Не запускается Kaspersky 7.0 [OK]

[nRg]

3 дня назад заметил, что касперский перестал жаловаться на 2 зараженных файла при сканировании ( их не удалял, потому что система слетала...)

решил снести касперского и поставить заново...но увы-не удалось...потом нашел форум и понял, что словил какую-ту бяку.

 

Итак проблемы: ни один антивирус не запускается. Очень прошу Вас помочь. Заранее спасибо.

 

http://gsi.kaspersky.fr/read.php?file=1263...ee055005ae903e0 -system info

 

Сообщение от модератора MedvedevUnited

Не выкладывайте, пожалуйста, карантин (файл virusinfo_cure.zip).

hijackthis.log

virusinfo_syscure.zip

GetSystemInfo_16C434596B3A41D_пользователь_2009_05_20_22_51_53.zip

[thyrex]

Восстановление системы отключить

 

Выполните скрипт в AVZ

 begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\1025n.exe','');
DeleteService('NlaEventlog');
QuarantineFile('C:\WINDOWS\system32\digiwet.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\15794d82.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\15794d82.sys');
DeleteFile('C:\WINDOWS\system32\digiwet.dll');
DeleteFile('C:\WINDOWS\system32\1025n.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(9);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполнить скрипт в AVZ.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь.

 

Сделайте новые логи

Изменено 20 мая, 2009 пользователем thyrex

[nRg]

ответ с каспера : Hello,

 

1025n.exe_ - Backdoor.Win32.Agent.agrd

 

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

 

digiwet.dll - Backdoor.Win32.Zdoogu.dg

 

This file is already detected. Please update your antivirus bases.

 

Please quote all when answering.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

[thyrex]

Выполните скрипт в AVZ

 begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('digiwet.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Скачайте IceSword

Выберите Registry. Найти в реестре и изменить %fystemRoot% на %systemRoot% (в двух записях)

 

Что с проблемой? Антивирус запустился?

Изменено 21 мая, 2009 пользователем thyrex

[nRg]

все заработало, но я не нашел в реестре %systemRoot%....антивирус поставил , все работает.

 

Что стоит теперь сделать?

[akoK]

В карантине C:\WINDOWS\system32\digiwet.dll - Backdoor.Win32.Zdoogu.dg

 

Сообщение от модератора User

Спасибо все исправлено

[thyrex]

Я просил найти в реестре записи, содержащие в своей строке %fystemRoot%, и изменить эту часть строки на %systemRoot% (в двух записях)

Одна связана со службой BITS, вторая - со службой обновления Windows

[akoK]

Скачайте и распакуйте в отдельную папку - Registry Search

 

Запустите утилиту.

В верхнем окне, предназначенном для поиска введите, fystemroot

и нажмите кнопку "OK".

 

В блокноте откроется текст, скопируйте его и вставьте в следующее сообщение.

[nRg]

; Results at 21.05.2009 20:51:47 for strings:

; 'fystemroot'

; Strings excluded from search:

; (None)

; Search in:

; Registry Keys Registry Values Registry Data

; HKEY_LOCAL_MACHINE HKEY_USERS

 

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\BITS]

; Contents of value:

; %fystemRoot%\system32\svchost.exe -k netsvcs

"ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\

74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\

00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\

6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\wuauserv]

; Contents of value:

; %fystemroot%\system32\svchost.exe -k netsvcs

"ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\

74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\

00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\

6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\BITS]

; Contents of value:

; %fystemRoot%\system32\svchost.exe -k netsvcs

"ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\

74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\

00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\

6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\wuauserv]

; Contents of value:

; %fystemroot%\system32\svchost.exe -k netsvcs

"ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\

74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\

00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\

6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS]

; Contents of value:

; %fystemRoot%\system32\svchost.exe -k netsvcs

"ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\

74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\

00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\

6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv]

; Contents of value:

; %fystemroot%\system32\svchost.exe -k netsvcs

"ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\

74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\

00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\

6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00

 

; End Of The Log...

 

 

 

 

 

 

я во всех этих директориях "f" поменял на "s" ( systemroot) это все?)

Изменено 21 мая, 2009 пользователем nRg

[thyrex]

Если работает, все исправили, лечение можно считать завершенным

[nRg]

В таком случае благодарю всех господ, которые оказали своевременную помощь).