Shm 0 Опубликовано 25 января, 2009 Share Опубликовано 25 января, 2009 (изменено) Начну из далека. Меньше года назад был куплен антивир касперского с лицензеей на три компа. Но мне был куплен на ДР новый комп и поставлена новая система, старый был распатрашён на винчестеры и прочую лабуду. И лицензионный Касперский остался на нерабочей машине. На новую я так его и не поставил, тк не знал будут ли проблемы с регистрацией лицензии (уже три лицензии должны были быть зарегестрированны) Вся защита у компа была отключена , тк брэндмауэр постоянно лезет и что то обновляет без маего ведома, а я не знаю лицензионный ли у меня виндоус. Короче пол года комп проработал нормально и главное быстро без всяких антивиров и защит.... Но всё же комп заразился какимто трояном и теперь либо синий экран если ставлю автоматическая перезагрузку при сбое системы отменить или псстоянная перезагрузка. И ногда успеваю нажать cntrl+alt+del ну чаще загрузка не завешается. У меня winXP SP2 Описание: Позваляет загрузится в защищённом режиме (с него и пмишу) Сначало выдавал сообщение из разных exe файлов приложение *.exe digeste.dll что то там не является приложением WIN NT ((( Я переименовал эту библиотеку сообщение пропало но синний экран не изчез(помимо этого я удалил пару записей в которых упоменалось digeste.dll в реестре , при помощи regedit + cntrl F) msconfig - во вкладке авто загрузка не знакомые мне процессы снял галки с подозрительных (мне показались подозрительными c:\windows\system32\leafsi.exe \u c:\windows\cjtpkmpc\exe c:\windows\system32\ctfmon.exe иещё несколько.... ) Мой каспер 2007 не хочет ставится а загрузится в норм режиме не могу. Переустановка виндовса не помогает (3 раза переустанавливал ) - теже яйца только в профиль- комп перезагружается нонстопом при загрузке при первом входе(наверно если я отформатирую диск ц всё починится но - не хочется этого делать я забыл как сеть настраивать (( ). посоветуйте что сделать ? кстати как поступить с лицензионным каспером2007 который уже зарегестрирован на трёх машинах (но на одной я хочу отменить регистрацию и машина то сама разобрана ) Изменено 25 января, 2009 пользователем wise-wistful Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 25 января, 2009 Share Опубликовано 25 января, 2009 (изменено) Сообщение от модератора wise-wistful Тема перемещена из раздела Компьютерная помощь Для начала борьбы с вирусами выполните логи, как написано в этой теме. Изменено 25 января, 2009 пользователем wise-wistful Цитата Ссылка на сообщение Поделиться на другие сайты
Shm 0 Опубликовано 25 января, 2009 Автор Share Опубликовано 25 января, 2009 (изменено) вот такие логи получились см в самом низу Онлайн Касперский сказал следующее: -------------------------------------- ОТЧЕТ KASPERSKY ONLINE SCANNER 25 Январь 2009 г. 15:47:06 Операционная система: Microsoft Windows XP Professional, Service Pack 2 (Build 2600) Версия Kaspersky Online Scanner: 5.0.98.1 Последнее обновление антивирусных баз: 25/01/2009 Число записей в антивирусных базах: 1693487 Параметры проверки Проверять, используя следующий набор антивирусных баз расширенный набор Проверять архивы да Проверять почтовые базы да Объект проверки Оперативная Память Результаты проверки Всего проверено объектов 1161 Найдено вирусов 3 Найдено зараженных объектов 21 Найдено подозрительных объектов 0 Время проверки 00:00:17 Имя зараженного объекта Имя вируса Последнее действие [0] [system Process] => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить [676] winlogon.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить [676] winlogon.exe => C:\WINDOWS\system32\crypts.dll Зараженный объект: Trojan.Win32.Agent.bjvs пропустить [728] services.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить [740] lsass.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить [888] svchost.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить [944] svchost.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить [1152] svchost.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить [1180] svchost.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить [1288] svchost.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить [1740] Explorer.EXE => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить [808] TimeZero.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить [1468] IEXPLORE.EXE => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить [272] magent.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить [1432] IEXPLORE.EXE => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить [156] rundll32.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить [980] AA44.tmp => C:\WINDOWS\TEMP\AA44.tmp Зараженный объект: Backdoor.Win32.KeyStart.t пропустить [980] AA44.tmp => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить [1344] ps.exe => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить [184] AA44.tmp => C:\WINDOWS\TEMP\AA44.tmp Зараженный объект: Backdoor.Win32.KeyStart.t пропустить [184] AA44.tmp => C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить Проверка завершена. -------------------------------------- ОТЧЕТ KASPERSKY ONLINE SCANNER 25 Январь 2009 г. 15:46:09 Операционная система: Microsoft Windows XP Professional, Service Pack 2 (Build 2600) Версия Kaspersky Online Scanner: 5.0.98.1 Последнее обновление антивирусных баз: 25/01/2009 Число записей в антивирусных базах: 1693487 Параметры проверки Проверять, используя следующий набор антивирусных баз расширенный набор Проверять архивы да Проверять почтовые базы да Объект проверки Важные объекты C:\WINDOWS C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\ Результаты проверки Всего проверено объектов 12457 Найдено вирусов 9 Найдено зараженных объектов 12 Найдено подозрительных объектов 0 Время проверки 00:04:34 Имя зараженного объекта Имя вируса Последнее действие C:\WINDOWS\system32\config\system.LOG Объект заблокирован пропустить C:\WINDOWS\system32\config\software.LOG Объект заблокирован пропустить C:\WINDOWS\system32\config\default.LOG Объект заблокирован пропустить C:\WINDOWS\system32\config\SECURITY Объект заблокирован пропустить C:\WINDOWS\system32\config\SAM Объект заблокирован пропустить C:\WINDOWS\system32\config\SECURITY.LOG Объект заблокирован пропустить C:\WINDOWS\system32\config\SAM.LOG Объект заблокирован пропустить C:\WINDOWS\system32\config\AppEvent.Evt Объект заблокирован пропустить C:\WINDOWS\system32\config\SecEvent.Evt Объект заблокирован пропустить C:\WINDOWS\system32\config\SysEvent.Evt Объект заблокирован пропустить C:\WINDOWS\system32\config\SYSTEM Объект заблокирован пропустить C:\WINDOWS\system32\config\SOFTWARE Объект заблокирован пропустить C:\WINDOWS\system32\config\DEFAULT Объект заблокирован пропустить C:\WINDOWS\system32\drivers\systemntmi.sys Зараженный объект: Rootkit.Win32.Agent.grg пропустить C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Объект заблокирован пропустить C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Объект заблокирован пропустить C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Объект заблокирован пропустить C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Объект заблокирован пропустить C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Объект заблокирован пропустить C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Объект заблокирован пропустить C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Объект заблокирован пропустить C:\WINDOWS\system32\digeste_virus.dll Зараженный объект: Backdoor.Win32.Small.hip пропустить C:\WINDOWS\system32\CatRoot2\edb.log Объект заблокирован пропустить C:\WINDOWS\system32\CatRoot2\tmp.edb Объект заблокирован пропустить C:\WINDOWS\system32\mmmkwnkw.dll Зараженный объект: Backdoor.Win32.Agent.acrj пропустить C:\WINDOWS\system32\leafsi.exe Зараженный объект: Email-Worm.Win32.Agent.kj пропустить C:\WINDOWS\system32\wpv661232659547.cpx Зараженный объект: Trojan.Win32.Agent2.xn пропустить C:\WINDOWS\system32\wpv521232642331.cpx Зараженный объект: Trojan.Win32.Agent.bkpw пропустить C:\WINDOWS\system32\crypts.dll Зараженный объект: Trojan.Win32.Agent.bjvs пропустить C:\WINDOWS\system32\cssrss.exe Зараженный объект: Trojan.Win32.Agent2.xn пропустить C:\WINDOWS\Temp\AA44.tmp Зараженный объект: Backdoor.Win32.KeyStart.t пропустить C:\WINDOWS\Temp\86AF.tmp Зараженный объект: Backdoor.Win32.KeyStart.t пропустить C:\WINDOWS\Debug\PASSWD.LOG Объект заблокирован пропустить C:\WINDOWS\cjtpkmpc.exe Зараженный объект: Trojan-Downloader.Win32.Small.agbh пропустить C:\WINDOWS\msauc.exe Зараженный объект: Trojan.Win32.Agent.bkpw пропустить C:\WINDOWS\CSC\00000001 Объект заблокирован пропустить C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\Temporary Internet Files\Content.IE5\index.dat Объект заблокирован пропустить C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\Cookies\index.dat Объект заблокирован пропустить C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\History\History.IE5\index.dat Объект заблокирован пропустить C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\History\History.IE5\MSHist012009012520090126\index.dat Объект заблокирован пропустить C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\~DF3D70.tmp Объект заблокирован пропустить Проверка завершена. ----------------------------------------------------- virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Изменено 25 января, 2009 пользователем Shm Цитата Ссылка на сообщение Поделиться на другие сайты
Falcon 169 Опубликовано 25 января, 2009 Share Опубликовано 25 января, 2009 (изменено) Выполнить в AVZ следующий скрипт: begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteService('ethvryxs'); DeleteService('gdrv'); DeleteService('systemntmi'); DeleteFile('C:\WINDOWS\system32\crypts.dll'); DeleteFile('C:\WINDOWS\system32\mmmkwnkw.dll'); DeleteFile('C:\WINDOWS\system32\drivers\ethvryxs.sys'); DeleteFile('C:\WINDOWS\gdrv.sys'); DeleteFile('C:\WINDOWS\system32\drivers\systemntmi.sys'); DeleteFile('C:\WINDOWS\services.exe'); DeleteFile('C:\Documents and Settings\Администратор\Администратор.exe'); DeleteFile('C:\Documents and Settings\Администратор\ash.exe'); DeleteFile('H:\autorun.inf'); DeleteFile('C:\WINDOWS\system32\cssrss.exe'); BC_ImportDeletedList; BC_DeleteSvc('ethvryxs '); BC_DeleteSvc('gdrv '); BC_DeleteSvc('systemntmi '); BC_Activate; ExecuteSysClean; RebootWindows(true); end. ПК перезагрузится. Затем пофиксить через HJT: O20 - AppInit_DLLs: C:\WINDOWS\system32\mmmkwnkw.dll O20 - Winlogon Notify: crypt - C:\WINDOWS\SYSTEM32\crypts.dll Логи повторить. Изменено 25 января, 2009 пользователем Falcon Цитата Ссылка на сообщение Поделиться на другие сайты
Shm 0 Опубликовано 25 января, 2009 Автор Share Опубликовано 25 января, 2009 1) Большое спасибо за помощь. Смог загрузится. ТОлько теперь грузится учётная запись созданная при переустановке Windows (я её назвал SHM а не учётная запись под названием Администратор не знаю правда как сделать чтобы грузилась учётная запись Администратор в папке document and settings папка Администратор есть ....) В IE explorer грузитчся сверху какаято бяка - картинка gif c уродством каким то и спредложением отправить смс на номер 3649 с текстом .... ну вообще IE explorer работает плохо((( например на форум пишу с другого браузера... с IE explorer написать не смог расширенная форма ответа не хотела работать Спасибо всем если есть чего подсказать с удовольствием выслушаю совет, ещё раз спасибо ------------------------------------------------------------------------------- ОТЧЕТ KASPERSKY ONLINE SCANNER 25 Январь 2009 г. 19:54:07 Операционная система: Microsoft Windows XP Professional, Service Pack 2 (Build 2600) Версия Kaspersky Online Scanner: 5.0.98.1 Последнее обновление антивирусных баз: 25/01/2009 Число записей в антивирусных базах: 1694764 ------------------------------------------------------------------------------- Параметры проверки: Проверять, используя следующий набор антивирусных баз: расширенный набор Проверять архивы: да Проверять почтовые базы: да Объект проверки - Важные объекты: C:\WINDOWS C:\DOCUME~1\Shm\LOCALS~1\Temp\ Результаты проверки: Всего проверено объектов: 10449 Найдено вирусов: 5 Найдено зараженных объектов: 8 Найдено подозрительных объектов: 0 Время проверки: 00:04:02 Имя зараженного объекта / Имя вируса / Последнее действие C:\WINDOWS\system32\config\system.LOG Объект заблокирован пропустить C:\WINDOWS\system32\config\software.LOG Объект заблокирован пропустить C:\WINDOWS\system32\config\default.LOG Объект заблокирован пропустить C:\WINDOWS\system32\config\SECURITY Объект заблокирован пропустить C:\WINDOWS\system32\config\SAM Объект заблокирован пропустить C:\WINDOWS\system32\config\SECURITY.LOG Объект заблокирован пропустить C:\WINDOWS\system32\config\SAM.LOG Объект заблокирован пропустить C:\WINDOWS\system32\config\AppEvent.Evt Объект заблокирован пропустить C:\WINDOWS\system32\config\SecEvent.Evt Объект заблокирован пропустить C:\WINDOWS\system32\config\SysEvent.Evt Объект заблокирован пропустить C:\WINDOWS\system32\config\SYSTEM Объект заблокирован пропустить C:\WINDOWS\system32\config\SOFTWARE Объект заблокирован пропустить C:\WINDOWS\system32\config\DEFAULT Объект заблокирован пропустить C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Объект заблокирован пропустить C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Объект заблокирован пропустить C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Объект заблокирован пропустить C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Объект заблокирован пропустить C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Объект заблокирован пропустить C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Объект заблокирован пропустить C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Объект заблокирован пропустить C:\WINDOWS\system32\digeste_virus.dll Зараженный объект: Backdoor.Win32.Small.hip пропустить C:\WINDOWS\system32\CatRoot2\edb.log Объект заблокирован пропустить C:\WINDOWS\system32\CatRoot2\tmp.edb Объект заблокирован пропустить C:\WINDOWS\system32\CatRoot2\edbtmp.log Объект заблокирован пропустить C:\WINDOWS\system32\h323log.txt Объект заблокирован пропустить C:\WINDOWS\system32\log.txt Объект заблокирован пропустить C:\WINDOWS\system32\leafsi.exe Зараженный объект: Email-Worm.Win32.Agent.kj пропустить C:\WINDOWS\system32\wpv661232659547.cpx Зараженный объект: Trojan.Win32.Agent2.xn пропустить C:\WINDOWS\system32\wpv521232642331.cpx Зараженный объект: Trojan.Win32.Agent.bkpw пропустить C:\WINDOWS\Temp\AA44.tmp Зараженный объект: Backdoor.Win32.KeyStart.t пропустить C:\WINDOWS\Temp\2430.tmp Зараженный объект: Backdoor.Win32.KeyStart.t пропустить C:\WINDOWS\Temp\atchksrv.log Объект заблокирован пропустить C:\WINDOWS\Temp\atchk.log Объект заблокирован пропустить C:\WINDOWS\Temp\86AF.tmp Зараженный объект: Backdoor.Win32.KeyStart.t пропустить C:\WINDOWS\Debug\PASSWD.LOG Объект заблокирован пропустить C:\WINDOWS\Sti_Trace.log Объект заблокирован пропустить C:\WINDOWS\wiaservc.log Объект заблокирован пропустить C:\WINDOWS\wiadebug.log Объект заблокирован пропустить C:\WINDOWS\WindowsUpdate.log Объект заблокирован пропустить C:\WINDOWS\SchedLgU.Txt Объект заблокирован пропустить C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Объект заблокирован пропустить C:\WINDOWS\msauc.exe Зараженный объект: Trojan.Win32.Agent.bkpw пропустить Проверка завершена. virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
ТроПа 92 Опубликовано 25 января, 2009 Share Опубликовано 25 января, 2009 C:\Documents and Settings\Администратор\ash.exe - проверьте на http://www.virustotal.com/ru/ дайте ссылку на результат проверки. Очистите папки содержащие временные файлы. 1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelBHO('{7E3EDD51-48FD-40F2-ACE4-0D2D9F2889AE}'); QuarantineFile('C:\Documents and Settings\All Users\Application Data\wxilib.dll',''); DeleteFile('C:\Documents and Settings\All Users\Application Data\wxilib.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам, только о том что в попавших файлах, никакой информации (Ф.И.О и т.д.) о том кто из аналитиков проверял не нужно. Повторите логи. Онлайн сканирвоание проводить не обязательно. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.