[Лог!] Не устанавливается Касперский

[Евгений Малинин]

На компе не было антивируса. Касперский не устанавливается. Логи прилагаю. Содержимое папки карантин AVZ, а точнее те файлы, что не определились Касперским, отправил на ньювирус. Логи прилагаю.

hijackthis.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

[Falcon]

F:\jxtyp.pif - это знакомо?

[Евгений Малинин]

F:\jxtyp.pif - это знакомо?

Нет... Это уже заражение на моей флешке... Этот файл был удалён - Virus.Win32.Sality.aa

[ТроПа]

Богатая колекция. Отключите Восстановление системы.

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\systwj.dll','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\conmgr.exe','');
QuarantineFile('C:\DOCUME~1\Г\LOCALS~1\Temp\wineuje.exe','');
QuarantineFile('C:\WINDOWS\system32\wmdrtc32.dll','');
DeleteFile('F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\conmgr.exe');
DeleteFile('F:\autorun.inf');
DeleteFile('D:\h.cmd');
DeleteFile('D:\autorun.inf');
DeleteFile('C:\h.cmd');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\ntde1ect.com');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\WINDOWS\system32\amvo0.dll');
DeleteFile('C:\WINDOWS\system32\avpo0.dll');
DeleteFile('C:\WINDOWS\system32\wmdrtc32.dll');
DeleteFile('C:\DOCUME~1\Г\LOCALS~1\Temp\wineuje.exe');
DeleteFile('c:\windows\system32\systwj.dll');
DeleteFile('C:\System Volume Information\_restore{B791A704-4B34-4393-968B-E2230F8820F4}\RP121\A0261699.dll');
DeleteFile('C:\System Volume Information\_restore{B791A704-4B34-4393-968B-E2230F8820F4}\RP121\A0263470.dll');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(9);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

Повторите логи.

 

Этот файл был удалён - Virus.Win32.Sality.aa

Его удалилии до запуска? Можно воспользоваться утилитой Sality_Off.exe

Полное описание утилиты и методологию использования можно прочитать на старнице технической поддержки ЛК.

Изменено 19 декабря, 2008 пользователем wise-wistful

[Евгений Малинин]

Вот новые логи. Сейчас попробую применить лечилку от ЛК...

 

Лечилка не помогла. Кисуля так и не устанавливается...

hijackthis.rar

virusinfo_syscure.zip

virusinfo_syscheck.zip

Изменено 19 декабря, 2008 пользователем Евгений Малинин

[Falcon]

Враги остались.

 

Это что за товарищи?

C:\WINDOWS\system32\drivers\iloknk.sys

C:\WINDOWS\system32\drivers\outmgs.sys

 

Гугль про них ничего не знает.

[ТроПа]

Да,

Вот новые логи. Сейчас попробую применить лечилку от ЛК...

Применяли до того как делать логи? Если да- то скачате АВПТул и пройдитесь ним. Файловый вирус, скорее всего. Не знаю можно ли предлагать конкуренов

>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных

[Евгений Малинин]

Просканировал AVP tool'ом ыло обезврежено около 1500 файлов. КИС 8 всё-равно не устанавливается. Новие логи прикладываю.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.rar

[ТроПа]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\drivers\iloknk.sys','');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес 54712<at>rambler.ru где <at> - это @.

 

 

2.Пофиксите в HijackThis следующие строчки

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, explorer.exe

 

Включите AVZPM и повторите логи АВЗ.

Изменено 22 декабря, 2008 пользователем wise-wistful

[akoK]

Повторная проверка AVPTool выявила пораженные файлы?

[Евгений Малинин]

Скрипты выполнил, карантин оказался пуст. Новые логи прикладываю.

 

Повторная проверка AVPTool выявила пораженные файлы?

 

Да. В числе заражённых был sality.s

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.rar

Изменено 22 декабря, 2008 пользователем Евгений Малинин

[akoK]

Тогда cureit Вам в руки.

[ТроПа]

Если через АВЗ--сервис--поиск файлов поискать iloknk.sys, он находиться?

 

Да. В числе заражённых был sality.s

 

Надеюсь проверяли все диски на машине.

Изменено 22 декабря, 2008 пользователем wise-wistful

[Олег777]

попробуйте сначала установить КИС 7.0

Он хорошо устанавливается даже на зараженные компьютеры

[Евгений Малинин]

Если через АВЗ--сервис--поиск файлов поискать iloknk.sys, он находиться?

Не находит.

Надеюсь проверяли все диски на машине.

Конечно все

 

Тогда cureit Вам в руки.

Проверил. Он ничего не нашёл...

 

Спасибо всем за помощь! Пробему решил удалением остатков от установки KIS 2009 с помощью спец. утилиты от ЛК...