опубликовано 23 сентября, 2008 (изменено) При установке AVPTool выдаёт те же ошибки файлов из папки BASES с расширением *.avz. Видимо поэтому выдаёт сообщение про повреждённые базы и проверять отказывается. Пробовал в безопасном и в обычном режиме. версия AVZ gaga.com помогла. Спасайте логи: АП virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.rar Изменено 23 сентября, 2008 пользователем Dmitry D. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Falcon Опубликовано 23 сентября, 2008 Share Опубликовано 23 сентября, 2008 Dmitry D. C:\DOCUME~1\7585~1\LOCALS~1\Temp\rsyncini.exe C:\Documents and Settings\Дюша\Рабочий стол\123.exe Это что такое? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Dmitry D. Опубликовано 23 сентября, 2008 Автор Share Опубликовано 23 сентября, 2008 (изменено) первое - незнаю. 123 - hijack Изменено 23 сентября, 2008 пользователем Dmitry D. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Falcon Опубликовано 23 сентября, 2008 Share Опубликовано 23 сентября, 2008 (изменено) Спасибо, этого достаточно. Скачайте IceSword. Прибиваем в нем: C:\WINDOWS\system32\Drivers\yfK06.sys C:\WINDOWS\system32\WinCtrl32.dll C:\WINDOWS\system32\wlite.sys C:\WINDOWS\system32\Drivers\Hdtx70.sys C:\WINDOWS\system32\WLCtrl32.dll Как это сделать? -Запустите программу. -Внизу слева выберите меню File. Появится аналог проводника. Найдите в нем файл руткита. -Нажмите по нему правой кнопкой мыши и выберите force delete. -На запрос потверждения ответьте "да". Пофиксить в HJT: F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe, O4 - HKLM\..\Run: [lphctrqj0epa3] C:\WINDOWS\system32\lphctrqj0epa3.exe O4 - HKLM\..\Run: [buritos] buritos.exe Выполнить в AVZ: begin SearchRootkit(true, true); SetAVZGuardStatus(true); TerminateProcessByName('C:\WINDOWS\system32\lphctrqj0epa3.exe'); TerminateProcessByName('C:\DOCUME~1\7585~1\LOCALS~1\Temp\rsyncini.exe'); DeleteService('AlerterEventlog'); DeleteService('AlerterEventlogRemoteAccess'); DeleteService('AlerterEventlogWZCSVC'); DeleteService('ALGDnscache'); DeleteService('ALGEventlog'); DeleteService('COMSysAppBrowser'); DeleteService('CryptSvcmnmsrvcLmHosts'); DeleteService('DhcpRDSessMgr'); DeleteService('DnscachemnmsrvcRpcLocatorNetDDEdsdm'); DeleteService('DnscachemnmsrvcRpcLocatorNetDDEdsdmClipSrv'); DeleteService('DnscachemnmsrvcRpcLocatorNetDDEdsdmClipSrvWmi'); DeleteService('DnscacheMSIServer'); DeleteService('HTTPFilterMSDTCFastUserSwitchingCompatibility'); DeleteService('ImapiServiceNetlogon'); DeleteService('ImapiServiceNetlogonAudioSrv'); DeleteService('mnmsrvcLmHosts'); DeleteService('mnmsrvcLmHostsERSvc'); DeleteService('mnmsrvcRpcLocator'); DeleteService('mnmsrvcRpcLocatorHTTPFilterMSDTCFastUserSwitchingCompatibility'); DeleteService('mnmsrvcRpcLocatorNetDDE'); DeleteService('mnmsrvcRpcLocatorNetDDEdsdm'); DeleteService('mnmsrvcRpcLocatorNetDDEdsdmNlamnmsrvcRpcLocatorNetDDEdsdm'); DeleteService('MSDTCFastUserSwitchingCompatibility'); DeleteService('MSIServerTermService'); DeleteService('NetDDEdsdmSpooler'); DeleteService('NetDDEdsdmSpoolerSpooler'); DeleteService('NetlogonBrowser'); DeleteService('NlamnmsrvcRpcLocatorNetDDEdsdm'); DeleteService('ProtectedStorageCOMSysApp'); DeleteService('RDSessMgrFastUserSwitchingCompatibility'); DeleteService('RemoteAccessERSvc'); DeleteService('RemoteAccessmnmsrvcRpcLocator'); DeleteService('RpcSsSchedule'); DeleteService('RpcSsWmdmPmSN'); DeleteService('ScheduleUPSRasAuto'); DeleteService('ScheduleUPSRasAutoAlerter'); DeleteService('seclogonNetDDEdsdm'); DeleteService('seclogonRpcSsWmdmPmSN'); DeleteService('ShellHWDetectionImapiService'); DeleteService('ShellHWDetectionImapiServiceProtectedStorage'); DeleteService('ShellHWDetectionRpcSs'); DeleteService('stisvcmnmsrvc'); DeleteService('TermServiceTlntSvr'); DeleteService('UPSRasAuto'); DeleteService('VSSNlamnmsrvcRpcLocatorNetDDEdsdm'); DeleteService('WebClientTrkWks'); DeleteService('winmgmtRasAuto'); DeleteService('winmgmtRasAutoDnscachemnmsrvcRpcLocatorNetDDEdsdm'); DeleteService('WZCSVCNetDDEdsdm'); DeleteService('Beep'); DeleteService('Msx17'); DeleteService('wlite'); DeleteFile('C:\WINDOWS\system32\Drivers\yfK06.sys'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dl'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('C:\WINDOWS\system32\karina.dat'); DeleteFile('C:\WINDOWS\system32\braviax.exe'); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Hdtx70.sys'); DeleteFile('C:\WINDOWS\system32\wlite.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS'); DeleteFile('C:\WINDOWS\system32\blphctrqj0epa3.scr'); DeleteFile('c:\windows\system32\lphctrqj0epa3.exe'); DeleteFile('c:\windows\system32\buritos.exe'); DeleteFile('C:\WINDOWS\system32\datmps.dll'); DeleteFile('C:\DOCUME~1\7585~1\LOCALS~1\Temp\rsyncini.exe'); DeleteFile('srv.exe'); DeleteFile('Msx17.sys'); BC_ImportDeletedList; BC_DeleteSvc('AlerterEventlog'); BC_DeleteSvc('AlerterEventlogRemoteAccess'); BC_DeleteSvc('AlerterEventlogWZCSVC'); BC_DeleteSvc('ALGDnscache'); BC_DeleteSvc('ALGEventlog'); BC_DeleteSvc('COMSysAppBrowser'); BC_DeleteSvc('CryptSvcmnmsrvcLmHosts'); BC_DeleteSvc('DhcpRDSessMgr'); BC_DeleteSvc('DnscachemnmsrvcRpcLocatorNetDDEdsdm'); BC_DeleteSvc('DnscachemnmsrvcRpcLocatorNetDDEdsdmClipSrv'); BC_DeleteSvc('DnscachemnmsrvcRpcLocatorNetDDEdsdmClipSrvWmi'); BC_DeleteSvc('DnscacheMSIServer'); BC_DeleteSvc('HTTPFilterMSDTCFastUserSwitchingCompatibility'); BC_DeleteSvc('ImapiServiceNetlogon'); BC_DeleteSvc('ImapiServiceNetlogonAudioSrv'); BC_DeleteSvc('mnmsrvcLmHosts'); BC_DeleteSvc('mnmsrvcLmHostsERSvc'); BC_DeleteSvc('mnmsrvcRpcLocator'); BC_DeleteSvc('mnmsrvcRpcLocatorHTTPFilterMSDTCFastUserSwitchingCompatibility'); BC_DeleteSvc('mnmsrvcRpcLocatorNetDDE'); BC_DeleteSvc('mnmsrvcRpcLocatorNetDDEdsdm'); BC_DeleteSvc('mnmsrvcRpcLocatorNetDDEdsdmNlamnmsrvcRpcLocatorNetDDEdsdm'); BC_DeleteSvc('MSDTCFastUserSwitchingCompatibility'); BC_DeleteSvc('MSIServerTermService'); BC_DeleteSvc('NetDDEdsdmSpooler'); BC_DeleteSvc('NetDDEdsdmSpoolerSpooler'); BC_DeleteSvc('NetlogonBrowser'); BC_DeleteSvc('NlamnmsrvcRpcLocatorNetDDEdsdm'); BC_DeleteSvc('ProtectedStorageCOMSysApp'); BC_DeleteSvc('RDSessMgrFastUserSwitchingCompatibility'); BC_DeleteSvc('RemoteAccessERSvc'); BC_DeleteSvc('RemoteAccessmnmsrvcRpcLocator'); BC_DeleteSvc('RpcSsSchedule'); BC_DeleteSvc('RpcSsWmdmPmSN'); BC_DeleteSvc('ScheduleUPSRasAuto'); BC_DeleteSvc('ScheduleUPSRasAutoAlerter'); BC_DeleteSvc('seclogonNetDDEdsdm'); BC_DeleteSvc('seclogonRpcSsWmdmPmSN'); BC_DeleteSvc('ShellHWDetectionImapiService'); BC_DeleteSvc('ShellHWDetectionImapiServiceProtectedStorage'); BC_DeleteSvc('ShellHWDetectionRpcSs'); BC_DeleteSvc('stisvcmnmsrvc'); BC_DeleteSvc('TermServiceTlntSvr'); BC_DeleteSvc('UPSRasAuto'); BC_DeleteSvc('VSSNlamnmsrvcRpcLocatorNetDDEdsdm'); BC_DeleteSvc('WebClientTrkWks'); BC_DeleteSvc('winmgmtRasAuto'); BC_DeleteSvc('winmgmtRasAutoDnscachemnmsrvcRpcLocatorNetDDEdsdm'); BC_DeleteSvc('WZCSVCNetDDEdsdm'); BC_DeleteSvc('Beep'); BC_DeleteSvc('Msx17'); BC_DeleteSvc('wlite'); ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Логи повторите. Изменено 23 сентября, 2008 пользователем Falcon Ссылка на комментарий Поделиться на другие сайты More sharing options...
Dmitry D. Опубликовано 23 сентября, 2008 Автор Share Опубликовано 23 сентября, 2008 Hdtx70.sys не смог обнаружить.... поиск не работает.... Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти