nRg Опубликовано 20 мая, 2009 Опубликовано 20 мая, 2009 3 дня назад заметил, что касперский перестал жаловаться на 2 зараженных файла при сканировании ( их не удалял, потому что система слетала...) решил снести касперского и поставить заново...но увы-не удалось...потом нашел форум и понял, что словил какую-ту бяку. Итак проблемы: ни один антивирус не запускается. Очень прошу Вас помочь. Заранее спасибо. http://gsi.kaspersky.fr/read.php?file=1263...ee055005ae903e0 -system info Сообщение от модератора MedvedevUnited Не выкладывайте, пожалуйста, карантин (файл virusinfo_cure.zip). hijackthis.log virusinfo_syscure.zip GetSystemInfo_16C434596B3A41D_пользователь_2009_05_20_22_51_53.zip
thyrex Опубликовано 20 мая, 2009 Опубликовано 20 мая, 2009 (изменено) Восстановление системы отключить Выполните скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\1025n.exe',''); DeleteService('NlaEventlog'); QuarantineFile('C:\WINDOWS\system32\digiwet.dll',''); QuarantineFile('C:\WINDOWS\System32\drivers\15794d82.sys',''); DeleteFile('C:\WINDOWS\System32\drivers\15794d82.sys'); DeleteFile('C:\WINDOWS\system32\digiwet.dll'); DeleteFile('C:\WINDOWS\system32\1025n.exe'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(9); BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Выполнить скрипт в AVZ. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте на newvirus@kaspersky.com. В письме укажите пароль на архив virus. Полученный ответ сообщите здесь. Сделайте новые логи Изменено 20 мая, 2009 пользователем thyrex
nRg Опубликовано 21 мая, 2009 Автор Опубликовано 21 мая, 2009 ответ с каспера : Hello, 1025n.exe_ - Backdoor.Win32.Agent.agrd New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help. digiwet.dll - Backdoor.Win32.Zdoogu.dg This file is already detected. Please update your antivirus bases. Please quote all when answering. virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log
thyrex Опубликовано 21 мая, 2009 Опубликовано 21 мая, 2009 (изменено) Выполните скрипт в AVZ begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('digiwet.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Скачайте IceSword Выберите Registry. Найти в реестре и изменить %fystemRoot% на %systemRoot% (в двух записях) Что с проблемой? Антивирус запустился? Изменено 21 мая, 2009 пользователем thyrex
nRg Опубликовано 21 мая, 2009 Автор Опубликовано 21 мая, 2009 все заработало, но я не нашел в реестре %systemRoot%....антивирус поставил , все работает. Что стоит теперь сделать?
akoK Опубликовано 21 мая, 2009 Опубликовано 21 мая, 2009 В карантине C:\WINDOWS\system32\digiwet.dll - Backdoor.Win32.Zdoogu.dg Сообщение от модератора User Спасибо все исправлено
thyrex Опубликовано 21 мая, 2009 Опубликовано 21 мая, 2009 Я просил найти в реестре записи, содержащие в своей строке %fystemRoot%, и изменить эту часть строки на %systemRoot% (в двух записях) Одна связана со службой BITS, вторая - со службой обновления Windows
akoK Опубликовано 21 мая, 2009 Опубликовано 21 мая, 2009 Скачайте и распакуйте в отдельную папку - Registry Search Запустите утилиту. В верхнем окне, предназначенном для поиска введите, fystemroot и нажмите кнопку "OK". В блокноте откроется текст, скопируйте его и вставьте в следующее сообщение.
nRg Опубликовано 21 мая, 2009 Автор Опубликовано 21 мая, 2009 (изменено) ; Results at 21.05.2009 20:51:47 for strings: ; 'fystemroot' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\BITS] ; Contents of value: ; %fystemRoot%\system32\svchost.exe -k netsvcs "ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\wuauserv] ; Contents of value: ; %fystemroot%\system32\svchost.exe -k netsvcs "ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\BITS] ; Contents of value: ; %fystemRoot%\system32\svchost.exe -k netsvcs "ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\wuauserv] ; Contents of value: ; %fystemroot%\system32\svchost.exe -k netsvcs "ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS] ; Contents of value: ; %fystemRoot%\system32\svchost.exe -k netsvcs "ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv] ; Contents of value: ; %fystemroot%\system32\svchost.exe -k netsvcs "ImagePath"=hex(2):25,00,66,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 ; End Of The Log... я во всех этих директориях "f" поменял на "s" ( systemroot) это все?) Изменено 21 мая, 2009 пользователем nRg
thyrex Опубликовано 21 мая, 2009 Опубликовано 21 мая, 2009 Если работает, все исправили, лечение можно считать завершенным
nRg Опубликовано 21 мая, 2009 Автор Опубликовано 21 мая, 2009 В таком случае благодарю всех господ, которые оказали своевременную помощь).
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти