Не запускается KIS 2009

[k-ss]

Выполнил восстановление (два раза) и удалил а затем снова установил -- не запускается!

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\HWSETUP.CPL','');
QuarantineFile('C:\WINDOWS\system32\dopdfmn6.dll','');
QuarantineFile('C:\WINDOWS\system32\ssnetmon.dll','');
QuarantineFile('C:\WINDOWS\system32\sstcpmon.dll','');
QuarantineFile('C:\WINDOWS\system32\gxvxcujcnpqjpqkybnkdyjnaejocsmxehkntm.dll','');
QuarantineFile('C:\db\Terminal\SyncSrvr.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\qmofiltr.sys','');
QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');
QuarantineFile('\\?\globalroot\systemroot\system32\gxvxcujcnpqjpqkybnkdyjnaejocsmxehkntm.dll','');
QuarantineFile('c:\windows\system32\acs.exe','');
DeleteFile('\\?\globalroot\systemroot\system32\gxvxcujcnpqjpqkybnkdyjnaejocsmxehkntm.dll');
DeleteFile('c:\windows\system32\gxvxcujcnpqjpqkybnkdyjnaejocsmxehkntm.dll');
DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

 

Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

 

Ваш провайдер?

 

85.255.112.0 - 85.255.127.255

 

UkrTeleGroup Ltd.

Украина

 

Andrew Sotov

Mechnikova 58/5 65029 Odessa

phone: +380631508855

 

Andrew Sotov

Mechnikova 58/5 65029 Odessa

phone: +380631508855

 

UkrTeleGroup

Источник: whois.ripe.net

 

 

Если нет пофиксить в HijackThis следующие строчки

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.125,85.255.112.159
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.125,85.255.112.159
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.125,85.255.112.159

 

Включите AVZPM и повторите логи.

[k-ss]

Профиксить это как?

 

И повторить логи это выслать опять три архива как в начале?

[Falcon]

Читать тут.

И повторить логи это выслать опять три архива как в начале?

Да.

[k-ss]

Всё сделал.

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

[thyrex]

На всякий случай сделайте и такое исследование

 

Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

[k-ss]

Результаты Gmer

gmer.log

[thyrex]

Сохраните текст ниже как cleanup.bat в ту же папку, где находится gmer.exe

gmer.exe -del service gxvxcserv.sys
gmer.exe -del file "C:\WINDOWS\system32\gxvxccounter"
gmer.exe -del file "C:\WINDOWS\system32\drivers\gxvxcguswvytrqtpqffjobdetrrtlnkkyalpo.sys"
gmer.exe -del file "C:\WINDOWS\system32\gxvxcujcnpqjpqkybnkdyjnaejocsmxehkntm.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys"
gmer -reboot

И запустите cleanup.bat

 

Сделать новый лог gmer

Изменено 2 мая, 2009 пользователем thyrex

[k-ss]

После выполнения cleanup.bat Касперский заработал

 

Большое спасибо за помощь!

 

Что сделать теперь?

[Falcon]

Сделать новый лог gmer

[k-ss]

т.е. заново выполнить сканирование, а затем Save"?

 

касперского отключить?

 

соединение с интернетом выключить?

[thyrex]

Так как делали прошлый раз

[k-ss]

1

gmer.log

gmer.log

[Falcon]

Скачайте IceSword.

В нижнем левом углу нажмите File. Появится аналог проводника. В нем поищите файлы:

C:\Windows\system32\drivers\gxvxcwhkmcmtakxstsiyqxrvlhfqjwfaqofvh.sys
C:\Windows\system32\gxvxcotbtotbsyfxrobbjrntpdwqbrnduhusk.dll

Правой кнопкой мыши - Force Delete.

 

Выберите Registry. Удалите ветви:

HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys
HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys

 

Затем в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Windows\system32\gxvxcotbtotbsyfxrobbjrntpdwqbrnduhusk.dll');
DeleteFile('C:\Windows\system32\drivers\gxvxcwhkmcmtakxstsiyqxrvlhfqjwfaqofvh.sys');
BC_ImportDeletedList;
BC_DeleteSvc('gxvxcserv.sys');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

 

Повторите логи AVZ и Gmer.

Изменено 2 мая, 2009 пользователем Falcon

[k-ss]

Скачайте IceSword.

В нижнем левом углу нажмите File. Появится аналог проводника. В нем поищите файлы:

C:\Windows\system32\drivers\gxvxcwhkmcmtakxstsiyqxrvlhfqjwfaqofvh.sys
C:\Windows\system32\gxvxcotbtotbsyfxrobbjrntpdwqbrnduhusk.dll

Правой кнопкой мыши - Force Delete.

 

Выберите Registry. Удалите ветви:

HKLM\SYSTEM\CurrentControlSet\Services\gxvxcserv.sys
HKLM\SYSTEM\ControlSet002\Services\gxvxcserv.sys

 

нет таких файлов (через IceSword) и ветвей