Евгений Малинин Опубликовано 19 декабря, 2008 Опубликовано 19 декабря, 2008 На компе не было антивируса. Касперский не устанавливается. Логи прилагаю. Содержимое папки карантин AVZ, а точнее те файлы, что не определились Касперским, отправил на ньювирус. Логи прилагаю. hijackthis.rar virusinfo_syscheck.zip virusinfo_syscure.zip
Евгений Малинин Опубликовано 19 декабря, 2008 Автор Опубликовано 19 декабря, 2008 F:\jxtyp.pif - это знакомо? Нет... Это уже заражение на моей флешке... Этот файл был удалён - Virus.Win32.Sality.aa
ТроПа Опубликовано 19 декабря, 2008 Опубликовано 19 декабря, 2008 (изменено) Богатая колекция. Отключите Восстановление системы. 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\windows\system32\systwj.dll',''); QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\conmgr.exe',''); QuarantineFile('C:\DOCUME~1\Г\LOCALS~1\Temp\wineuje.exe',''); QuarantineFile('C:\WINDOWS\system32\wmdrtc32.dll',''); DeleteFile('F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\conmgr.exe'); DeleteFile('F:\autorun.inf'); DeleteFile('D:\h.cmd'); DeleteFile('D:\autorun.inf'); DeleteFile('C:\h.cmd'); DeleteFile('C:\autorun.inf'); DeleteFile('C:\ntde1ect.com'); DeleteFile('C:\WINDOWS\system32\amvo.exe'); DeleteFile('C:\WINDOWS\system32\amvo0.dll'); DeleteFile('C:\WINDOWS\system32\avpo0.dll'); DeleteFile('C:\WINDOWS\system32\wmdrtc32.dll'); DeleteFile('C:\DOCUME~1\Г\LOCALS~1\Temp\wineuje.exe'); DeleteFile('c:\windows\system32\systwj.dll'); DeleteFile('C:\System Volume Information\_restore{B791A704-4B34-4393-968B-E2230F8820F4}\RP121\A0261699.dll'); DeleteFile('C:\System Volume Information\_restore{B791A704-4B34-4393-968B-E2230F8820F4}\RP121\A0263470.dll'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(9); ExecuteRepair(11); ExecuteRepair(16); ExecuteRepair(17); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Повторите логи. Этот файл был удалён - Virus.Win32.Sality.aa Его удалилии до запуска? Можно воспользоваться утилитой Sality_Off.exe Полное описание утилиты и методологию использования можно прочитать на старнице технической поддержки ЛК. Изменено 19 декабря, 2008 пользователем wise-wistful
Евгений Малинин Опубликовано 19 декабря, 2008 Автор Опубликовано 19 декабря, 2008 (изменено) Вот новые логи. Сейчас попробую применить лечилку от ЛК... Лечилка не помогла. Кисуля так и не устанавливается... hijackthis.rar virusinfo_syscure.zip virusinfo_syscheck.zip Изменено 19 декабря, 2008 пользователем Евгений Малинин
Falcon Опубликовано 19 декабря, 2008 Опубликовано 19 декабря, 2008 Враги остались. Это что за товарищи? C:\WINDOWS\system32\drivers\iloknk.sys C:\WINDOWS\system32\drivers\outmgs.sys Гугль про них ничего не знает.
ТроПа Опубликовано 19 декабря, 2008 Опубликовано 19 декабря, 2008 Да, Вот новые логи. Сейчас попробую применить лечилку от ЛК... Применяли до того как делать логи? Если да- то скачате АВПТул и пройдитесь ним. Файловый вирус, скорее всего. Не знаю можно ли предлагать конкуренов >>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
Евгений Малинин Опубликовано 22 декабря, 2008 Автор Опубликовано 22 декабря, 2008 Просканировал AVP tool'ом ыло обезврежено около 1500 файлов. КИС 8 всё-равно не устанавливается. Новие логи прикладываю. virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.rar
ТроПа Опубликовано 22 декабря, 2008 Опубликовано 22 декабря, 2008 (изменено) 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\system32\drivers\iloknk.sys',''); DeleteFile('C:\autorun.inf'); DeleteFile('D:\autorun.inf'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес 54712<at>rambler.ru где <at> - это @. 2.Пофиксите в HijackThis следующие строчки F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, explorer.exe Включите AVZPM и повторите логи АВЗ. Изменено 22 декабря, 2008 пользователем wise-wistful
akoK Опубликовано 22 декабря, 2008 Опубликовано 22 декабря, 2008 Повторная проверка AVPTool выявила пораженные файлы?
Евгений Малинин Опубликовано 22 декабря, 2008 Автор Опубликовано 22 декабря, 2008 (изменено) Скрипты выполнил, карантин оказался пуст. Новые логи прикладываю. Повторная проверка AVPTool выявила пораженные файлы? Да. В числе заражённых был sality.s virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.rar Изменено 22 декабря, 2008 пользователем Евгений Малинин
ТроПа Опубликовано 22 декабря, 2008 Опубликовано 22 декабря, 2008 (изменено) Если через АВЗ--сервис--поиск файлов поискать iloknk.sys, он находиться? Да. В числе заражённых был sality.s Надеюсь проверяли все диски на машине. Изменено 22 декабря, 2008 пользователем wise-wistful
Олег777 Опубликовано 22 декабря, 2008 Опубликовано 22 декабря, 2008 попробуйте сначала установить КИС 7.0 Он хорошо устанавливается даже на зараженные компьютеры
Евгений Малинин Опубликовано 22 декабря, 2008 Автор Опубликовано 22 декабря, 2008 Если через АВЗ--сервис--поиск файлов поискать iloknk.sys, он находиться? Не находит. Надеюсь проверяли все диски на машине. Конечно все Тогда cureit Вам в руки. Проверил. Он ничего не нашёл... Спасибо всем за помощь! Пробему решил удалением остатков от установки KIS 2009 с помощью спец. утилиты от ЛК...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти