Евгений Малинин Опубликовано 19 декабря, 2008 Поделиться Опубликовано 19 декабря, 2008 На компе не было антивируса. Касперский не устанавливается. Логи прилагаю. Содержимое папки карантин AVZ, а точнее те файлы, что не определились Касперским, отправил на ньювирус. Логи прилагаю. hijackthis.rar virusinfo_syscheck.zip virusinfo_syscure.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
Falcon Опубликовано 19 декабря, 2008 Поделиться Опубликовано 19 декабря, 2008 F:\jxtyp.pif - это знакомо? Ссылка на комментарий Поделиться на другие сайты Поделиться
Евгений Малинин Опубликовано 19 декабря, 2008 Автор Поделиться Опубликовано 19 декабря, 2008 F:\jxtyp.pif - это знакомо? Нет... Это уже заражение на моей флешке... Этот файл был удалён - Virus.Win32.Sality.aa Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 19 декабря, 2008 Поделиться Опубликовано 19 декабря, 2008 (изменено) Богатая колекция. Отключите Восстановление системы. 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\windows\system32\systwj.dll',''); QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\conmgr.exe',''); QuarantineFile('C:\DOCUME~1\Г\LOCALS~1\Temp\wineuje.exe',''); QuarantineFile('C:\WINDOWS\system32\wmdrtc32.dll',''); DeleteFile('F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\conmgr.exe'); DeleteFile('F:\autorun.inf'); DeleteFile('D:\h.cmd'); DeleteFile('D:\autorun.inf'); DeleteFile('C:\h.cmd'); DeleteFile('C:\autorun.inf'); DeleteFile('C:\ntde1ect.com'); DeleteFile('C:\WINDOWS\system32\amvo.exe'); DeleteFile('C:\WINDOWS\system32\amvo0.dll'); DeleteFile('C:\WINDOWS\system32\avpo0.dll'); DeleteFile('C:\WINDOWS\system32\wmdrtc32.dll'); DeleteFile('C:\DOCUME~1\Г\LOCALS~1\Temp\wineuje.exe'); DeleteFile('c:\windows\system32\systwj.dll'); DeleteFile('C:\System Volume Information\_restore{B791A704-4B34-4393-968B-E2230F8820F4}\RP121\A0261699.dll'); DeleteFile('C:\System Volume Information\_restore{B791A704-4B34-4393-968B-E2230F8820F4}\RP121\A0263470.dll'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(9); ExecuteRepair(11); ExecuteRepair(16); ExecuteRepair(17); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Повторите логи. Этот файл был удалён - Virus.Win32.Sality.aa Его удалилии до запуска? Можно воспользоваться утилитой Sality_Off.exe Полное описание утилиты и методологию использования можно прочитать на старнице технической поддержки ЛК. Изменено 19 декабря, 2008 пользователем wise-wistful Ссылка на комментарий Поделиться на другие сайты Поделиться
Евгений Малинин Опубликовано 19 декабря, 2008 Автор Поделиться Опубликовано 19 декабря, 2008 (изменено) Вот новые логи. Сейчас попробую применить лечилку от ЛК... Лечилка не помогла. Кисуля так и не устанавливается... hijackthis.rar virusinfo_syscure.zip virusinfo_syscheck.zip Изменено 19 декабря, 2008 пользователем Евгений Малинин Ссылка на комментарий Поделиться на другие сайты Поделиться
Falcon Опубликовано 19 декабря, 2008 Поделиться Опубликовано 19 декабря, 2008 Враги остались. Это что за товарищи? C:\WINDOWS\system32\drivers\iloknk.sys C:\WINDOWS\system32\drivers\outmgs.sys Гугль про них ничего не знает. Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 19 декабря, 2008 Поделиться Опубликовано 19 декабря, 2008 Да, Вот новые логи. Сейчас попробую применить лечилку от ЛК... Применяли до того как делать логи? Если да- то скачате АВПТул и пройдитесь ним. Файловый вирус, скорее всего. Не знаю можно ли предлагать конкуренов >>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных Ссылка на комментарий Поделиться на другие сайты Поделиться
Евгений Малинин Опубликовано 22 декабря, 2008 Автор Поделиться Опубликовано 22 декабря, 2008 Просканировал AVP tool'ом ыло обезврежено около 1500 файлов. КИС 8 всё-равно не устанавливается. Новие логи прикладываю. virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.rar Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 22 декабря, 2008 Поделиться Опубликовано 22 декабря, 2008 (изменено) 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\system32\drivers\iloknk.sys',''); DeleteFile('C:\autorun.inf'); DeleteFile('D:\autorun.inf'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес 54712<at>rambler.ru где <at> - это @. 2.Пофиксите в HijackThis следующие строчки F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, explorer.exe Включите AVZPM и повторите логи АВЗ. Изменено 22 декабря, 2008 пользователем wise-wistful Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 22 декабря, 2008 Поделиться Опубликовано 22 декабря, 2008 Повторная проверка AVPTool выявила пораженные файлы? Ссылка на комментарий Поделиться на другие сайты Поделиться
Евгений Малинин Опубликовано 22 декабря, 2008 Автор Поделиться Опубликовано 22 декабря, 2008 (изменено) Скрипты выполнил, карантин оказался пуст. Новые логи прикладываю. Повторная проверка AVPTool выявила пораженные файлы? Да. В числе заражённых был sality.s virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.rar Изменено 22 декабря, 2008 пользователем Евгений Малинин Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 22 декабря, 2008 Поделиться Опубликовано 22 декабря, 2008 Тогда cureit Вам в руки. Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 22 декабря, 2008 Поделиться Опубликовано 22 декабря, 2008 (изменено) Если через АВЗ--сервис--поиск файлов поискать iloknk.sys, он находиться? Да. В числе заражённых был sality.s Надеюсь проверяли все диски на машине. Изменено 22 декабря, 2008 пользователем wise-wistful Ссылка на комментарий Поделиться на другие сайты Поделиться
Олег777 Опубликовано 22 декабря, 2008 Поделиться Опубликовано 22 декабря, 2008 попробуйте сначала установить КИС 7.0 Он хорошо устанавливается даже на зараженные компьютеры Ссылка на комментарий Поделиться на другие сайты Поделиться
Евгений Малинин Опубликовано 22 декабря, 2008 Автор Поделиться Опубликовано 22 декабря, 2008 Если через АВЗ--сервис--поиск файлов поискать iloknk.sys, он находиться? Не находит. Надеюсь проверяли все диски на машине. Конечно все Тогда cureit Вам в руки. Проверил. Он ничего не нашёл... Спасибо всем за помощь! Пробему решил удалением остатков от установки KIS 2009 с помощью спец. утилиты от ЛК... Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти