Shm Опубликовано 25 января, 2009 Поделиться Опубликовано 25 января, 2009 (изменено) Начну из далека. Меньше года назад был куплен антивир касперского с лицензеей на три компа. Но мне был куплен на ДР новый комп и поставлена новая система, старый был распатрашён на винчестеры и прочую лабуду. И лицензионный Касперский остался на нерабочей машине. На новую я так его и не поставил, тк не знал будут ли проблемы с регистрацией лицензии (уже три лицензии должны были быть зарегестрированны) Вся защита у компа была отключена , тк брэндмауэр постоянно лезет и что то обновляет без маего ведома, а я не знаю лицензионный ли у меня виндоус. Короче пол года комп проработал нормально и главное быстро без всяких антивиров и защит.... Но всё же комп заразился какимто трояном и теперь либо синий экран если ставлю автоматическая перезагрузку при сбое системы отменить или псстоянная перезагрузка. И ногда успеваю нажать cntrl+alt+del ну чаще загрузка не завешается. У меня winXP SP2 Описание: Позваляет загрузится в защищённом режиме (с него и пмишу) Сначало выдавал сообщение из разных exe файлов приложение *.exe digeste.dll что то там не является приложением WIN NT ((( Я переименовал эту библиотеку сообщение пропало но синний экран не изчез(помимо этого я удалил пару записей в которых упоменалось digeste.dll в реестре , при помощи regedit + cntrl F) msconfig - во вкладке авто загрузка не знакомые мне процессы снял галки с подозрительных (мне показались подозрительными c:\windows\system32\leafsi.exe \u c:\windows\cjtpkmpc\exe c:\windows\system32\ctfmon.exe иещё несколько.... ) Мой каспер 2007 не хочет ставится а загрузится в норм режиме не могу. Переустановка виндовса не помогает (3 раза переустанавливал ) - теже яйца только в профиль- комп перезагружается нонстопом при загрузке при первом входе(наверно если я отформатирую диск ц всё починится но - не хочется этого делать я забыл как сеть настраивать (( ). посоветуйте что сделать ? кстати как поступить с лицензионным каспером2007 который уже зарегестрирован на трёх машинах (но на одной я хочу отменить регистрацию и машина то сама разобрана ) Изменено 25 января, 2009 пользователем wise-wistful Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 25 января, 2009 Поделиться Опубликовано 25 января, 2009 (изменено) Сообщение от модератора wise-wistful Тема перемещена из раздела Компьютерная помощь Для начала борьбы с вирусами выполните логи, как написано в этой теме. Изменено 25 января, 2009 пользователем wise-wistful Ссылка на комментарий Поделиться на другие сайты Поделиться
Shm Опубликовано 25 января, 2009 Автор Поделиться Опубликовано 25 января, 2009 (изменено) вот такие логи получились см в самом низу Онлайн Касперский сказал следующее: -------------------------------------- ОТЧЕТ KASPERSKY ONLINE SCANNER 25 Январь 2009 г. 15:47:06 Операционная система: Microsoft Windows XP Professional, Service Pack 2 (Build 2600) Версия Kaspersky Online Scanner: 5.0.98.1 Последнее обновление антивирусных баз: 25/01/2009 Число записей в антивирусных базах: 1693487 Параметры проверки Проверять, используя следующий набор антивирусных баз расширенный набор Проверять архивы да Проверять почтовые базы да Объект проверки Оперативная Память Результаты проверки Всего проверено объектов 1161 Найдено вирусов 3 Найдено зараженных объектов 21 Найдено подозрительных объектов 0 Время проверки 00:00:17 Имя зараженного объекта Имя вируса Последнее действие [0] [system Process] => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить [676] winlogon.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить [676] winlogon.exe => C:\WINDOWS\system32\crypts.dll Зараженный объект: Trojan.Win32.Agent.bjvs пропустить [728] services.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить [740] lsass.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить [888] svchost.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить [944] svchost.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить [1152] svchost.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить [1180] svchost.