Dmitry D. Опубликовано 22 сентября, 2008 Опубликовано 22 сентября, 2008 (изменено) Добрый вечер, был пойман буритос, XP Security center и иже с ним... KIS умер, и после этого полезли ко мне всякие крысы. На данный момент имею несколько процессов непонятных, жуткие тормоза и произвольные перезагрузки. Буритос чёт пропал сейчас, security center тоже непоявляется. При попытке установки KIS 7.0 выдаёт ошибку 1304: Ошибка записи в файл C:\Documents and settings\........bla bla bla.....\AVP7\Bases\base001.avc. убедитесь, что вы обладаете правами доступа к папке. рабочий стол теперь такой : Логи: Кстати логи AVZ сделать не могу... при распаковке архива выдаёт ошибку на все файлы из папки BASE... hijackthis.rar Изменено 23 сентября, 2008 пользователем Falcon
Elly Опубликовано 22 сентября, 2008 Опубликовано 22 сентября, 2008 http://forum.kasperskyclub.ru/index.php?showtopic=1698
Dmitry D. Опубликовано 22 сентября, 2008 Автор Опубликовано 22 сентября, 2008 всё что смог... AVZ после распаковки с ошибкой и переименования запускается.. но вместо половины символов вопросительные знаки и всякая чушь... посему сделать логи AVZ не могу.
Dmitry D. Опубликовано 22 сентября, 2008 Автор Опубликовано 22 сентября, 2008 с англ. языком не помогло вид имеет такой: При распаковке вот так: Может мне помочь кто с таким букетом? или пасочки?
MedvedevUnited Опубликовано 22 сентября, 2008 Опубликовано 22 сентября, 2008 Здравствуйте. Попробуйте такой вариант: http://forum.kaspersky.com/index.php?showtopic=82540
Олег777 Опубликовано 23 сентября, 2008 Опубликовано 23 сентября, 2008 Попробуйте скачать специальную утилиту отсюда: http://avptool.virusinfo.info/ Почитайте про неё и скачайте по ссылке. Далее, проверьте компьютер с помощью неё из безопасного режима. Должно помочь! После этого установите антивирус (удалив предыдущий), обновите базы и выполните полную проверку. результат напишите. С уважением, Олег
ТроПа Опубликовано 23 сентября, 2008 Опубликовано 23 сентября, 2008 Кроме того можно попробывать эту gaga.com - версию АВЗ. Базы обновлять не нужно.
Dmitry D. Опубликовано 23 сентября, 2008 Автор Опубликовано 23 сентября, 2008 (изменено) При установке AVPTool выдаёт те же ошибки файлов из папки BASES с расширением *.avz. Видимо поэтому выдаёт сообщение про повреждённые базы и проверять отказывается. Пробовал в безопасном и в обычном режиме. версия AVZ gaga.com помогла. Спасайте логи: АП virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.rar Изменено 23 сентября, 2008 пользователем Dmitry D.
Falcon Опубликовано 23 сентября, 2008 Опубликовано 23 сентября, 2008 Dmitry D. C:\DOCUME~1\7585~1\LOCALS~1\Temp\rsyncini.exe C:\Documents and Settings\Дюша\Рабочий стол\123.exe Это что такое?
Dmitry D. Опубликовано 23 сентября, 2008 Автор Опубликовано 23 сентября, 2008 (изменено) первое - незнаю. 123 - hijack Изменено 23 сентября, 2008 пользователем Dmitry D.
Falcon Опубликовано 23 сентября, 2008 Опубликовано 23 сентября, 2008 (изменено) Спасибо, этого достаточно. Скачайте IceSword. Прибиваем в нем: C:\WINDOWS\system32\Drivers\yfK06.sys C:\WINDOWS\system32\WinCtrl32.dll C:\WINDOWS\system32\wlite.sys C:\WINDOWS\system32\Drivers\Hdtx70.sys C:\WINDOWS\system32\WLCtrl32.dll Как это сделать? -Запустите программу. -Внизу слева выберите меню File. Появится аналог проводника. Найдите в нем файл руткита. -Нажмите по нему правой кнопкой мыши и выберите force delete. -На запрос потверждения ответьте "да". Пофиксить в HJT: F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe, O4 - HKLM\..\Run: [lphctrqj0epa3] C:\WINDOWS\system32\lphctrqj0epa3.exe O4 - HKLM\..\Run: [buritos] buritos.exe Выполнить в AVZ: begin SearchRootkit(true, true); SetAVZGuardStatus(true); TerminateProcessByName('C:\WINDOWS\system32\lphctrqj0epa3.exe'); TerminateProcessByName('C:\DOCUME~1\7585~1\LOCALS~1\Temp\rsyncini.exe'); DeleteService('AlerterEventlog'); DeleteService('AlerterEventlogRemoteAccess'); DeleteService('AlerterEventlogWZCSVC'); DeleteService('ALGDnscache'); DeleteService('ALGEventlog'); DeleteService('COMSysAppBrowser'); DeleteService('CryptSvcmnmsrvcLmHosts'); DeleteService('DhcpRDSessMgr'); DeleteService('DnscachemnmsrvcRpcLocatorNetDDEdsdm'); DeleteService('DnscachemnmsrvcRpcLocatorNetDDEdsdmClipSrv'); DeleteService('DnscachemnmsrvcRpcLocatorNetDDEdsdmClipSrvWmi'); DeleteService('DnscacheMSIServer'); DeleteService('HTTPFilterMSDTCFastUserSwitchingCompatibility'); DeleteService('ImapiServiceNetlogon'); DeleteService('ImapiServiceNetlogonAudioSrv'); DeleteService('mnmsrvcLmHosts'); DeleteService('mnmsrvcLmHostsERSvc'); DeleteService('mnmsrvcRpcLocator'); DeleteService('mnmsrvcRpcLocatorHTTPFilterMSDTCFastUserSwitchingCompatibility'); DeleteService('mnmsrvcRpcLocatorNetDDE'); DeleteService('mnmsrvcRpcLocatorNetDDEdsdm'); DeleteService('mnmsrvcRpcLocatorNetDDEdsdmNlamnmsrvcRpcLocatorNetDDEdsdm'); DeleteService('MSDTCFastUserSwitchingCompatibility'); DeleteService('MSIServerTermService'); DeleteService('NetDDEdsdmSpooler'); DeleteService('NetDDEdsdmSpoolerSpooler'); DeleteService('NetlogonBrowser'); DeleteService('NlamnmsrvcRpcLocatorNetDDEdsdm'); DeleteService('ProtectedStorageCOMSysApp'); DeleteService('RDSessMgrFastUserSwitchingCompatibility'); DeleteService('RemoteAccessERSvc'); DeleteService('RemoteAccessmnmsrvcRpcLocator'); DeleteService('RpcSsSchedule'); DeleteService('RpcSsWmdmPmSN'); DeleteService('ScheduleUPSRasAuto'); DeleteService('ScheduleUPSRasAutoAlerter'); DeleteService('seclogonNetDDEdsdm'); DeleteService('seclogonRpcSsWmdmPmSN'); DeleteService('ShellHWDetectionImapiService'); DeleteService('ShellHWDetectionImapiServiceProtectedStorage'); DeleteService('ShellHWDetectionRpcSs'); DeleteService('stisvcmnmsrvc'); DeleteService('TermServiceTlntSvr'); DeleteService('UPSRasAuto'); DeleteService('VSSNlamnmsrvcRpcLocatorNetDDEdsdm'); DeleteService('WebClientTrkWks'); DeleteService('winmgmtRasAuto'); DeleteService('winmgmtRasAutoDnscachemnmsrvcRpcLocatorNetDDEdsdm'); DeleteService('WZCSVCNetDDEdsdm'); DeleteService('Beep'); DeleteService('Msx17'); DeleteService('wlite'); DeleteFile('C:\WINDOWS\system32\Drivers\yfK06.sys'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dl'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('C:\WINDOWS\system32\karina.dat'); DeleteFile('C:\WINDOWS\system32\braviax.exe'); DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Hdtx70.sys'); DeleteFile('C:\WINDOWS\system32\wlite.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS'); DeleteFile('C:\WINDOWS\system32\blphctrqj0epa3.scr'); DeleteFile('c:\windows\system32\lphctrqj0epa3.exe'); DeleteFile('c:\windows\system32\buritos.exe'); DeleteFile('C:\WINDOWS\system32\datmps.dll'); DeleteFile('C:\DOCUME~1\7585~1\LOCALS~1\Temp\rsyncini.exe'); DeleteFile('srv.exe'); DeleteFile('Msx17.sys'); BC_ImportDeletedList; BC_DeleteSvc('AlerterEventlog'); BC_DeleteSvc('AlerterEventlogRemoteAccess'); BC_DeleteSvc('AlerterEventlogWZCSVC'); BC_DeleteSvc('ALGDnscache'); BC_DeleteSvc('ALGEventlog'); BC_DeleteSvc('COMSysAppBrowser'); BC_DeleteSvc('CryptSvcmnmsrvcLmHosts'); BC_DeleteSvc('DhcpRDSessMgr'); BC_DeleteSvc('DnscachemnmsrvcRpcLocatorNetDDEdsdm'); BC_DeleteSvc('DnscachemnmsrvcRpcLocatorNetDDEdsdmClipSrv'); BC_DeleteSvc('DnscachemnmsrvcRpcLocatorNetDDEdsdmClipSrvWmi'); BC_DeleteSvc('DnscacheMSIServer'); BC_DeleteSvc('HTTPFilterMSDTCFastUserSwitchingCompatibility'); BC_DeleteSvc('ImapiServiceNetlogon'); BC_DeleteSvc('ImapiServiceNetlogonAudioSrv'); BC_DeleteSvc('mnmsrvcLmHosts'); BC_DeleteSvc('mnmsrvcLmHostsERSvc'); BC_DeleteSvc('mnmsrvcRpcLocator'); BC_DeleteSvc('mnmsrvcRpcLocatorHTTPFilterMSDTCFastUserSwitchingCompatibility'); BC_DeleteSvc('mnmsrvcRpcLocatorNetDDE'); BC_DeleteSvc('mnmsrvcRpcLocatorNetDDEdsdm'); BC_DeleteSvc('mnmsrvcRpcLocatorNetDDEdsdmNlamnmsrvcRpcLocatorNetDDEdsdm'); BC_DeleteSvc('MSDTCFastUserSwitchingCompatibility'); BC_DeleteSvc('MSIServerTermService'); BC_DeleteSvc('NetDDEdsdmSpooler'); BC_DeleteSvc('NetDDEdsdmSpoolerSpooler'); BC_DeleteSvc('NetlogonBrowser'); BC_DeleteSvc('NlamnmsrvcRpcLocatorNetDDEdsdm'); BC_DeleteSvc('ProtectedStorageCOMSysApp'); BC_DeleteSvc('RDSessMgrFastUserSwitchingCompatibility'); BC_DeleteSvc('RemoteAccessERSvc'); BC_DeleteSvc('RemoteAccessmnmsrvcRpcLocator'); BC_DeleteSvc('RpcSsSchedule'); BC_DeleteSvc('RpcSsWmdmPmSN'); BC_DeleteSvc('ScheduleUPSRasAuto'); BC_DeleteSvc('ScheduleUPSRasAutoAlerter'); BC_DeleteSvc('seclogonNetDDEdsdm'); BC_DeleteSvc('seclogonRpcSsWmdmPmSN'); BC_DeleteSvc('ShellHWDetectionImapiService'); BC_DeleteSvc('ShellHWDetectionImapiServiceProtectedStorage'); BC_DeleteSvc('ShellHWDetectionRpcSs'); BC_DeleteSvc('stisvcmnmsrvc'); BC_DeleteSvc('TermServiceTlntSvr'); BC_DeleteSvc('UPSRasAuto'); BC_DeleteSvc('VSSNlamnmsrvcRpcLocatorNetDDEdsdm'); BC_DeleteSvc('WebClientTrkWks'); BC_DeleteSvc('winmgmtRasAuto'); BC_DeleteSvc('winmgmtRasAutoDnscachemnmsrvcRpcLocatorNetDDEdsdm'); BC_DeleteSvc('WZCSVCNetDDEdsdm'); BC_DeleteSvc('Beep'); BC_DeleteSvc('Msx17'); BC_DeleteSvc('wlite'); ExecuteSysClean; BC_Activate; RebootWindows(true); end. ПК перезагрузится. Логи повторите. Изменено 23 сентября, 2008 пользователем Falcon
Dmitry D. Опубликовано 23 сентября, 2008 Автор Опубликовано 23 сентября, 2008 Hdtx70.sys не смог обнаружить.... поиск не работает....
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти