Антивирус не отрабатывает

[RIMs]

Привет.

 

Антивирусник прекрано отработал, убив вирусы, но зациклился на одном файле, обещает его убить при перезагрузке, но не убивает. И соответственно раз за разом он на него ругается и требует перезагрузки (раз 30 наверное комп уже перегружал )

Файл C/WINDOWS/system32/byXQGyYp.dll

 

есть какой нить хелп по Касперскому (описание прогграмы), что бы понимать какой значок что означает, какая настройка что обрубает и.т.д?

 

Спасибо.

[MedvedevUnited]

Здравствуйте!

Добро пожаловать на форум!

 

По вредоносу: выполните, пожалуйста, правила и создайте новую тему в этом разделе.

 

По хелпу: справку к продукту читали?

[RIMs]

спасибо

[MedvedevUnited]

Не за что.

[RIMs]

Привет.

 

Антивирусник прекрано отработал, убив вирусы, но зациклился на одном файле, обещает его убить при перезагрузке, но не убивает. И соответственно раз за разом он на него ругается и требует перезагрузки (раз 30 наверное комп уже перегружал )

Файл C/WINDOWS/system32/byXQGyYp.dll

 

Ну и еще что-то в системе сидит, потому как самопроизвольно какие то странички открываются то в опере, то в эксплорере. Типа не было ничего открыто, а то раз и уже несколько страниц.

 

на самом деле только сейчас прочитал про "восстановление системы" в конце раздела Правила оформления запроса. (завтра попробую, если поможет, извинюсь за ложную тревогу)

 

Заранее спасибо

 

Сообщение от модератора MedvedevUnited

Не выкладывайте, пожалуйста, карантин - файл virusinfo_cure.zip. Вместо него нужен второй отчет - virusinfo_syscheck.zip.

virusinfo_syscure.zip

hijackthis.log

Изменено 19 февраля, 2009 пользователем MedvedevUnited

[akoK]

C:\WINDOWS\system32\userinit.exe - проверить на http://www.virustotal.com

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\prunnet.exe');
SetServiceStart('fefqnkaq', 4);
SetServiceStart('Fanask6gcnpr', 4);
QuarantineFile('C:\WINDOWS\system32\byXQGyYp.dll','');
QuarantineFile('c:\windows\system32\titeyota.dll','');
QuarantineFile('C:\Documents and Settings\Федор\Application Data\cogad\cogad.exe','');
QuarantineFile('Fanask6gcnpr.sys','');
QuarantineFile('C:\WINDOWS\system32\yumaluso.dll','');
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
QuarantineFile('C:\WINDOWS\system32\titeyota.dll','');
QuarantineFile('C:\WINDOWS\system32\prunnet.exe','');
QuarantineFile('C:\WINDOWS\system32\neduwozi.dll','');
QuarantineFile('C:\WINDOWS\system32\lodkjgqi.dll','');
QuarantineFile('C:\DOCUME~1\C26A~1\LOCALS~1\Temp\mousehook.dll','');
QuarantineFile('C:\DOCUME~1\C26A~1\LOCALS~1\Temp\ntdll64.dll','');
QuarantineFile('c:\windows\system32\userinit.exe','');
QuarantineFile('c:\windows\system32\prunnet.exe','');
DeleteFile('c:\windows\system32\prunnet.exe');
DeleteFile('C:\DOCUME~1\C26A~1\LOCALS~1\Temp\mousehook.dll');
DeleteFile('C:\DOCUME~1\C26A~1\LOCALS~1\Temp\ntdll64.dll');
DeleteFile('C:\WINDOWS\system32\lodkjgqi.dll');
DeleteFile('C:\WINDOWS\system32\neduwozi.dll');
DeleteFile('C:\WINDOWS\system32\prunnet.exe');
DeleteFile('C:\WINDOWS\system32\titeyota.dll');
DeleteFile('C:\WINDOWS\system32\yumaluso.dll');
DeleteFile('Fanask6gcnpr.sys');
DeleteFile('C:\WINDOWS\system32\drivers\ylvxeqgo.sys');
DeleteFile('C:\Documents and Settings\Федор\Application Data\cogad\cogad.exe');
DeleteFile('c:\windows\system32\titeyota.dll');
DeleteFile('C:\WINDOWS\system32\byXQGyYp.dll');
DeleteFile('C:\System Volume Information\_restore{54D97909-BDD3-4846-9911-4ED485D9C6F5}\RP230\A0038146.exe');
DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
DelBHO('{C6372071-0489-49C0-B453-67B3597C9D77}');
DelBHO('{623c2df7-82a3-411c-8afb-266a687f30d6}');
DeleteService('fefqnkaq');
DeleteService('Fanask6gcnpr');
BC_ImportALL;
ExecuteRepair(6);
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

 

 

Отключите востановление системы и повторите логи.

 

Да выполнения скрипта скачайте WinsockFix (выберите версию, которая соответствует вашей системе) и если после выполнения скрипта пропадет сеть, используйте (настройки сетевых подключений необходимо записать заранее)

[RIMs]

настройки сетевых подключений умерли (сорри, каюсь), инета нет , при перезагрузке винда выдает "the TCP\IP network transport is not installed", как это поправить?

 

1. файл C:\WINDOWS\system32\userinit.exe проверил, результат снял Print-Screen, картинку подгрузил в архиве "анализ_вируса.zip"

2. архив, полученный после скриптов послал.

3. virusinfo_syscheck.zip прикрепил.

4. после отключения восстановления системы и повторения логов, вам их скидывать? - при этой процедуре ОС может упасть?

 

.... доктор есть шанс выздороветь? ... а то мне умники из инет-тех поддержки порекомендовали винду снести и по новой поставить.

virusinfo_syscheck.zip

анализ_вируса.zip

Изменено 22 февраля, 2009 пользователем RIMs

[ТроПа]

настройки сетевых подключений умерли (сорри, каюсь), инета нет , при перезагрузке винда выдает "the TCP\IP network transport is not installed", как это поправить?

WinsockFix - использовали?

(настройки сетевых подключений необходимо записать заранее)

И выложите все 3 лога. Что бы понять что там на virustotal лучше не скриншот, а ссылку на эту страницу дайте.

[RIMs]

WinsockFix - использовали?

 

И выложите все 3 лога. Что бы понять что там на virustotal лучше не скриншот, а ссылку на эту страницу дайте.

 

WinsockFix не использовал, через avz запустил.

 

безопасно C:\WINDOWS\system32\userinit.exe тащить на другой комп чтобы проверить?- на моем компе инета нет или могу скинуть ссылку когда на своем восстановлю.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[akoK]

userinit.exe - нужно подсунуть новый из дистрибутива.

 

WinsockFix - воспользуйтесь

или

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ExecuteRepair(14);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

Если результата не будет, то:

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ExecuteRepair(15);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

[RIMs]

большое спасибо! инет пашет!

 

линк с анализа файла C:\WINDOWS\system32\userinit.exe

http://www.virustotal.com/ru/reanalisis.ht...788bbd2c01d20a2

 

линк с отчета (на всякий пожарный)

http://www.virustotal.com/ru/analisis/6be7...3978ceb2d34d216

[ТроПа]

Скопируйте C:\WINDOWS\system32\userinit.exe и поместите в архив под пароль virus. отправьте архив на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. Аналитики посмотрят, действительно ли файл заражен.

[RIMs]

При проверке антивирус выдал кучу уязвимостей, что с ними делать? ...вроде лечить он их не предлагает

или выдает что обнаружен файл троянской программы, ставит значек "i" голубым цветом и никаких действий не предлагает

.... забить на все это?

Изменено 24 февраля, 2009 пользователем RIMs

[ТроПа]

При проверке антивирус выдал кучу уязвимостей, что с ними делать? ...вроде лечить он их не предлагает

Устранять, выложите скриншот.

или выдает что обнаружен файл троянской программы, ставит значек "i" голубым цветом и никаких действий не предлагает

То же скриншот выложите.

[MedvedevUnited]

Здравствуйте.

 

О том, что делать с обнаруженными антивирусом уязвимостями, Вы можете прочитать здесь.