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить [1288] svchost.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить [1740] Explorer.EXE => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить [808] TimeZero.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить [1468] IEXPLORE.EXE => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить [272] magent.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить [1432] IEXPLORE.EXE => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить [156] rundll32.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить [980] AA44.tmp => C:\WINDOWS\TEMP\AA44.tmp Зараженный объект: Backdoor.Win32.KeyStart.t пропустить [980] AA44.tmp => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить [1344] ps.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить [184] AA44.tmp => C:\WINDOWS\TEMP\AA44.tmp Зараженный объект: Backdoor.Win32.KeyStart.t пропустить [184] AA44.tmp => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить Проверка завершена. -------------------------------------- ОТЧЕТ KASPERSKY ONLINE SCANNER 25 Январь 2009 г. 15:46:09 Операционная система: Microsoft Windows XP Professional, Service Pack 2 (Build 2600) Версия Kaspersky Online Scanner: 5.0.98.1 Последнее обновление антивирусных баз: 25/01/2009 Число записей в антивирусных базах: 1693487 Параметры проверки Проверять, используя следующий набор антивирусных баз расширенный набор Проверять архивы да Проверять почтовые базы да Объект проверки Важные объекты C:\WINDOWS C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\ Результаты проверки Всего проверено объектов 12457 Найдено вирусов 9 Найдено зараженных объектов 12 Найдено подозрительных объектов 0 Время проверки 00:04:34 Имя зараженного объекта Имя вируса Последнее действие C:\WINDOWS\system32\config\system.LOG Объект заблокирован пропустить C:\WINDOWS\system32\config\software.LOG Объект заблокирован пропустить C:\WINDOWS\system32\config\default.LOG Объект заблокирован пропустить C:\WINDOWS\system32\config\SECURITY Объект заблокирован пропустить C:\WINDOWS\system32\config\SAM Объект заблокирован пропустить C:\WINDOWS\system32\config\SECURITY.LOG Объект заблокирован пропустить C:\WINDOWS\system32\config\SAM.LOG Объект заблокирован пропустить C:\WINDOWS\system32\config\AppEvent.Evt Объект заблокирован пропустить C:\WINDOWS\system32\config\SecEvent.Evt Объект заблокирован пропустить C:\WINDOWS\system32\config\SysEvent.Evt Объект заблокирован пропустить C:\WINDOWS\system32\config\SYSTEM Объект заблокирован пропустить C:\WINDOWS\system32\config\SOFTWARE Объект заблокирован пропустить C:\WINDOWS\system32\config\DEFAULT Объект заблокирован пропустить C:\WINDOWS\system32\drivers\systemntmi.sys Зараженный объект: Rootkit.Win32.Agent.grg пропустить C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Объект заблокирован пропустить C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Объект заблокирован пропустить C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Объект заблокирован пропустить C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Объект заблокирован пропустить C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Объект заблокирован пропустить C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Объект заблокирован пропустить C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Объект заблокирован пропустить C:\WINDOWS\system32\digeste_virus.dll Зараженный объект: Backdoor.Win32.Small.hip пропустить C:\WINDOWS\system32\CatRoot2\edb.log Объект заблокирован пропустить C:\WINDOWS\system32\CatRoot2\tmp.edb Объект заблокирован пропустить C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить C:\WINDOWS\system32\leafsi.exe Зараженный объект: Email-Worm.Win32.Agent.kj пропустить C:\WINDOWS\system32\wpv661232659547.cpx Зараженный объект: Trojan.Win32.Agent2.xn пропустить C:\WINDOWS\system32\wpv521232642331.cpx Зараженный объект: Trojan.Win32.Agent.bkpw пропустить C:\WINDOWS\system32\crypts.dll Зараженный объект: Trojan.Win32.Agent.bjvs пропустить C:\WINDOWS\system32\cssrss.exe Зараженный объект: Trojan.Win32.Agent2.xn пропустить C:\WINDOWS\Temp\AA44.tmp Зараженный объект: Backdoor.Win32.KeyStart.t пропустить C:\WINDOWS\Temp\86AF.tmp Зараженный объект: Backdoor.Win32.KeyStart.t пропустить C:\WINDOWS\Debug\PASSWD.LOG Объект заблокирован пропустить C:\WINDOWS\cjtpkmpc.exe Зараженный объект: Trojan-Downloader.Win32.Small.agbh пропустить C:\WINDOWS\msauc.exe Зараженный объект: Trojan.Win32.Agent.bkpw пропустить C:\WINDOWS\CSC\00000001 Объект заблокирован пропустить C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\Temporary Internet Files\Content.IE5\index.dat Объект заблокирован пропустить C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\Cookies\index.dat Объект заблокирован пропустить C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\History\History.IE5\index.dat Объект заблокирован пропустить C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\History\History.IE5\MSHist012009012520090126\index.dat Объект заблокирован пропустить C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\~DF3D70.tmp Объект заблокирован пропустить Проверка завершена. ----------------------------------------------------- virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Изменено 25 января, 2009 пользователем Shm Ссылка на комментарий Поделиться на другие сайты Поделиться
Falcon Опубликовано 25 января, 2009 Поделиться Опубликовано 25 января, 2009 (изменено) Выполнить в AVZ следующий скрипт: begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteService('ethvryxs'); DeleteService('gdrv'); DeleteService('systemntmi'); DeleteFile('C:\WINDOWS\system32\crypts.dll'); DeleteFile('C:\WINDOWS\system32\mmmkwnkw.dll'); DeleteFile('C:\WINDOWS\system32\drivers\ethvryxs.sys'); DeleteFile('C:\WINDOWS\gdrv.sys'); DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys'); DeleteFile('C:\WINDOWS\services.exe'); DeleteFile('C:\Documents and Settings\Администратор\Администратор.exe'); DeleteFile('C:\Documents and Settings\Администратор\ash.exe'); DeleteFile('H:\autorun.inf'); DeleteFile('C:\WINDOWS\system32\cssrss.exe'); BC_ImportDeletedList; BC_DeleteSvc('ethvryxs '); BC_DeleteSvc('gdrv '); BC_DeleteSvc('systemntmi '); BC_Activate; ExecuteSysClean; RebootWindows(true); end. ПК перезагрузится. Затем пофиксить через HJT: O20 - AppInit_DLLs: C:\WINDOWS\system32\mmmkwnkw.dll O20 - Winlogon Notify: crypt - C:\WINDOWS\SYSTEM32\crypts.dll Логи повторить. Изменено 25 января, 2009 пользователем Falcon Ссылка на комментарий Поделиться на другие сайты Поделиться
Shm Опубликовано 25 января, 2009 Автор Поделиться Опубликовано 25 января, 2009 1) Большое спасибо за помощь. Смог загрузится. ТОлько теперь грузится учётная запись созданная при переустановке Windows (я её назвал SHM а не учётная запись под названием Администратор не знаю правда как сделать чтобы грузилась учётная запись Администратор в папке document and settings папка Администратор есть ....) В IE explorer грузитчся сверху какаято бяка - картинка gif c уродством каким то и спредложением отправить смс на номер 3649 с текстом .... ну вообще IE explorer работает плохо((( например на форум пишу с другого браузера... с IE explorer написать не смог расширенная форма ответа не хотела работать Спасибо всем если есть чего подсказать с удовольствием выслушаю совет, ещё раз спасибо ------------------------------------------------------------------------------- ОТЧЕТ KASPERSKY ONLINE SCANNER 25 Январь 2009 г. 19:54:07 Операционная система: Microsoft Windows XP Professional, Service Pack 2 (Build 2600) Версия Kaspersky Online Scanner: 5.0.98.1 Последнее обновление антивирусных баз: 25/01/2009 Число записей в антивирусных базах: 1694764 ------------------------------------------------------------------------------- Параметры проверки: Проверять, используя следующий набор антивирусных баз: расширенный набор Проверять архивы: да Проверять почтовые базы: да Объект проверки - Важные объекты: C:\WINDOWS C:\DOCUME~1\Shm\LOCALS~1\Temp\ Результаты проверки: Всего проверено объектов: 10449 Найдено вирусов: 5 Найдено зараженных объектов: 8 Найдено подозрительных объектов: 0 Время проверки: 00:04:02 Имя зараженного объекта / Имя вируса / Последнее действие C:\WINDOWS\system32\config\system.LOG Объект заблокирован пропустить C:\WINDOWS\system32\config\software.LOG Объект заблокирован пропустить C:\WINDOWS\system32\config\default.LOG Объект заблокирован пропустить C:\WINDOWS\system32\config\SECURITY Объект заблокирован пропустить C:\WINDOWS\system32\config\SAM Объект заблокирован пропустить C:\WINDOWS\system32\config\SECURITY.LOG Объект заблокирован пропустить C:\WINDOWS\system32\config\SAM.LOG Объект заблокирован пропустить C:\WINDOWS\system32\config\AppEvent.Evt Объект заблокирован пропустить C:\WINDOWS\system32\config\SecEvent.Evt Объект заблокирован пропустить C:\WINDOWS\system32\config\SysEvent.Evt Объект заблокирован пропустить C:\WINDOWS\system32\config\SYSTEM Объект заблокирован пропустить C:\WINDOWS\system32\config\SOFTWARE Объект заблокирован пропустить C:\WINDOWS\system32\config\DEFAULT Объект заблокирован пропустить C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Объект заблокирован пропустить C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Объект заблокирован пропустить C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Объект заблокирован пропустить C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Объект заблокирован пропустить C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Объект заблокирован пропустить C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Объект заблокирован пропустить C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Объект заблокирован пропустить C:\WINDOWS\system32\digeste_virus.dll Зараженный объект: Backdoor.Win32.Small.hip пропустить C:\WINDOWS\system32\CatRoot2\edb.log Объект заблокирован пропустить C:\WINDOWS\system32\CatRoot2\tmp.edb Объект заблокирован пропустить C:\WINDOWS\system32\CatRoot2\edbtmp.log Объект заблокирован пропустить C:\WINDOWS\system32\h323log.txt Объект заблокирован пропустить C:\WINDOWS\system32\log.txt Объект заблокирован пропустить C:\WINDOWS\system32\leafsi.exe Зараженный объект: Email-Worm.Win32.Agent.kj пропустить C:\WINDOWS\system32\wpv661232659547.cpx Зараженный объект: Trojan.Win32.Agent2.xn пропустить C:\WINDOWS\system32\wpv521232642331.cpx Зараженный объект: Trojan.Win32.Agent.bkpw пропустить C:\WINDOWS\Temp\AA44.tmp Зараженный объект: Backdoor.Win32.KeyStart.t пропустить C:\WINDOWS\Temp\2430.tmp Зараженный объект: Backdoor.Win32.KeyStart.t пропустить C:\WINDOWS\Temp\atchksrv.log Объект заблокирован пропустить C:\WINDOWS\Temp\atchk.log Объект заблокирован пропустить C:\WINDOWS\Temp\86AF.tmp Зараженный объект: Backdoor.Win32.KeyStart.t пропустить C:\WINDOWS\Debug\PASSWD.LOG Объект заблокирован пропустить C:\WINDOWS\Sti_Trace.log Объект заблокирован пропустить C:\WINDOWS\wiaservc.log Объект заблокирован пропустить C:\WINDOWS\wiadebug.log Объект заблокирован пропустить C:\WINDOWS\WindowsUpdate.log Объект заблокирован пропустить C:\WINDOWS\SchedLgU.Txt Объект заблокирован пропустить C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Объект заблокирован пропустить C:\WINDOWS\msauc.exe Зараженный объект: Trojan.Win32.Agent.bkpw пропустить Проверка завершена. virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Ссылка на комментарий Поделиться на другие сайты Поделиться
ТроПа Опубликовано 25 января, 2009 Поделиться Опубликовано 25 января, 2009 C:\Documents and Settings\Администратор\ash.exe - проверьте на http://www.virustotal.com/ru/ дайте ссылку на результат проверки. Очистите папки содержащие временные файлы. 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{7E3EDD51-48FD-40F2-ACE4-0D2D9F2889AE}'); QuarantineFile('C:\Documents and Settings\All Users\Application Data\wxilib.dll',''); DeleteFile('C:\Documents and Settings\All Users\Application Data\wxilib.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам, только о том что в попавших файлах, никакой информации (Ф.И.О и т.д.) о том кто из аналитиков проверял не нужно. Повторите логи. Онлайн сканирвоание проводить не обязательно. Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти